Il team AI Research (STAR) di Straiker ha individuato Villager, un framework di penetration testing nativo basato sull’intelligenza artificiale, sviluppato dal gruppo cinese Cyberspike. Lo strumento, presentato come soluzione red team, è progettato per automatizzare in modo completo le attività di test di sicurezza, combinando tool di Kali Linux e modelli AI DeepSeektramite protocollo MCP.

Villager è stato pubblicato sul Python Package Index (PyPI.org) ed è liberamente accessibile a livello globale. Nei primi due mesi dalla pubblicazione ha superato i 10.000 download, un dato che ha attirato l’attenzione degli analisti per il potenziale rischio di abuso.

Secondo Straiker, la combinazione tra automazione avanzata e bassa barriera di accesso potrebbe portare Villager a seguire una traiettoria simile a quella di strumenti come Cobalt Strike, nati per usi legittimi ma successivamente adottati su larga scala da attori malevoli.

Un framework a doppio uso

Villager riduce drasticamente il livello di competenza necessario per condurre attività offensive complesse. Automatizzando l’intera catena di strumenti di penetration testing, consente anche a operatori meno esperti di eseguire intrusioni avanzate.

La distribuzione attraverso PyPI rappresenta inoltre un potenziale vettore di supply chain, offrendo agli attaccanti un canale affidabile per ottenere e integrare lo strumento nei propri flussi operativi.

Dal punto di vista operativo, l’uso improprio di Villager potrebbe tradursi in un aumento significativo delle attività automatizzate di scansione, sfruttamento e post-exploitation, con un conseguente aggravio per i team di rilevamento e risposta agli incidenti.

Cos’è l’MCP (Model Context Protocol)

Il protocollo MCP (Model Context Protocol) è uno standard pensato per consentire ai modelli di intelligenza artificiale di interagire in modo strutturato con strumenti esterni, servizi e risorse di sistema. A differenza di una semplice API di inferenza, MCP definisce un meccanismo attraverso il quale l’AI può ricevere contesto operativo, comprendere quali strumenti sono disponibili e invocarli in modo controllato. Questo trasforma il modello da motore puramente conversazionale a componente attivo all’interno di flussi di lavoro complessi.

Dal punto di vista tecnico, MCP introduce un livello di orchestrazione che regola lo scambio di messaggi tra il modello e i cosiddetti “tool”, come ambienti di esecuzione, container, browser automatizzati o utility di sistema. Ogni azione viene descritta e restituita in un formato strutturato, permettendo all’AI di concatenare più operazioni, gestire dipendenze tra task e reagire agli errori. In questo modo è possibile costruire agenti che pianificano, eseguono e verificano attività articolate, mantenendo coerenza e tracciabilità.

Il valore – e al tempo stesso il rischio – di MCP emerge quando viene applicato in contesti sensibili come la sicurezza informatica. Collegando modelli linguistici a strumenti offensivi o di test, il protocollo consente l’automazione di intere catene operative, riducendo drasticamente l’intervento umano. Per questo MCP è considerato una tecnologia abilitante: da un lato rende più efficienti sviluppo, testing e difesa, dall’altro può essere sfruttato per creare framework di attacco autonomi, come nel caso di Villager.

Impatti potenziali per le organizzazioni

Le imprese potrebbero trovarsi di fronte a un incremento di tentativi di scansione ed exploit provenienti dall’esterno, a cicli di attacco più rapidi che riducono le finestre di reazione e a una maggiore difficoltà di attribuzione, dovuta all’uso di strumenti standard in campagne ibride.

Ulteriori rischi riguardano la supply chain e gli ambienti di sviluppo, qualora il pacchetto venga installato su workstation CI/CD o sistemi di test.

Gli analisti suggeriscono di implementare gateway di sicurezza per il protocollo MCP, capaci di ispezionare e filtrare in tempo reale le comunicazioni tra agenti AI e strumenti. È inoltre consigliata una revisione approfondita delle integrazioni AI di terze parti, l’adozione di policy di governance sull’uso dell’intelligenza artificiale e lo sviluppo di capacità di threat intelligence focalizzate sugli attacchi AI-driven.

Tra le misure indicate figurano anche la definizione di procedure di risposta specifiche per incidenti potenziati dall’AI e l’esecuzione di test di sicurezza continui, mirati alle applicazioni abilitate MCP.

Chi è Cyberspike

Cyberspike, riportano i ricercatori di Striker, emerge per la prima volta il 27 novembre 2023, con la registrazione del dominio cyberspike[.]top associato alla Changchun Anshanyuan Technology Co., Ltd., società cinese indicata come fornitore di soluzioni AI e software applicativo.

Tuttavia, l’assenza di un sito web aziendale attivo e di una presenza commerciale verificabile solleva interrogativi sulla reale struttura dell’organizzazione.

Snapshot archiviati dalla Wayback Machine mostrano che nel 2023 l’azienda promuoveva un prodotto denominato Cyberspike, dotato di dashboard per il monitoraggio delle macchine compromesse.

Le funzionalità dichiarate includevano proxy inverso, generatori multistadio e strumenti tipici delle piattaforme di comando e controllo.

Dallo strumento red team al RAT

L’analisi del Cyberspike Studio Installer v1.1.7, caricato su VirusTotal il 10 dicembre 2023, ha rivelato che i plugin inclusi corrispondono a un Remote Access Trojan (RAT) completo. Le capacità individuate comprendono accesso remoto al desktop, keylogging, compromissione di account Discord, controllo della webcam e altre funzioni di sorveglianza.

Ulteriori verifiche hanno dimostrato che l’intera suite Cyberspike coincide con la versione 1.0.7.0 di AsyncRAT, malware noto e diffuso dal 2019, da cui derivano anche varianti come DCRat e VenomRAT.

I componenti analizzati risultano identici per formato, dimensione e linguaggio di programmazione, confermando l’integrazione diretta di AsyncRAT nel prodotto Cyberspike, insieme a plugin aggiuntivi come Mimikatz.

Il rilascio di Villager su PyPI

Il 23 luglio 2025 Cyberspike ha pubblicato Villager Pentesting Tool su PyPI. Il pacchetto automatizza i test di sicurezza utilizzando modelli DeepSeek e include riferimenti a un modello personalizzato denominato “al-1s-20250421”, ospitato su infrastrutture cyberspike[.]top.

L’autore indicato, @stupidfish001, è un ex partecipante a competizioni CTF del team cinese HSCSEC e risulta manutentore di diversi progetti correlati.

Nei due mesi successivi al rilascio, Villager ha totalizzato 10.030 download su Linux, macOS e Windows, con una media di oltre 200 download ogni tre giorni.

Architettura e funzionamento del framework

Villager adotta un’architettura distribuita basata su MCP, con servizi dedicati al coordinamento dei messaggi, alla generazione di exploit tramite RAG (Retrieval-Augmented Generation) e alla creazione automatica di container Kali Linux on-demand. L’orchestrazione si basa su Pydantic AI, che impone formati strutturati agli output per garantire coerenza operativa.

Un elemento critico è rappresentato dai meccanismi di evasione forense: i container sono progettati per autodistruggersi, cancellando log e tracce, e utilizzano porte SSH randomizzate, rendendo più complessa l’analisi post-incidente.

A differenza dei framework tradizionali basati su script, Villager consente l’interazione in linguaggio naturale. I comandi testuali vengono tradotti automaticamente in sequenze di attacco dinamiche grazie all’integrazione con LangChain e DeepSeek v3, accessibile tramite API compatibili con OpenAI.

Un modello C2 orientato alle attività

Il sistema di comando e controllo si basa su FastAPI e su una gestione avanzata delle attività. Obiettivi complessi vengono scomposti in sotto-task, eseguiti anche in parallelo, con monitoraggio continuo dello stato e capacità di recupero automatico in caso di errore. Questo approccio consente una pianificazione adattiva dell’attacco lungo l’intera kill chain.

In uno scenario di test applicativo web, Villager può identificare tecnologie, eseguire scansioni mirate e sfruttare vulnerabilità in modo adattivo.

In contesti più complessi, il framework è in grado di coordinare automazione del browser, generazione di payload, monitoraggio del traffico di rete e persistenza post-exploit, senza ricorrere a playbook statici.

Considerazioni finali

Villager rappresenta un’evoluzione significativa nel panorama degli strumenti di attacco basati sull’intelligenza artificiale.

La sua capacità di orchestrare dinamicamente più vettori offensivi, riducendo al minimo l’intervento umano, abbassa ulteriormente la soglia tecnica per condurre operazioni complesse.

La presenza attiva del framework su piattaforme come VirusTotal conferma che gli attacchi AI-driven non sono più teorici. L’uso del protocollo MCP come ponte tra modelli linguistici e strumenti offensivi introduce un paradigma destinato a influenzare lo sviluppo dei malware futuri, contribuendo alla diffusione delle cosiddette AiPT, le minacce persistenti basate su agenti di intelligenza artificiale.

L'articolo Villager: il framework di pentesting basato su AI che preoccupa la sicurezza globale proviene da Red Hot Cyber.

There are all kinds of fun, glowing PC cases on the market these days. However, if you want something that focuses on serviceability over flash while still looking stylish, you might like the Makeyo MK01. It’s a PC case that you can print yourself, and [Marst_art] has published a video on what it’s like to whip one up at home.

The MK01 is assembled from lots of smaller parts, so the components can be made on any 3D printer that has a print area of 210 x 210 mm or more. All the outer panels are affixed to the main chassis with magnets, which makes servicing easy. You can just pop off panels when you need to get inside without undoing any fasteners or clips.

Plus, the cool thing about the MK01 is that since you’re printing it yourself, you can easily make whatever mods you like prior to printing it out. [Marst_art] notes that he threw in a USB-C port to the front panel for easy access, and a few internal mounts for 2.5″ SSDs. He also made some mods to the power switch assembly. It also bears noting—you get to choose your own color scheme when you make one of these. This level of customization is something you simply don’t get when you buy off the shelf!

[Marst_art]’s video is a useful guide if you’re planning to undertake such a build yourself. It outlines what it’s like to actually print one of these things on a consumer printer, and how the settings will influence the final look and feel. It’s worth noting that you’ll probably want to print this in ABS or another filament that can handle high heat, unless you’re building a very cool running machine.

It’s not just a great looking case, it’s a highly functional one, too. Files are available on Printables if you’d like to make your own. We’ve featured other printed cases before, too.

youtube.com/embed/TvRXNCBsc6g?…

youtube.com/embed/xhErn7tQRTc?…

hackaday.com/2025/12/26/3d-pri…

Il confine tra Cina e Vietnam avrà presto nuovi “dipendenti” che non hanno bisogno di dormire, mangiare o fare turni. L’azienda cinese UBTech Robotics ha ricevuto un contratto da 264 milioni di yuan (circa 37 milioni di dollari) per l’impiego di robot umanoidi Walker S2 ai valichi di frontiera vicino alla città di Fangchenggang. L’inizio dell’impiego è previsto per questo mese.

Secondo l’azienda, i Walker S2 aiuteranno a gestire il flusso di persone, a partecipare alle procedure di controllo e ispezione di sicurezza e a gestire parte della logistica ai posti di blocco.

L’azienda sottolinea che questo è pensato per supportare i dipendenti, non per sostituirli: la gestione e il controllo rimangono in mano agli operatori umani, inclusa la possibilità di intervenire da remoto in caso di necessità.

L’interesse per queste soluzioni è in crescita nelle aree in cui il lavoro è particolarmente impegnativo e rischioso. I valichi di frontiera remoti richiedono spesso un monitoraggio 24 ore su 24, 7 giorni su 7, e le condizioni meteorologiche e l’isolamento aumentano il carico di lavoro del personale, quindi l’automazione sembra una soluzione logica per ridurre l’affaticamento e il numero di operazioni di routine.

Una delle caratteristiche principali del Walker S2, su cui UBTech sta puntando, è il suo sistema di batteria auto-sostitutiva. Il robot può sostituire una batteria scarica senza intervento umano in circa tre minuti, consentendo un funzionamento pressoché continuo. L’azienda ritiene che questa autonomia sia particolarmente importante alle frontiere, dove le infrastrutture e le risorse umane sono limitate e i tempi di fermo sono costosi.

Walker S2 è progettato per essere di dimensioni umane: alto 176 cm, pesa 70 kg e può camminare fino a 2 metri al secondo. Il robot ha una vita flessibile, manipolatori a doppio braccio e sensori progettati per manovre precise, con una capacità di carico fino a 7,5 kg. Sono inclusi anche microfoni e altoparlanti per l’interazione vocale. Il corpo è realizzato in lega di alluminio aeronautico e materiali compositi, con alcune parti stampate in 3D.

La Cina ha già sperimentato robot umanoidi negli aeroporti e nelle strutture doganali, ma gli attraversamenti di frontiera sono più impegnativi a causa delle condizioni in continua evoluzione.

Sebbene il progetto al confine tra Cina e Vietnam sia attualmente descritto come un progetto pilota con un ruolo di “assistente”, gli analisti prevedono che il successo delle sperimentazioni consentirà ai robot di acquisire una maggiore autonomia.

UBTech ha precedentemente annunciato piani per la produzione di massa di umanoidi industriali e ha registrato un aumento degli ordini nel 2025, quindi questa esperienza di frontiera potrebbe diventare un’importante vetrina per l’azienda.

L'articolo Non mangiano, dormono e sbagliano: i soldati della Cina al confine saranno robot proviene da Red Hot Cyber.

It’s no surprise that NVIDIA is gradually dropping support for older videocards, with the Pascal (GTX 10xx) GPUs most recently getting axed. What’s more surprising is the terrible way that this is being handled by certain Linux distributions, with Arch Linux currently a prime example.

On these systems, updating the OS with a Pascal, Maxwell or similarly unsupported GPU will result in the new driver failing to load and thus the user getting kicked back to the CLI to try and sort things back out there. This issue is summarized by [Brodie Robertson] in a recent video.

Here the ‘solution’ is to switch to a legacy option that comes from the Arch User Repository (AUR), which feels somewhat sketchy. Worse is that using this legacy option breaks Steam as it relies on official NVIDIA dependencies, which requires an additional series of hacks to hopefully restore this functionality. Fortunately the Arch Wiki provides a starting point on what to do.

It’s also worth noting that this legacy driver on the AUR is being maintained by [ventureo] of the CachyOS project, whose efforts are the sole reason why these older NVIDIA cards are still supported at all on Linux with the official drivers. While there’s also the Nouveau driver, this is effectively a reverse-engineering project with all of the problems that come with such an effort, even if it may be ‘good enough’ for older GPUs.

youtube.com/embed/2-obijeo_bU?…

hackaday.com/2025/12/26/nvidia…

La scelta della “Persona dell’Anno” da parte della rivista TIME è una tradizione che affonda le radici nel 1927, quando il riconoscimento venne assegnato a Charles Lindbergh dopo la sua storica traversata in solitaria dell’Atlantico. Da allora, la copertina di fine anno ha rappresentato una sorta di sintesi simbolica dei protagonisti e delle forze che avevano segnato i dodici mesi precedenti.

Alla fine del 1982, tuttavia, TIME decise di interrompere questo schema consolidato.

Il numero datato 3 gennaio 1983, già disponibile in edicola dal 26 dicembre, presentava una scelta inedita: non una persona, ma una macchina. Per la prima volta, il settimanale modificò anche il nome del riconoscimento, che divenne“Machine of the Year”.

Il soggetto premiato era il personal computer, raffigurato in copertina attraverso un’immagine simbolica: una figura stilizzata seduta a un tavolo rosso davanti a un PC. Una rappresentazione che intendeva raccontare l’ingresso dei computer nella vita quotidiana, pur senza attribuire il cambiamento a un singolo volto umano.

La decisione non arrivava all’inizio dell’era dei personal computer, ma in una fase già avanzata della loro diffusione. All’inizio degli anni Ottanta, il mercato stava crescendo rapidamente: le vendite erano passate da circa 724.000 unità nel 1980 a 1,4 milioni nel 1981, fino a sfiorare i 3 milioni nel 1982, con un ritmo di espansione che raddoppiava di anno in anno.

Nel motivare la scelta, TIME spiegò che in alcuni momenti storici la forza più significativa non è una persona, ma un processo. Secondo la redazione, il computer rappresentava un cambiamento strutturale destinato a influenzare ogni altro ambito della società, più di quanto avrebbero potuto fare i candidati umani dell’epoca.

Tra i nomi circolati alla vigilia della decisione figuravano figure politiche di primo piano come il presidente degli Stati Uniti Ronald Reagan e la premier britannica Margaret Thatcher. Solo in seguito emerse che, secondo alcune ricostruzioni, anche Steve Jobs era stato indicato come possibile protagonista della copertina, ipotesi che alimentò polemiche e retroscena.

Jobs, cofondatore di Apple, si aspettava di essere scelto come “Persona dell’Anno” e rimase profondamente deluso dalla decisione finale. In quel periodo aveva aperto le porte dell’azienda al giornalista Michael Moritz, corrispondente di TIME da San Francisco, convinto che stesse lavorando a una storia di copertina a lui dedicata.

La reazione fu aggravata dal contenuto dell’articolo, che includeva riferimenti alla sua vita privata, in particolare alla vicenda della paternità negata di Lisa, la figlia avuta quattro anni prima con Chrisann Brennan. Jobs interpretò il ritratto come ostile, mentre lo stesso Moritz rimase insoddisfatto per le modifiche introdotte in redazione, che accentuarono elementi di carattere personale.

Rileggendo oggi quella scelta editoriale, appare chiaro come all’inizio degli anni Ottanta non fosse ancora possibile comprendere fino in fondo la portata della rivoluzione digitale in corso.

Il personal computer era visto come uno strumento emergente, non come il punto di partenza di un cambiamento che avrebbe ridefinito lavoro, comunicazione, informazione e società, aprendo un percorso che, da quella copertina, conduce direttamente al mondo digitale contemporaneo.

L'articolo La rivoluzione del PC: quando il TIME scelse una macchina come Persona dell’Anno proviene da Red Hot Cyber.

Names and labels are difficult. Take this “3D Printed” water-cooling loop by [Visual Thinker] on YouTube. It undeniably uses 3D printing — but it also uses silicone casting and laser-cut acrylic, too. All of these are essential parts, yet only 3D printing gets top billing in his thumbnail. At least the version we saw, anyway; the A/B testing game YouTubers play means that may change.

Perhaps that’s simply due to the contrast with [Visual Thinker]’s last build, where the “distro plate” that acts to plumb most of the coolant was made of layers of CNC-routed acrylic, held water-tight with O-rings. Not wanting to wait for his next build to be fabricated, and not wanting to take up CNC machining himself, [Visual Thinker] fell back on tools many of us have and know: the 3D printer and laser cutter.

In this project, the end plates of the cooling loop are still clear acrylic, but he’s using a laser cutter to shape them. That means he cannot route out gaps for o-rings like in the last project, so that part gets 3D printed. Sort of. Not trusting the seal a 3D printed gasket would be able to give him, [Visual Thinker] opts to use his 3D printer to create a mold to cast a seal in silicone. Or perhaps “injection-mold” would be a better word than cast; he’s using a large syringe to force the degassed silicone into the mold. The end part is three pieces: a 3D printed spacer holding two acrylic plates, with the cast-silicone gasket keeping the whole thing water-tight to at least 50 psi, 10x the operating pressure of his PC.

After that success, he tries replacing the printed spacer with acrylic for a more transparent look. In that version only temporary shims that are used to form the mold are 3D printed at all, and the rest is acrylic. Even if you’re not building a water-cooled art PC, it’s still a great technique to keep in your back pocket for fluid channeling.

In some ways, this technique is the exact opposite of the copper-pipe steampunk builds we’ve featured previously. Those were all about pretty plumbing, while with a distro plate you hardly need pipes at all. Like any water-cooled project, it’ll need a radiator, which could be a hack in and of itself.

youtube.com/embed/LZRjqpvWzGo?…

Thanks to [Joey Marino] for this hot tip about PC cooling.

hackaday.com/2025/12/26/pc-wat…

La cultura hacker è una materia affascinante.

E’ una ricca miniera di stravaganti innovazioni, genialità ed intuito.

Di personaggi bizzarri, di umorismo fatalista, di meme, ma soprattutto cultura, ingegneria e scienza.

Ma mentre Linux ha il suo pinguino, BSD il suo demone e Perl il suo cammello, quello che da sempre è mancato storicamente nella comunità hacker era un simbolo che rappresentasse la sua storia e la sua cultura. Oggi parleremo del simbolo hacker: il glider.

Il simbolo hacker: il Glider

Richard Stallman, guru del software libero, disse che gli hacker avevano in comune l’amore per l’eccellenza e la programmazione.

Volevano che i loro programmi fossero i migliori degli altri e volevano fargli fare cose belle, oltre a fare qualcosa in un modo molto più eccitante dicendo: “Guarda com’è meraviglioso. Scommetto che non credevi che si potesse fare!”

Nel 1970, il matematico John Conwaycreò un insieme di regole, che permise di creare un automa cellulare capace di replicarsi, ispirato da John von Neumann, altro matematico che teorizzo il concetto di virus informatico.

youtube.com/embed/R9Plq-D1gEk?…

Il risultato è stato Game of Life, un programma di automi cellulari vincolato a delle semplici regole che ne descrivevano il funzionamento, all’interno di una scacchiera di GO.

Non ci sono giocatori, non ci sono vincitori e vinti.

Le regole di Game of life

La simulazione di Conway ha lo scopo di mostrare come, da poche e semplice regole iniziali, come la vita si evolve, o un comportamento molto simile ad essa. Queste sono le regole:

1. Regola della solitudine: una cella che non è adiacente con altre celle muore.
2. Regola del sovraffollamento: una cella con più di 3 celle adiecenti, muore.
3. Regole della riproduzione: una cella vuota con tre celle adiecenti, nasce.
4. Regola della stasi: una cella che ha 2 celle esattamente nella stessa posizione, rimane nella stessa posizione.

Così come riportato nell’illustrazione in calce:
Regole di game of life
Fortunatamente per noi che abbiamo un facile accesso ai computer, possiamo scaricare ed eseguire il software Golly, una riproduzione open source del gioco della vita, ma la prima versione software di questa simulazione ci riporta indietro, agli hacker del MIT, al Tech Model Railroad Club e alle macchine PDP.

Il Glider risulta importante perché seppur è un modello semplice, può muoversi autonomamente all’interno della tavola da GO ed inoltre può creare interazioni complesse e difficili da prevedere. Le possibilità sono davvero infinite e hanno ispirato generazioni di hacker a creare risultati davvero sorprendenti.

Il contesto storico del Glider

Naturalmente il contesto storico di Game of Life lo rende ancora più rilevante, considerando anche che ne parlò un famoso articolo su Scientific American del 1970, proprio il periodo nel quale nacque Internet e Unix.

Infatti divenne immediatamente famoso per la sua capacità di creare visualizzazioni ricche di espressioni algoritmiche diventando uno dei giocattoli più affascinanti per gli appassionati di computer e per gli accademici nei primi anni ’70.

Il Glider come simbolo, venne proposto e poi adottato nel 2003 da Eric Steven Raymond come “simbolo” della cultura Hacker indipendentemente dal linguaggio di programmazione e del sistema operativo utilizzato, anche se non universalmente riconosciuto.

Conway dedicò tutta la sua vita alla matematica, lasciandoci di recente all’età di 83 anni a causa del covid-19, fornendo contributi decisivi a diverse teorie che sono ora il fondamento di molte ricerche moderne.

Non divenne famoso come John Nash probabilmente a causa della sua personalità chiusa e schiva, anche se i suoi studi non sono stati affatto da meno.

Cosa abbiamo imparato

Quindi ricordate, quando indossate una maglietta con questo simbolo o lo inserisci all’interno della tua pagina web, o lo mostri in qualche altro modo, che ti stai visibilmente associando alla cultura hacker.

Non è esattamente la stessa cosa di dire che tu sia un hacker, questo è un titolo d’onore che solo gli altri ti potranno conferire, ma utilizzando questo simbolo stai esprimendo simpatia per gli obiettivi, i valori, il modo di vivere e la cultura degli hacker.

Questa ultima è importante conoscerla bene.

L'articolo Dal Game of Life al simbolo degli hacker: la vera storia del Glider proviene da Red Hot Cyber.

Holiday cookies are a joy, and to make things a bit more fun, [The Skjegg] created the Cookie Launcher. At the touch of a button, a door opens and the tin launches a cookie (and perhaps a few crumbs) skyward. Catching it is up to the operator, but since the tin can hold up to 40 cookies at once (39 in a magazine and 1 in the launcher), there’s enough to get some practice in.

The design is a real thing of beauty, from the rotary cookie holder to the ejector. Individual cookies are held in a pan-style magazine that rotates until a tasty disk is lined up with the ejector. The red separators aren’t just for show, either. The little inward protrusion on each one interacts with an optical sensor to ensure the system always knows when things are lined up.

The launcher design is pretty neat, too. There’s a platform that uses two smooth bolts as guides, and elastic bands to store energy. A motor cranks it downward, where it locks into place. The rotary magazine then turns to line up a cookie, which gravity feeds into the launcher by rolling down an incline. When a cookie is in place, a door in the lid opens and the launcher platform releases, sending the cookie skyward.

The original concept for the Cookie Launcher involved voice activation, but training the voice module to trigger on custom Norwegian commands wasn’t very reliable. Luckily, a button is far more obedient. It may be a bit less magical to use, but in our opinion the physicality of a button push meshes perfectly well with the requirement to catch your own cookie.

You can get a good look at the operation and a detailed tour of the insides in the video, embedded below. Thanks to [Rohit] for sending in the tip!

If airborne cookies aren’t your bag, check out one a very different approach to hands-free cookie dispensing.

youtube.com/embed/iRCB_mtFyi8?…

hackaday.com/2025/12/25/cookie…

Perhaps the most beautiful aspect of mathematics is that it applies to literally everything, even things that do not exist in this Universe. In addition to this there are a number of alternative ways to represent reality, with Fourier space and its related transforms being one of the most well-known examples. An alternative to Euclidian vector space is called Hilbert space, as a real or complex inner product space, which is used in e.g. mathematical proofs. In relation to this, [Eli Bendersky] came up with the idea of treating programming language functions as vectors of a sort, so that linear algebra methods can be applied to them.

Of course, to get really nitpicky, by the time you take a function with its arguments and produce an output, it is no longer a vector, but a scalar of some description. Using real numbers as indices also somewhat defeats the whole point and claim of working in a vector space, never mind Hilbert space.

As with anything that touches upon mathematics there are sure to be many highly divisive views, so we’ll leave it at this and allow our esteemed readers to flex their intellectual muscles on this topic. Do you think that the claims made hold water? Does applying linear algebra to every day functions make sense in this manner, perhaps even hold some kind of benefit?

hackaday.com/2025/12/25/treati…

Facebook Marketplace provides you with a free grain silo, so what do you do with it? If you are [saveifforparts], you mix it with other materials and produce a retro-style rocket ship prop. Art project? Sure, we’ll call it that.

We have to admit, we also see rockets in everyday objects, and the silo does look the part. He also had some junk that looked like a nose cone, some tanks, and other assorted trash.

The electronics junk looks familiar, and after a thorough hose-down, he reused some of the front panels to drive a few sound effects. At least until some smoke came out of one of them. Adding a door proved the most challenging part.

The whole thing reminded us of a Captain Proton holodeck adventure. Honestly, if he had kept it horizontal, it would have made a fair Republic serial spaceship for Flash or Buck.

Useful? No. Cool. You bet. We doubt you’d replicate this, but we do hope it might inspire you to create your own whimsical project. Let us know when you do.

We hope he has a ray gun in there. He still has some blank bulkhead space. He may need a few more control panels.

youtube.com/embed/jRk7pVneTfE?…

hackaday.com/2025/12/25/rednec…

Although you can purchase many types of FDM filaments containing ‘carbon fiber’ these days, they are in no way related to the carbon fiber (CF) composite materials used for rocket hulls and light-weight bicycles. This is because the latter use continuous fibers, often in weaved CF mats, whereas the FDM filaments just use small, chopped, fragments of CF. Obviously this will not result in the same outcome, which makes it interesting that a company called Fibre Seek is now running a KickStarter for a very affordable co-extrusion FDM printer that can add continuous CF to any part. They also sent a few test parts to [Dr. Igor Gaspar] for testing against regular FDM CF prints.

It should be noted here that continuous CF with FDM is not new, as Markforged already does something similar, though at a ‘Contact us for a price quote’ level. The advantage of the Fibre Seek solution is then the co-extrusion that would make printing with continuous CF much more flexible and affordable. Based on the (sponsored) [CNC Kitchen] video of a few weeks ago at a tradeshow, the FibreSeeker 3 printer is effectively a standard CoreXY FDM printer, with the special co-extrusion dual print head that allows for CF to be coated with the target thermoplastic before being printed as normal.

Unfortunately for [Igor] he did not have a FibreSeeker 3 to print on, and the print request for his usual test samples got mixed up by Fibre Seek, leaving him with only 4 out of 10 items to test with. This makes this a bit of an abbreviated test, but should still provide some useful data relative to the Polymaker PETG-CF filament that was used for comparison.

Based on the limited test set, it can be said that the FibreSeeker 3 parts did generally better than the PETG-CF parts, albeit with a few asterisks. Accordingly, [Igor] is left feeling somewhat confused by Fibre Seek, but sees the potential of this new co-extrusion technology. It just feels like the FibreSeeker 3 printer is not quite finished yet, and that the true value of this approach and this new printer will have to prove themselves.

youtube.com/embed/k9qs7uOwA64?…

youtube.com/embed/dQp7yz6fzH0?…

hackaday.com/2025/12/25/fibres…

Pagers were once a great way to get a message to someone out in public; they just had to be cool enough to have one. These days, they’re mostly the preserve of doctors and a few other niche operators. [Kyle Tryon] is bringing the beeper back, though, with a custom ESP32-based build.

The ESP32 is a great microcontroller for this kind of project, because it’s got WiFi and Bluetooth connectivity built right in. This let [Kyle] write some straightforward code so that it could receive alerts via MQTT. In particular, it’s set up to go off whenever there’s an app or service notification fired off by the Sentry platform. For [Kyle]’s line of work, it’s effectively an on-call beeper that calls them in when a system needs immediate attention. When it goes off, it plays the ringtone of your choice—with [Kyle] making it capable of playing tunes in Nokia’s old-school RTTTL music format.

The code was simple enough, and the assembly wasn’t much harder. By starting with an Adafruit ESP32 Reverse TFT Feather, the screen and buttons were all ready to go right out of the box. [Kyle] merely had to print up a rad translucent case on a resin printer to make it look like a sweet fashionable beeper from the 90s.

It’s a fun little project that should prove useful, while also being nicely reminiscent of a technology that has largely fallen by the wayside.

youtube.com/embed/lnWRui3_0X0?…

hackaday.com/2025/12/25/mqtt-p…

Would you feel confident in buying US-made LiFePO₄ (LFP) batteries? While the answer here is generally expected to be ‘yes’, especially compared to getting an unbranded LFP battery off eBay from a random seller, the outcome may not be that different. Case in point the 100 Ah, 12 VDC LFP Battle Born battery that [Will Prowse] took a look at to see why its positive terminal gets positively crispy.
Battle Born battery positive terminal. (Credit: Will Prowse, YouTube)
Once the lid was cut off, it’s easy to see what the problem is: the positive terminal is only loosely attached to the bus bar, leading to extremely poor contact. It also appears that there’s a plastic spacer which has properly melted already in this well-used battery that [Will] obtained from a viewer.

This overheating issue with Battle Born batteries has been reported for years now, which makes it a great idea to take a good look at any Battle Born LFP batteries you may have kicking around, as they may be plagued by the same design flaw. Trying to make use of the manufacturer’s warranty could be complicated based on the commentators in the DIY Solar Forum thread, as Battle Born likes to claim that the overheating issue is an external problem and not a design flaw.

Either way, it looks like an incredibly sketchy way to design a battery terminal on an LFP battery that is supposed to surge 100+A. [Will] is requesting that anyone affected posts details in the forum or similar to get all information together, as he looks to push Battle Born on this issue.

What makes this issue worse is that shortly after releasing that first video, Battle Born responded to some concerned customers with a response that claims that their terminal design is a ‘thermal fail-safe’, but as can be seen in [Will]’s follow-up video, it absolutely doesn’t look like one.

youtube.com/embed/XP2yPY57Wjc?…

youtube.com/embed/7fD3yaRvp3o?…

hackaday.com/2025/12/25/born-t…

In a curious historical twist, the “Twelve days of Christmas” are actually the days of revelry that followed the 25th. The preceding period, Advent, was traditionally a fast, not unlike Lent. When and why a fast became an excuse for chocolate calendars we cannot say, but this historical information is presented to explain that this great hack by [Kevin], making a vintage speech synthesizer chip sing the classic carol will remain relevant at least until January 5th — or perhaps even the 19th, for the Orthodox amongst us.

The chip in question is an SP0256A-AL2, which you may remember from various speech projects for 8-bit computers back in the day. It can talk, after a fashion, by reproducing 56 “allophones” — the sounds that make up English speech — from ROM. Singing, though? We cannot recall much of that back in the day, but then, a talking computer was impressive enough.

As it turns out this is building on an earlier hack [Kevin] did in which he used an Arduino to make the venerable speech chip MIDI controllable. In that project’s write-up it is revealed that a Si5351 programmable clock module is used to give a variable pitch signal to the speech synthesizer. In this way he’s able to get about an octave an a half, which is good enough when the carol in question only spans one octave.

Of course the pitch signal needs to be varied by something and for that the venerable Arduino once again takes the place of an 8-bit computer. In this case it’s pre-programmed, but can also be set up for MIDI control.Of course nothing says you can’t use true retro hardware or a more-capable RP2040 instead of the Amtel chip.

It’s sad to think how much compute power has been wasted this year on AI-generated novelty carols when a little bit of 1980s silicon and some ingenuity can do nearly as good — or better, depending on your tastes.

makertube.net/videos/embed/diB…

hackaday.com/2025/12/25/twelve…

All’interno di un forum underground chiuso, frequentato da operatori malware e broker di accesso iniziale, è comparso un annuncio che ha attirato l’attenzione della comunità di cyber threat intelligence. Il post promuove “NtKiller”, una presunta utility “kernel-level” progettata per disattivare in modo silente antivirus, EDR, con riferimenti espliciti a rootkit, persistenza avanzata e bypass UAC zero-day.

Il prezzo dichiarato è di 500 dollari, con contatti diretti via Telegram e una lista di soluzioni di sicurezza “supportate” che include nomi di primo piano: Windows Defender, ESET, Kaspersky, Bitdefender, Malwarebytes e altri.

Una proposta che, se autentica, si colloca nella fascia alta del cybercrime-as-a-service.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

Cosa sono gli EDR

Gli EDR (Endpoint Detection and Response) sono soluzioni di sicurezza avanzata progettate per andare oltre il tradizionale antivirus. Il loro compito non è solo bloccare file malevoli, ma monitorare costantemente il comportamento del sistema.

In sintesi, un EDR:

• raccoglie telemetria continua dagli endpoint;
• analizza processi, chiamate di sistema, driver e memoria;
• correla eventi sospetti nel tempo;
• consente risposta attiva, come l’isolamento del sistema o la terminazione di processi.

A differenza degli AV classici, molti EDR operano a livello kernel, rendendo più difficile la loro disattivazione da parte di codice malevolo eseguito in user-mode.

Perché gli EDR sono un obiettivo primario

Nel cybercrime moderno, soprattutto nel contesto ransomware e intrusioni mirate, la prima fase dopo l’accesso iniziale è quasi sempre la neutralizzazione delle difese. Un EDR attivo:

• registra le azioni dell’attaccante;
• può generare alert in tempo reale;
• può interrompere la catena di attacco prima della fase finale.

Per questo motivo, la capacità di “accecamento” o disattivazione silente degli EDR è diventata un valore di mercato nei forum underground.

Come vengono aggirati gli EDR (livello concettuale)

I post come quello su NtKiller fanno riferimento a tecniche note a livello teorico, già osservate in campagne APT e ransomware avanzate. Non si tratta di exploit “magici”, ma di abusi profondi dell’architettura del sistema operativo.

Tra le macro-categorie di bypass comunemente discusse nei circuiti underground:

1. Abuso del livello kernel
   Portare codice malevolo allo stesso livello di privilegio dell’EDR riduce drasticamente la capacità di difesa. A questo livello, i controlli diventano una “lotta tra pari”.
2. Manipolazione dei driver
   L’uso (o abuso) di driver vulnerabili firmati è una tecnica storicamente osservata per ottenere operazioni privilegiate senza exploit diretti del kernel.
3. Disattivazione indiretta
   Invece di “uccidere” l’EDR, alcuni malware puntano a:
   
   • degradarne la visibilità;
   • interferire con la telemetria;
   • bloccare componenti di logging o comunicazione.

   
   

4. Persistenza invisibile
   Rootkit e meccanismi di avvio precoce permettono al malware di caricarsi prima delle soluzioni di sicurezza.
5. Bypass dei controlli di elevazione
   I riferimenti a UAC bypass indicano tecniche per ottenere privilegi elevati senza allertare l’utente, spesso sfruttando fiducia implicita in componenti di sistema.

Marketing underground e realtà operativa

Va sottolineato che non tutti gli annunci nei forum underground corrispondono a strumenti realmente efficaci. Molti sono:

• rebranding di tool già noti;
• proof-of-concept venduti come “weapon-grade”;
• vere e proprie truffe interne al mondo criminale.

Post come questo confermano che:

• gli EDR restano centrali nella difesa;
• il kernel è diventato un campo di battaglia;
• la sicurezza endpoint deve essere affiancata da monitoraggio comportamentale, hardening del driver model e threat hunting proattivo.

Per i difensori, osservare questi forum non significa “imparare ad attaccare”, ma capire come ragiona l’avversario, quali promesse vengono vendute e quali capacità sono considerate “di valore” nel sottobosco cybercriminale.

L'articolo EDR Nel mirino: i forum underground mettono in vendita NtKiller proviene da Red Hot Cyber.

Statistics across all threats

In Q3 2025, the percentage of ICS computers on which malicious objects were blocked decreased from the previous quarter by 0.4 pp to 20.1%. This is the lowest level for the observed period.

Percentage of ICS computers on which malicious objects were blocked, Q3 2022–Q3 2025

Regionally, the percentage of ICS computers on which malicious objects were blocked ranged from 9.2% in Northern Europe to 27.4% in Africa.

Regions ranked by percentage of ICS computers on which malicious objects were blocked

In Q3 2025, the percentage increased in five regions. The most notable increase occurred in East Asia, triggered by the local spread of malicious scripts in the OT infrastructure of engineering organizations and ICS integrators.

Changes in the percentage of ICS computers on which malicious objects were blocked, Q3 2025

Selected industries

The biometrics sector traditionally led the rankings of the industries and OT infrastructures surveyed in this report in terms of the percentage of ICS computers on which malicious objects were blocked.

Rankings of industries and OT infrastructures by percentage of ICS computers on which malicious objects were blocked

In Q3 2025, the percentage of ICS computers on which malicious objects were blocked increased in four of the seven surveyed industries. The most notable increases were in engineering and ICS integrators, and manufacturing.

Percentage of ICS computers on which malicious objects were blocked in selected industries

Diversity of detected malicious objects

In Q3 2025, Kaspersky protection solutions blocked malware from 11,356 different malware families of various categories on industrial automation systems.

Percentage of ICS computers on which the activity of malicious objects of various categories was blocked

In Q3 2025, there was a decrease in the percentage of ICS computers on which denylisted internet resources and miners of both categories were blocked. These were the only categories that exhibited a decrease.

Main threat sources

Depending on the threat detection and blocking scenario, it is not always possible to reliably identify the source. The circumstantial evidence for a specific source can be the blocked threat’s type (category).

The internet (visiting malicious or compromised internet resources; malicious content distributed via messengers; cloud data storage and processing services and CDNs), email clients (phishing emails), and removable storage devices remain the primary sources of threats to computers in an organization’s technology infrastructure.

In Q3 2025, the percentage of ICS computers on which malicious objects from various sources were blocked decreased.

Percentage of ICS computers on which malicious objects from various sources were blocked

The same computer can be attacked by several categories of malware from the same source during a quarter. That computer is counted when calculating the percentage of attacked computers for each threat category, but is only counted once for the threat source (we count unique attacked computers). In addition, it is not always possible to accurately determine the initial infection attempt. Therefore, the total percentage of ICS computers on which various categories of threats from a certain source were blocked can exceed the percentage of threats from the source itself.

• The main categories of threats from the internet blocked on ICS computers in Q3 2025 were malicious scripts and phishing pages, and denylisted internet resources. The percentage ranged from 4.57% in Northern Europe to 10.31% in Africa.
• The main categories of threats from email clients blocked on ICS computers were malicious scripts and phishing pages, spyware, and malicious documents. Most of the spyware detected in phishing emails was delivered as a password-protected archive or a multi-layered script embedded in an office document. The percentage of ICS computers on which threats from email clients were blocked ranged from 0.78% in Russia to 6.85% in Southern Europe.
• The main categories of threats that were blocked when removable media was connected to ICS computers were worms, viruses, and spyware. The percentage of ICS computers on which threats from this source were blocked ranged from 0.05% in Australia and New Zealand to 1.43% in Africa.
• The main categories of threats that spread through network folders were viruses, AutoCAD malware, worms, and spyware. The percentages of ICS computers where threats from this source were blocked ranged from 0.006% in Northern Europe to 0.20% in East Asia.

Threat categories

Typical attacks blocked within an OT network are multi-step sequences of malicious activities, where each subsequent step of the attackers is aimed at increasing privileges and/or gaining access to other systems by exploiting the security problems of industrial enterprises, including technological infrastructures.

Malicious objects used for initial infection

In Q3 2025, the percentage of ICS computers on which denylisted internet resources were blocked decreased to 4.01%. This is the lowest quarterly figure since the beginning of 2022.

Percentage of ICS computers on which denylisted internet resources were blocked, Q3 2022–Q3 2025

Regionally, the percentage of ICS computers on which denylisted internet resources were blocked ranged from 2.35% in Australia and New Zealand to 4.96% in Africa. Southeast Asia and South Asia were also among the top three regions for this indicator.

The percentage of ICS computers on which malicious documents were blocked has grown for three consecutive quarters, following a decline at the end of 2024. In Q3 2025, it reached 1,98%.

Percentage of ICS computers on which malicious documents were blocked, Q3 2022–Q3 2025

The indicator increased in four regions: South America, East Asia, Southeast Asia, and Australia and New Zealand. South America saw the largest increase as a result of a large-scale phishing campaign in which attackers used new exploits for an old vulnerability (CVE-2017-11882) in Microsoft Office Equation Editor to deliver various spyware to victims’ computers. It is noteworthy that the attackers in this phishing campaign used localized Spanish-language emails disguised as business correspondence.

In Q3 2025, the percentage of ICS computers on which malicious scripts and phishing pages were blocked increased to 6.79%. This category led the rankings of threat categories in terms of the percentage of ICS computers on which they were blocked.

Percentage of ICS computers on which malicious scripts and phishing pages were blocked, Q3 2022–Q3 2025

Regionally, the percentage of ICS computers on which malicious scripts and phishing pages were blocked ranged from 2.57% in Northern Europe to 9.41% in Africa. The top three regions for this indicator were Africa, East Asia, and South America. The indicator increased the most in East Asia (by a dramatic 5.23 pp) as a result of the local spread of malicious spyware scripts loaded into the memory of popular torrent clients including MediaGet.

Next-stage malware

Malicious objects used to initially infect computers deliver next-stage malware — spyware, ransomware, and miners — to victims’ computers. As a rule, the higher the percentage of ICS computers on which the initial infection malware is blocked, the higher the percentage for next-stage malware.
In Q3 2025, the percentage of ICS computers on which spyware and ransomware were blocked increased. The rates were:

• spyware: 4.04% (up 0.20 pp);
• ransomware: 0.17% (up 0.03 pp).

The percentage of ICS computers on which miners of both categories were blocked decreased. The rates were:

• miners in the form of executable files for Windows: 0.57% (down 0.06 pp), it’s the lowest level since Q3 2022;
• web miners: 0.25% (down 0.05 pp). This is the lowest level since Q3 2022.

Self-propagating malware

Self-propagating malware (worms and viruses) is a category unto itself. Worms and virus-infected files were originally used for initial infection, but as botnet functionality evolved, they took on next-stage characteristics.

To spread across ICS networks, viruses and worms rely on removable media and network folders in the form of infected files, such as archives with backups, office documents, pirated games and hacked applications. In rarer and more dangerous cases, web pages with network equipment settings, as well as files stored in internal document management systems, product lifecycle management (PLM) systems, resource management (ERP) systems and other web services are infected.

In Q3 2025, the percentage of ICS computers on which worms and viruses were blocked increased to 1.26% (by 0.04 pp) and 1.40% (by 0.11 pp), respectively.

AutoCAD malware

This category of malware can spread in a variety of ways, so it does not belong to a specific group.

In Q3 2025, the percentage of ICS computers on which AutoCAD malware was blocked slightly increased to 0.30% (by 0.01 pp).

For more information on industrial threats see the full version of the report.

securelist.com/industrial-thre…

These days, sim racing is more realistic than ever. There are better screens, better headsets, and better steering wheels with better force-feedback, all of which help make you feel like you’re driving the real thing. If you’re looking for a stick shifter to complete such a setup, [DAZ Projects] might have just what you’re looking for.

To create a robust shifter with great feel, the build relies on 3D printed parts as well as lots of quality metal hardware. At the heart of the build is a linear rail for the front-to-back movement, with a printed slider on top with a carefully-profiled indexer to ensure the stick properly ca-chunks into the right gear. A ball joint locates the shift lever itself, while allowing for smooth movement left-to-right. Centering is via simple extension springs. The H-pattern shift is enforced with machined steel rods. Detecting the position of the stick is handled via microswitches, with an Arduino Leonardo reading the switches and reporting itself as a USB device that should work with any modern sim.

It’s funny to think that such a mechanism would once have been a very serious machining job. These days, you can just squirt all this stuff out on a printer in a few hours. For the parts that can’t be extruded, [DAZ Projects] has provided a parts list on Google Docs.

We’ve featured some great racing sim builds over the years, from button pads to pedal boxes.

youtube.com/embed/_zBWefLVVEc?…

hackaday.com/2025/12/25/buildi…

Negli anni Microsoft ha cercato di mantenere l’impatto di BitLocker sulle prestazioni entro limiti contenuti, storicamente inferiori alla doppia cifra percentuale. L’obiettivo è sempre stato garantire la protezione dei dati senza penalizzare in modo significativo l’esperienza d’uso, un equilibrio che oggi risulta più complesso a causa dell’evoluzione dell’hardware.

La diffusione delle unità NVMe ha infatti innalzato in modo significativo le velocità di input/output. Questi dispositivi offrono prestazioni molto superiori rispetto alle generazioni precedenti, ma richiedono anche una maggiore capacità di elaborazione quando i dati vengono cifrati e decifrati in tempo reale. In questo scenario, le operazioni crittografiche di BitLocker possono incidere maggiormente sull’utilizzo della CPU.
Un diagramma che confronta un BitLocker software con un BitLocker accelerato tramite hardware. (Fonte Microsoft)
L’effetto diventa più evidente nei carichi di lavoro ad alta intensità di I/O. Attività come il gaming, l’editing video professionale o la compilazione di grandi progetti software possono risentire di un aumento della latenza o di un consumo più elevato delle risorse di sistema quando la crittografia è gestita interamente via software.

La crescente aspettativa degli utenti in termini di prestazioni ha reso necessario ripensare l’approccio alla sicurezza. La protezione dei dati resta centrale, ma deve essere accompagnata da soluzioni capaci di sfruttare le nuove architetture hardware senza trasformarsi in un collo di bottiglia.

In questo contesto, Microsoft ha annunciato il mese scorso, durante Microsoft Ignite, l’introduzione di BitLocker con accelerazione hardware. La nuova implementazione è progettata per combinare livelli di sicurezza elevati con prestazioni più efficienti, riducendo il carico computazionale sulla CPU.

A partire dall’aggiornamento di settembre 2025 per Windows 11 24H2 e con il rilascio di Windows 11 25H2, BitLocker potrà sfruttare nuove funzionalità offerte da System on Chip e CPU di prossima generazione, oltre al supporto già esistente per la tecnologia UFS Inline Crypto Engine. L’obiettivo è migliorare la gestione della crittografia sulle unità NVMe attuali e future.

Tra le principali novità rientra l’offload delle operazioni crittografiche verso motori dedicati, che consente di liberare risorse della CPU e migliorare anche l’efficienza energetica. Le chiavi di crittografia vengono inoltre protette tramite hardware, affiancando il ruolo del Trusted Platform Module e riducendo l’esposizione a vulnerabilità legate a CPU e memoria.

Nei dispositivi compatibili dotati di unità NVMe e SoC in grado di supportare l’offload crittografico, BitLocker con accelerazione hardware sarà attivo di default con algoritmo XTS-AES-256. Il supporto iniziale arriverà sui sistemi Intel vPro con processori Intel Core Ultra Series 3, nome in codice Panther Lake, con un’estensione prevista anche ad altre piattaforme hardware.

L'articolo Arriva BitLocker con accelerazione hardware: Microsoft migliora la sicurezza e le prestazioni proviene da Red Hot Cyber.

Cisco lancia nel mare dell’informazione specialistica la sua bottiglia contenente un messaggio di alert, in attesa che sia raccolta da specialisti e utenti. Il 48% dei dispositivi di rete mondiali è datato e obsoleto. Gli attaccanti state-sponsored (sponsorizzati da stati nazionali) lo sanno e sono già dentro le nostre infrastrutture. Spoiler: “funziona ancora” non è più una strategia

Milano, 15 dicembre 2025. In un recente ed esclusivo webinar organizzato da Cisco e riservato agli addetti ai lavori, al quale Red Hot Cyber ha avuto modo di partecipare, Anthony Grieco, l’uomo che stringe tra le sue mani le redini della cybersicurezza di Cisco, ha affrontato subito il tema centrale: l’infrastruttura di rete come sistema complesso.
Anthony Grieco: Chief Security & Trust Officer Cisco
In collegamento dal North Carolina, lo Chief Security and Trust Officer ha presentato una visione olistica dove componenti fisiche (hardware) e logiche (software/configurazioni) sono strettamente interconnesse per garantire la sicurezza globale. Illustrando uno studio che ha interessato oltre un milione di dispositivi che ha prodotto risultati allarmanti: quasi la metà dell’hardware mondiale sta lavorando ben oltre il suo ciclo di vita previsto (lifecycle).

Considerato il numero crescente e l’aumento esponenziale degli attacchi sempre più sofisticati, diventa imperativo avere reti più sicure, resilienti e moderne.

Il debito tecnico che tutti fingono di non vedere

“Questa è una minaccia silenziosa che molte aziende non stanno affrontando“, ha dichiarato Grieco. E non si tratta solo di un problema IT. È una vulnerabilità sistemica che mette a rischio intere economie nazionali. I numeri parlano chiaro: il 42% dei dispositivi esaminati opera su software che ha raggiunto e superato il fine vita (EOL – End of Life).

Niente più patch (aggiornamenti di sicurezza), niente più supporto. Un altro 31% usa software talmente vecchio da aver superato anche la fine del supporto (EOS – End of Support), il che significa che i produttori non correggeranno vulnerabilità critiche nemmeno se le trovano. E c’è ancora un 13% che non riceve patch da oltre tre anni.

A conti fatti: circa il 50% dei dispositivi nelle reti globali funziona su software abbandonato dai produttori. Stiamo parlando di sistemi progettati 15 o 20 anni fa, in un’era tecnologica completamente diversa.

È come affidare tutto il traffico di una città a un ponte arrugginito, senza manutenzione, sperando semplicemente che regga. Un debito tecnico che si accumula perché i budget vengono spostati dalla modernizzazione alla semplice manutenzione.

Salt Typhoon: quando la teoria diventa cronaca

Chris, responsabile delle politiche pubbliche di Cisco, prendendo la parola ha rilanciato: “La questione non è astratta“. Introducendo un argomento che supera la red line della sicurezza: gli attacchi Salt Typhoon (gruppo hacker legato alla Cina) contro i provider delle telecomunicazioni. Attori sponsorizzati dallo Stato cinese hanno compromesso reti critiche sfruttando apparecchiature Cisco a termine del loro ciclo di vita. “I pirati informatici sono perfettamente consapevoli di questo problema“, ha sottolineato Chris. “Stanno attivamente scansionando le reti alla ricerca di questi punti deboli, dove l’hardware EOL rappresenta il bersaglio più facile.“

All’appello non poteva mancare l’AI. Grieco ha lanciato il monito: “Gli avversari stanno usando l’intelligenza artificiale per accelerare la loro capacità di sfruttare le vulnerabilità infrastrutturali in tempi molto più brevi. Questo crea un’urgenza che non possiamo più ignorare.”

Tradotto: prima dell’AI, trovare una falla nei sistemi richiedeva settimane di lavoro manuale. Ora viene fatto in ore. O minuti.

Il paradosso: la filosofia del “se funziona, non lo tocco”

Uno dei nervi scoperti che affligge ogni CIO (Direttore dei Sistemi Informativi) e CISO (Responsabile della Sicurezza), dalle PA (Comuni, ASL, università) alle PMI e banche: l’hardware Cisco può funzionare tecnicamente per decenni senza aggiornamenti. Come convincere le organizzazioni a investire quando non vedono un problema visibile, anche se l’hardware è obsoleto? La risposta di Grieco è stata chirurgica: “I rischi più pericolosi sono quelli che non vedi fino a quando non è troppo tardi. Abbiamo documentato casi di attaccanti annidati dentro le reti per mesi o anni, sfruttando apparecchiature legacy (obsolete), prima che qualcuno si accorgesse della loro presenza.”

Il costo medio di una data breach (violazione dei dati) oggi? Milioni di dollari. Senza contare danni reputazionali, sanzioni regolamentarie e perdita di fiducia dei clienti.

Programmare e modernizzare un’infrastruttura costa, ma il costo è infinitamente minore di un incidente di sicurezza. Grieco chiude il punto con un’analogia folgorante per chi gestisce le operazioni: “Nessuno si sognerebbe di gestire un data center senza aria condizionata o backup elettrico. Allo stesso modo, oggi non si può gestire una rete su hardware che non è più supportato.”

Resilient Infrastructure: l’approccio secure-by-design 2.0

Cisco propone una strategia per affrontare questa crisi che si articola su tre pilastri:

1. Sensibilizzazione industriale

Non è un problema solo di Cisco. È una questione che richiede un approccio coordinato dell’intero settore tecnologico. Perché, quando un’organizzazione cade, l’ecosistema interconnesso trema.

2. Innalzamento degli standard

Cisco crede in un approccio aggressivo: rimozione proattiva di funzionalità legacy che oggi non possono più essere considerate sicure. L’implementazione seguirà un percorso graduale:

• Prima fase: avvisi di sicurezza incisivi con raccomandazioni per interrompere l’uso di funzionalità insicure
• Seconda fase: funzionalità disabilitate di default o che richiedono passaggi aggiuntivi per essere attivate
• Fase finale: opzioni insicure completamente eliminate, senza possibilità di riattivazione

3. Coinvolgimento proattivo

Quando Cisco identifica pratiche non sicure nelle reti dei clienti, interviene direttamente. Non aspetta che il cliente chiami.

Grieco ha chiuso con fermezza un dubbio sollevato durante il Q&A (dibattito): “Non ci sarà mai una licenza per la sicurezza fondamentale dei nostri prodotti. Punto. Il secure-by-design non è qualcosa per cui si paga extra: è integrato nei prodotti che costruiamo.”

Protezione in tempo reale: patch senza downtime

Elemento chiave dell’iniziativa Resilient Infrastructure: funzionalità di protezione in tempo reale contro vulnerabilità appena scoperte. L’obiettivo è permettere alle squadre di sicurezza di mitigare immediatamente i rischi senza dover pianificare patch d’emergenza o manutenzioni che causano tempi di inattività. “Vogliamo dare ai chi deve difendersi la capacità di rispondere alle minacce direttamente all’interno della rete“, ha spiegato Grieco.

Risposte più rapide, meno problemi operativi, servizi critici online anche mentre il panorama delle minacce continua a evolversi. Semplice. In teoria.

Quantum computing: la tempesta perfetta in arrivo

Altro argomento discusso durante il webinar è stato il quantum computing (calcolo quantistico). “La crittografia deve essere aggiornata, i meccanismi di sicurezza devono essere potenziati“, ha confermato Grieco. “Questo è assolutamente parte dell’iniziativa per infrastrutture resilienti.” Ma c’è un dettaglio: il calcolo quantistico è destinato a rivoluzionare gli algoritmi di crittografia attuali. La rete deve evolversi ora per supportare la crittografia post-quantistica (PQC – Post-Quantum Cryptography).

“Non si tratta di un interruttore da attivare nel prossimo decennio”, ha avvertito Grieco. “Man mano che l’IA diventerà la norma e il calcolo quantistico si avvicinerà all’adozione mainstream, chi non agisce ora lo farà a proprie spese.” Il settore deve muoversi all’unisono. Perché, quando arriverà la tempesta quantistica, sarà troppo tardi per cercare l’ombrello.

I policymaker devono svegliarsi

Altro punto discusso da Chris: l’importanza del coinvolgimento istituzionale. “I decisori politici devono iniziare a essere consapevoli dei rischi e trattare questa minaccia come una questione di protezione delle infrastrutture critiche: sistema sanitario, telecomunicazioni, bancario. Servono requisiti chiari sulla gestione degli asset, sulla pianificazione del ciclo di vita, su baseline di sicurezza minime.” Il messaggio è diretto: questa non è una responsabilità da delegare ai dipartimenti IT. Richiede commitment a livello C-suite (top management) e framework regolamentari che incentivino la modernizzazione e sanzionino la negligenza.

Non è più accettabile il “non è il mio problema”. Perché lo è di tutti.

Il monito finale (che dovrebbe tenerci svegli la notte)

“Questa è una responsabilità collettiva“, ha concluso Grieco. “Quando un’organizzazione ha hardware EOL nella propria rete, non mette a rischio solo sé stessa, ma l’intero ecosistema interconnesso. Non ci sono soluzioni magiche. Questo richiederà sforzo, energia e focus. Ma dobbiamo agire ora. Il problema dell’infrastruttura legacy non è nuovo. Grieco stesso ha iniziato a sollevare l’allarme già nel 2017. Otto anni dopo, la situazione è solo peggiorata.

La differenza oggi? L’AI ha accelerato drammaticamente i tempi di sfruttamento delle vulnerabilità. Da entrambi i lati della barricata. Per le organizzazioni che ancora operano su hardware obsoleto, il messaggio di Cisco è inequivocabile: il tempo per agire non è “prima o poi”. È adesso. Perché la prossima Salt Typhoon potrebbe già essere in corso. Invisibile. Dentro una rete che “funziona perfettamente”.

• Fonte: Webinar Cisco “Resilient Infrastructure”
• (dicembre 2025) – partecipazione diretta Red Hot Cyber con Carlo Denza
• Fonte: Cisco Security Report 2025 – analisi su 1M+ dispositivi

L'articolo Allarme globale: Cisco rivela che l’86% della rete gira su tecnologia obsoleta proviene da Red Hot Cyber.

Printing metal as easily as it is to printed with thermoplastics has been a dream for a very long time, with options for hobbyists being very scarce. This is something which [Rotoforge] seeks to change, using little more than an old Ender 3 FDM printer and some ingenuity. Best of all is that the approach on which they have been working for the past year does not require high temperature, molten metals and no fussing about with powdered metal.
Additive manufacturing using friction welding. (Credit: Ruishan Xie, et al., j.mtcomm, 2021)
Rather than an extruder that melts a thermoplastic filament, their setup uses metal wire that is fed into a friction welding tool head, the details of which are covered in the video as well as on the GitHub project page. Unlike their previous setup which we reported on last year, this new setup is both safer and much riskier. While there’s no more molten metal, instead a very loud and very fast spinning disk is used to provide the friction required for friction welding, specifically friction and rolling-based additive manufacturing (FRAM) as in the cited 2021 paper by [Ruishan Xie] et al. in Materials Today Communications. By the same lead author there’s also a 2025 paper that explores more complex implementations of FRAM.

With this method the feed wire (e.g. aluminium) will experience plastic shear, causing it to become somewhat fluid and capable of adhering to other surfaces. This same method can be used for other materials, including plastics and glass. As can be seen in the video, FRAM certainly seems viable, though it is a veritable rabbit hole of complications since you’re dealing with a high-velocity engineering challenge.

Here’s where [Rotoforge] found that slitting saws are a good, off-the-shelf option as they have basically the same high-speed-but-safely requirements. This left the motor part, which has to keep the friction wheel going. After a lot of trial and mostly error, it was found that the motor in a Dremel tool provided the solution in the form of a universal AC motor. Unlike brush-less DC motors, these AC motors are far more simpler, cheaper and can keep up a constant speed much better, which is probably why they’re still used in power tools everywhere. Ergo some cheap Vevor flex-shaft grinders were bought and adapted for some FRAM purposes.
The Rotoforge FRAM printing in action. (Credit: Rotoforge, YouTube)
Initial experiments with Al1100 aluminium alloy showed very good layer adhesion, to the point that they were very similar to a solid bar of aluminium. Due to the layered nature of the prints, they perform better than solid Al1100 parts in some tests. Thus the next challenge was to try more advanced printing techniques than a single straight line, which posed the bigger challenge and is where the basic Ender 3-based prototype met its match.

Next a fourth axis will be added to hopefully resolve some of the issues encountered with the current prototype, along with a host of other improvements to make printing more reliable and versatile. Although it’s clearly still early days for FRAM, it is rather exciting that even in a hobby setting without massive monetary investment it’s already possible to do this much.

Of course, it should definitely be said that eye- and hearing protection are absolute requirements if you intend to do some FRAM printing yourself. The video gives some idea of how loud the process is, and high-speed discs and wheels together with metalworking always introduce the exciting possibility of high-velocity shrapnel.

youtube.com/embed/tRrVOfOU9qE?…

hackaday.com/2025/12/24/printi…

We seldom talk about 3D printing lenses because most techniques can’t possibly produce transparent parts of optical quality. However, you can 3D print something like a lens, as [Luke Edwin] demonstrates, and get all kinds of crazy pictures out of it.

[Luke’s] lens isn’t really a lens, per se. There’s no transparent optical medium being used to bend light, here. Instead, he’s printed a very fine grid in a cylindrical form factor, stuck it on a lens mount, and put that on the front of a camera.

The result is effectively a set of parallel tubes that guide light on to the camera’s image sensor. With the lack of any sort of focus mechanism, you can’t use this “lens” to photograph anything more than a few centimeters away. Get something up close, though, and you can take very simple, very grainy images that are reminiscent of classic pixel art. [Luke] demonstrates this in some fun ways, using it to take photographs of money, a plant, and his own eye. The images look almost like art assets straight out of a 16-bit game. He’s got the STL file up for sale if you want to print your own at home.

We’d love to see this concept explored further, maybe with some supporting optics for more versatile use. In the meantime, you might explore other ways of using 3D printers for photographic gain.

youtube.com/embed/8ln2zjmyITk?…

hackaday.com/2025/12/24/mesh-l…

Key to efficient hardware emulation is an efficient mapping to the underlying CPU’s opcodes. Here one is free to target opcodes that may or may not have been imagined for that particular use. For emulators like the RPCS3 PlayStation 3 emulator this has led to some interesting mappings, as detailed in a video by [Whatcookie].

It’s important to remember here that the Cell processor in the PlayStation 3 is a bit of an odd duck, using a single regular PowerPC core (PPE) along with multiple much more simple co-processors called synergistic processing elements (SPEs) all connected with a high-speed bus. A lot of the focus with Cell was on floating point vector – i.e. SIMD – processing, which is part of why for a while the PlayStation 3 was not going to have a dedicated GPU.

As a result, it makes perfect sense to do creative mapping between the Cell’s SIMD instructions and those of e.g. SSE and AVX, even if Intel removing AVX-512 for a while caused major headaches. Fortunately some of those reappeared in AVX2.

The video goes through a whole range of Cell-specific instructions, how they work, and what x86 SIMD instructions they were mapped to and why. The SUBD instruction for example is mapped to VPDPBUSD as well as VDBPSADBW in AVX-512, the latter of which mostly targets things like video encoding. In the end it’s the result that matters, even if it also shows why the Cell processor was so interesting for high-performance compute clusters back in the day.

youtube.com/embed/40tyEVx_umY?…

hackaday.com/2025/12/24/abusin…

Disposable cameras are a fun way to get into classical photography. However, they can also be a valuable source of interesting parts that can be put to other uses. For example, as [Billt] demonstrates, their viewfinders can be repurposed into a rather interesting lens for more serious cameras.

[Billt] was lucky enough to score a grabbag of used disposable cameras from a local film lab, and tore them down for parts. He was particularly interested in the viewfinders, since Kodak equipped its disposable cameras with actual plastic lenses for this very purpose.

[Billt] wanted to see what these lenses would do when thrown on the front of a proper digital camera, and set about designing a mount for that purpose. The 3D printed part was designed to mount one of the viewfinder lens assemblies on the front of any Sony E-mount camera. In a rather nifty trick, [Billt] realized the lens assembly could be installed in the adapter by pausing mid-way through the 3D print to drop it in. The only unfortunate thing? The lenses didn’t really work, and all the camera could see was a haze of unfocused light.

With the aid of some cardboard experiments, [Billt] decided to make some changes. The front element of the viewfinder was dumped, with the rear element being used solo instead. This was fitted to the adapter on a simple slide mechanism so that focus could be reliably adjusted. With these changes, the lens came good, and provided some really interesting shots. It’s quite a cropped lens and it can achieve a very close focus distance, as little as 1 inch in testing. It’s quite sharp in the center of the image, while softly blurring out towards the edges—something that sounds very familiar if you’ve used one of these disposable cameras in the wild.

Sometimes it’s fun to grab a random piece of junk to see if you can turn it into something good. Video after the break.

youtube.com/embed/kFDJlVilFP0?…

hackaday.com/2025/12/24/dispos…

There are plenty of lovely e-readers out on the market that come with an nice big e-paper display. There aren’t nearly as many that come with two. [Martin den Hoed] developed the Diptyx e-reader with such a design in order to better replicate the paper books of old.

The build is based around the ESP32-S3, a powerful microcontroller which comes with the benefit of having WiFi connectivity baked in. It’s hooked up to a pair of 648×480 e-paper displays, which are installed in a fold-open housing to create the impression that one is reading a traditional book. The displays themselves are driven with custom look-up tables to allow for low-latency updates when turning pages. The firmware of the device is inspired by the epub reader from [Atomic14], and can handle different fonts and line spacing without issue. Power is from a pair of 1,500 mAh lithium-polymer cells, which should keep the device running for a good long time, and they can be charged over USB-C like any modern gadget.

You can follow along with the project on the official website, or check it out on Crowd Supply if you’re so inclined. The project is intended to be open source, with files to be released once the design is finalized for an initial production run.

We’ve seen some great DIY e-reader builds over the years, and we’re loving the development we’re seeing in the writer deck space, too. If you’re whipping up something fun in this vein, be sure to let us know on the tipsline!

hackaday.com/2025/12/24/diy-e-…

Mentre la consapevolezza sulla cybersicurezza cresce, il mercato nero dei dati personali non accenna a fermarsi.

Un recente post apparso su un noto forum frequentato da criminali informatici in lingua russa, scoperto dai ricercatori di Red Hot Cyber, mette in luce una realtà inquietante: la svendita sistematica della nostra identità digitale, con un focus particolare sul nostro Paese.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

L’Annuncio dello Scandalo

L’utente “aisdata”, un venditore con una reputazione consolidata all’interno della piattaforma (come indicato dal grado “Seller” e dalle transazioni garantite), ha messo in vendita un database mastodontico.

Il prezzo fissato per l’intero pacchetto è di $5.000, una cifra irrisoria se rapportata all’immensa quantità di dati sensibili contenuti.

Il bersaglio Italia: numeri da capogiro

Ciò che emerge dall’analisi dettagliata dei file è un dato che deve far riflettere. Il criminale sta vendendo un pacchetto specifico per l’Italia che conta ben 26.351.868 numeri di telefono.

Non si tratta di semplici sequenze numeriche anonime: secondo quanto riportato dal venditore, il database include l’abbinamento diretto tra Nome, Cognome e Numero di Telefono. Questa combinazione trasforma un semplice elenco in una mappa precisa per colpire milioni di cittadini con attacchi mirati.

I Numeri della Violazione Globale

Oltre al caso critico dell’Italia, la scala dell’operazione è globale. Dalla lista parziale visibile nello screenshot, emergono altre cifre impressionanti:

• Brasile: oltre 8 milioni di numeri.
• Bangladesh: oltre 3,7 milioni di numeri.
• Belgio: oltre 3,1 milioni di numeri.
• Austria: oltre 1,2 milioni di numeri.

Quali sono i rischi per gli utenti?

La presenza di nome e cognome accanto al numero di telefono eleva drasticamente il pericolo:

1. Vishing e Smishing personalizzati: Ricevere un messaggio o una chiamata truffaldina in cui l’interlocutore ci chiama per nome aumenta drasticamente le probabilità che la vittima cada nel tranello (es. “Gentile Mario Rossi, la sua banca la informa che…”).
2. Furto d’identità: Questi dati sono la base perfetta per aprire account falsi o richiedere servizi a nome della vittima.
3. Ingegneria Sociale: Conoscendo l’identità del bersaglio, i criminali possono effettuare ricerche sui social media per rendere le truffe ancora più credibili.

Come proteggersi?

In un momento in cui i dati di metà della popolazione italiana potrebbero essere nelle mani di malintenzionati, è fondamentale:

• Massima allerta: Diffidare di qualsiasi comunicazione inaspettata, anche se il mittente sembra conoscere il nostro nome.
• Verifica dei canali: Non cliccare mai su link ricevuti via SMS. Se la banca o un servizio chiama, riagganciare e richiamare il numero ufficiale dell’assistenza clienti.
• Protezione Account: Utilizzare app di autenticazione (OTP) e non affidarsi solo agli SMS per la sicurezza dei propri profili online.

Il post di “aisdata” è un duro monito: la nostra privacy ha un prezzo sul mercato nero, e il fatto che oltre 26 milioni di italiani siano stati “schedati” conferma che la sicurezza dei dati è la vera emergenza del nostro tempo.

L'articolo 26 milioni di nomi e numeri telefonici di italiani messi all’asta nel Dark Web proviene da Red Hot Cyber.

If you read about Hall effect sensors — the usual way to detect and measure magnetic fields these days — it sounds deceptively simple. There’s a metal plate with current flowing across it in one direction, and sensors at right angles to the current flow. Can it really be that simple? According to a recent article in Elektor, [Burkhard Kainka] says yes.

The circuit uses a dual op amp with very high gain, which is necessary because the Hall voltage with 1 A through a 35 micron copper layer (the thickness on 1 oz copper boards) is on the order of 1.5 microvolts per Tesla. Of course, when dealing with tiny voltages like that, noise can be a problem, and you’ll need to zero the amplifier circuit before each use.

The metal surface? A piece of blank PCB. Copper isn’t the best material for a Hall sensor, but it is readily available, and it does work. Of course, moving the magnet can cause changes, and the whole thing is temperature sensitive. You wouldn’t want to use this setup for a precision measurement. But for an experimental look at the Hall effect, it is a great project.

Today, these sensors usually come in a package. If you want to know more about the Hall effect, including who Edwin Hall was, we can help with that, too.

hackaday.com/2025/12/24/roll-y…

Currently quartz crystal-based oscillators are among the most common type of clock source in electronics, providing a reasonably accurate source in a cheap and small package. Unfortunately for high accuracy applications, atomic clocks aren’t quite compact enough to fit into the typical quartz-based temperature-compensated crystal oscillators (TCXOs) and even quartz-based solutions are rather large. The focus therefore has been on developing doped silicon MEMS solutions that can provide a similar low-drift solution as the best compensated quartz crystal oscillators, with the IEEE Spectrum magazine recently covering one such solution.

Part of the DARPA H6 program, [Everestus Ezike] et al. developed a solution that was stable to ±25 parts per billion (ppb) over the course of eight hours. This can be contrasted with a commercially available TCXO like the Microchip MX-503, which boasts a frequency stability of ±30 ppb.

Higher accuracy is achievable by swapping the TCXO for an oven-controlled crystal oscillator (OCXO), with the internal temperature of the oscillator not compensated for, but rather controlled with an active heater. There are many existing OCXOs that offer down to sub-1 ppb stability, albeit in quite a big package, such as the OX-171 with a sizable 28×38 mm footprint.

With a MEMS silicon-based oscillator in OXCO configuration [Yutao Xu] et al. were able to achieve a frequency stability of ±14 ppb, which puts it pretty close to the better quartz-based oscillators, yet within a fraction of the space. As these devices mature, we may see them eventually compete with even the traditional OCXO offerings, though the hyperbolic premise of the IEEE Spectrum article of them competing with atomic clocks should be taken with at least a few kilograms of salt.

Thanks to [anfractuosity] for the tip.

hackaday.com/2025/12/24/silico…

There’s no accounting for taste, but it’s hard to argue with The Autopian when they declare that this Nixie tube dash by [David Forbes] is “the coolest speedometer of all time” — well, except to quibble that it’s also the coolest tachometer, temperature gauge, oil pressure indicator, and voltmeter. Yeah, the whole instrument cluster is on [David]’s Volvo PV544 is nixified, and we’re here for it.

He’s using a mixture of tubes here– the big ones in the middle are the speedo and tachometer, while the ovals on either side handle the rest. There’s a microcontroller on the front of the firewall that acts a bit like a modern engine control unit (ECU) — at least for the gauges; it sounds like the Volvo’s engine is stock, and that means carbureted for a car of that vintage.

The idea that this hack could have been done back in the 50s when the car was new just tickles us pink. Though you’d have probably needed enough valves to fill up the boot, as our British friends would say. Translate that to “enough vacuum tubes to fill the trunk” if you’re in one of the rebellious colonies.

We’ve featured [David]’s projects previously, in the form of his wearable video coat. But his best known work is arguably the Nixie Watch, famously the timepiece of choice for Steve Wozniak.

Thanks to [JohnU] for the tip!

All images by Griffin Riley via The Autopian

hackaday.com/2025/12/24/nixie-…

Pier Giorgio Perotto (per chi non conosce questo nome), è stato un pioniere italiano dell’elettronica, che negli anni 60 quando lavorava presso la Olivetti, guidò il team di progettazione che costruì il Programma 101 (o P101), il primo computer desktop della storia.

Il P101 (chiamata anche Perottina), venne lanciato alla Fiera mondiale di New York del 1964, e venne utilizzato anche dalla NASA per pianificare e calcolare le orbite dei programmi spaziali, compresa la missione Apollo 11 che portò l’uomo sulla luna. Per chi volesse approfondire la storia del Programma 101, potete vedere il video sul canale YouTube di Red Hot Cyber.

Ma quello di cui parleremo oggi, è un pezzo tratto dal libro Programma 101 scritto da Perotto, che ci racconta una storia appassionante, scritta negli anni 2000.

Sebbene siano passati molti anni da quando Perotto scrisse questo libro, all’interno ritroviamo una sintesi di passaggi interessanti ed attuali sul perché l’Italia sia un paese di innovatori disarmati che faticano ad emergere a causa dalla poca lungimiranza di un paese che predilige la logica dell’imitazione, con la propensione a voler essere un perenne “follower” della tecnologia di oltre oceano, piuttosto che “influencer” della scena geopolitica internazionale.

La strategia non serve

E’ possibile realizzare un nuovo rivoluzionario prodotto elettronico in un’azienda che non ne vuole assolutamente sapere e, anzi, fa sua una strategia di rifiuto dell’elettronica e di persistenza a oltranza nella tradizionale tecnologia meccanica? In Italia è possibile, ed è successo all’Olivetti negli anni ’60.

Il prodotto di cui parliamo è il personal computer, anzi, (se vogliamo usare il lessico di allora),il computer personale, altrimenti detto Perottina: questi almeno erano i neologismi coniati per l’occasione ad uso esterno e interno all’azienda. Le ragioni per le quali vale la pena di ricordare il caso dell’invenzione del PC non sono solo quella di riaffermare una priorità mondiale italiana o di ripercorrere un lamentevole amarcord, ma piuttosto di trarne insegnamenti per capire e affrontare i problemi attuali della scarsa capacità innovativa del nostro paese, una limitazione cruciale, che persiste e che condizionerà il nostro sviluppo prossimo venturo.
Una foto del team del programma 101, dove in basso a sinistra è presente Piergiorgio Perotto
L’Italia non è, oggi come ieri, affetta solo da una specie di idiosincrasia o di horror vacui per quanto concerne la ricerca (per la quale, come è noto, siamo agli ultimi posti tra i paesi industrializzati, come rapporto tra investimenti e PIL), ma soprattutto da una cultura industriale che aborre l’idea di correre i rischi connessi all’apertura di nuovi settori.

Disgraziatamente, siamo oggi in un periodo storico nel quale si stanno costruendo i fondamenti della società dell’informazione nel mondo e l’apertura di nuovi settori è proprio l’evento più tipico e maggiormente portatore di rivoluzionarie innovazioni. Ma in Italia gli innovatori, come profeti disarmati, continuano ad avere vita grama e, soprattutto nelle grandi aziende, la cultura dominante è quella dell’imitazione pedissequa delle mode d’oltreoceano e della rinuncia. Congenitamente, l’imprenditoria italiana è affetta da una sindrome che la porta a privilegiare la strategia del follower, una forma di sciovinismo alla rovescia.

Un caso paradigmatico

Le vicende accadute in Olivetti trent’anni fa sono paradigmatiche, e vale quindi la pena di riassumerle. Lo scenario è quello del 1961. La Olivetti è ancora traumatizzata per la improvvisa scomparsa di Adriano e all’orizzonte si profilano i sintomi di una recessione economica con la quale si sta chiudendo il decennio del miracolo economico.

L’azienda è impegnata in due avventure, entrambe volute da Adriano: lo sviluppo della Divisione Elettronica per progettare e produrre computer e la ‘digestione’ della Underwood, l’azienda americana da poco acquisita per conquistare il mercato nordamericano. Ma nessuna delle due operazioni era condivisa dall’establishment dell’azienda, abituato ai profitti derivati dal grande successo mondiale della Divisumma 24, calcolatrice uscita dalla magica matita di Natale Capellaro (un geniale operaio, scoperto da Adriano e da questi nominato direttore generale).

Mentre, però, l’acquisizione della Underwood era bene o male accettata (anche se a posteriori si rivelò un’operazione disastrosa) in quanto conforme a una certa normale politica di espansione commerciale nei settori tradizionali dell’azienda, quello che non andava giù ai conservatori era l’avventura dell’elettronica, vista come un settore pericoloso e incerto. Si dice che l’idea di progettare computer provenisse da Enrico Fermi e venisse formulata in occasione di una sua visita in Italia nel 1949, nel corso della quale incontrò Adriano.

Ma io credo che l’Olivetti si innamorò dell’idea perché intravide nell’informatica un ruolo di scienza regolatrice e creatrice di un superiore ordine estetico in un campo immateriale come quello dell’informazione, così come l’urbanistica e l’architettura lo sono nel progetto delle città. Ma Adriano Olivetti era un isolato, che invece di godere dell’appoggio e della stima dell’establishment industriale se ne tirò addosso l’ostilità e la diffidenza.

Il risultato fu che, alla sua morte, l’operazione elettronica dell’Olivetti entrò in una crisi che non saprei definire se più ideologica o finanziaria, crisi che colpì d’altra parte l’intera azienda. Io ebbi la ventura di essere testimone diretto della drammatica vicenda, che si concluse nel 1964 con l’infausta rinuncia e la cessione dell’intero settore elettronico alla General Electric, in quanto feci parte dei ricercatori reclutati per il laboratorio di ricerche elettroniche di Pisa, il primo insediamento dedicato a questa nuova tecnologia.

La cessione della divisione elettronica Olivetti maturò – in tragica e assurda coincidenza con l’avvio della rivoluzione microelettronica mondiale – per la precisa determinazione dei poteri forti della finanza e dell’industria nazionale ad uccidere l’iniziativa, nella totale indifferenza delle forze politiche.

Innovare dietro le quinte

Ricordo perfettamente una dichiarazione del professor Valletta (presidente della Fiat e ispiratore del gruppo di intervento che all’inizio del 1964 prese le redini dell’Olivetti) a proposito della crisi:

“La società di Ivrea è strutturalmente solida e potrà superare senza grandi difficoltà il momento critico. Sul suo futuro pende però una minaccia, un neo da estirpare: l’essersi inserita nel settore elettronico, per il quale occorrono investimenti che nessuna azienda italiana può affrontare”.

Non ci volle molto a capire, quando il nuovo management si insediò ai comandi, quale sarebbe stata la sorte dell’elettronica. Non fu detto nulla di ufficiale, ma la strategia fu quella di un rilancio generale di tutti i prodotti meccanici; e la cosa fu pensata in grande stile, organizzando una presentazione alla mostra internazionale dei prodotti per l’ufficio, nell’ottobre del 1965 a New York.

Nel frattempo la divisione elettronica venne silenziosamente ceduta alla General Electric. Fu detto che l’operazione e la conseguente collaborazione con la G.E. sarebbe servita a riversare sull’Olivetti i frutti dei grandi laboratori di ricerca americani, che l’elettronica Olivetti non moriva e che in futuro ne avrebbe tratto dei giovamenti; ma tutti si resero conto che si trattava di una mistificazione.

E più di tutti me ne resi conto io stesso che, avendo partecipato alle trattative e lavorando nei laboratori elettronici ceduti agli americani (dei quali potei saggiare l’arroganza e le loro intenzioni esclusivamente commerciali), ebbi l’occasione di conoscere le vere motivazioni dell’operazione. Per questo ebbi la malaugurata idea, da giovane ingenuo, di contestare la cessione, ottenendo il risultato di essere dagli americani restituito all’Olivetti, con la preghiera di togliermi di torno.

Molti pensano con riverenza alla strategia come a una nobile attività nella quale si decidono le sorti future di una azienda. Nel caso specifico, le sorti dell’Olivetti furono decise dalla non strategia! Mi spiego meglio. Il mio rientro in Olivetti dopo la cacciata mi consentì di dedicarmi a una di quelle attività di studio che le aziende portano avanti di solito nella più completa indifferenza: si trattava di esplorare la possibilità futura di costruire con tecnologie elettroniche prodotti per l’ufficio.

La cosa sembrava allora tanto più inverosimile e improbabile in quanto negli anni ’60 esistevano solo grandi calcolatori, operanti in centri di calcolo ben lontani dal mondo degli uffici, e nessuna persona ragionevole pensava che si potessero fare delle macchine elettroniche di costo e dimensioni tali da stare sulla scrivania di un singolo individuo. Venni quindi confinato con qualche collaboratore in un piccolo laboratorio di Milano, in territorio ormai della G.E., perché se agli americani ero inviso, il clima ad Ivrea, tempio della meccanica, non era molto migliore.

Ma questa volta il gruppo di intervento, che aveva puntato tutto sul rilancio della meccanica, fu davvero sfortunato, perché una piccola grande idea germogliò inaspettatamente nel mio laboratorio: quella del computer personale (anticipando di ben dieci anni i P.C. introdotti in America!). Non voglio qui raccontare le drammatiche vicende che portarono a questo risultato (e rimando al libro di cui questo articolo costituisce una sintesi). Ma l’imbarazzo e l’indifferenza con cui il nuovo management accolse la notizia dell’imprevista epifania emersa dalle stive dell’azienda ebbero almeno il merito diportare a una timida ma positiva decisione: quella di esporre la nuova macchina, come puro modello dimostrativo, in una saletta riservata della mostra newyorkese. Quello che non fece la strategia, lo fece il complesso di colpa legato alla cessione dell’elettronica e la voglia di far vedere che la Olivetti, in fondo, sì, qualcosa di esplorativo con l’elettronica, pur non credendoci, faceva ancora.

Quello che successe alla fiera fu però straordinario e sconvolgente: il pubblico americano capì perfettamente quello che il management dell’azienda non aveva capito, ossia il valore rivoluzionario della “Programma 101”; trattò con assoluta indifferenza i prodotti meccanici esposti in pompa magna e si assiepò nella saletta per vedere quello che il nuovo prodotto era in grado di fare. La stampa, specializzata e non, segnò con i suoi articoli entusiastici il successo di una presentazione e di un evento non voluto. In pratica, il nuovo computer fu letteralmente risucchiato dal mercato: si può dire che non fu venduto, fu solo comprato!

Questo caso insegna che…

Quale insegnamento trarre per i nostri giorni?

La New Economy che sta nascendo nel mondo attorno alla rete delle reti consente oggi agli innovatori di creare aziende basate solo sulla forza di un’idea. Nel 1965 questo non era possibile, ma attraverso il web le soglie da superare per creare un nuovo business si sono ora drasticamente abbassate. Abbiamo addirittura singoli individui che si permettono di sfidare i giganti mondiali dell’informatica (vedi il caso dello studente finlandese Linus Tordvald, che sfida la Microsoft col suo sistema operativo Linux). E ho anche l’impressione che oggi gli inventori possano non solo non morire poveri, ma addirittura scalare le classifiche mondiali dei super-ricchi.

Un altro insegnamento che si può trarre dal “caso” della “Programma 101” (caso poi realmente usato nei corsi Mba di Harward) è quello della gestione delle discontinuità, che rappresenta situazioni sempre più frequenti nella società contemporanea.

Sono finiti i tempi nei quali il futuro poteva essere estrapolato dalle vicende del passato. Nel campo delle tecnologie, ma anche nel mondo delle applicazioni, le innovazioni rappresentano, in genere, rotture col passato: le nuove tecnologie operano come tecnologie killer di quelle tradizionali e costituiscono la base di nuovi paradigmi; e le aziende che le sanno sfruttare raramente si ritrovano tra quelle leader delle vecchie.

Infatti, la leadership dell’Olivetti nella meccanica dei calcolatori e delle macchine per scrivere aveva attenuato o spento la capacità di intuire e sentire i segnali deboli premonitori della imminente rivoluzione microelettronica che avrebbe di lì a poco trasformato il mondo.

Se il piccolo gruppo di riottosi progettisti della “Programma 101” non avesse avuto la forza e il coraggio di affermare coi fatti le potenzialità delle nuove tecnologie (per farsi poi artefice della grande mutazione dell’azienda, dalla meccanica all’elettronica), l‘azienda avrebbe fatto negli anni ’60 la stessa fine di tanti nomi prestigiosi nel settore del calcolo e degli altri prodotti per ufficio, scomparsi e non più risorti.

Mi auguro, infine, che la storia della “Programma 101” contribuisca a motivare tanti giovani dotati di capacità creative ad osare e a rischiare, senza lasciarsi condizionare dai benpensanti del momento, che nel nostro paese in troppi casi sono portatori di quella cultura della rinuncia e della pavidità, che fa correre il rischio al nostro sistema-nazionale di restare escluso dall’affascinante compito di edificare la società del ventunesimo secolo.

Vorrei anche che questo articolo, e il libro di cui costituisce una sintesi siano percepiti come un omaggio alla figura di Adriano Olivetti, imprenditore illuminato e incompreso che precursore dei tempi.

E’ passato molto tempo da quando Perotto scrisse questo libro, ma molte cose sembrano ancora attuali. Anche Adriano Olivetti disse:

“L’Italia procede ancora nel compromesso, nei vecchi sistemi del trasformismo politico, del potere burocratico, delle grandi promesse, dei grandi piani e delle modeste realizzazioni.”

Ma speriamo nel futuro, che tutto questo cambi in fretta.

L'articolo Piergiorgio Perotto, L’inventore del P101, Spiega il Perché l’Italia è Destinata ad Essere Un Perenne Follower proviene da Red Hot Cyber.

Introduction

The Evasive Panda APT group (also known as Bronze Highland, Daggerfly, and StormBamboo) has been active since 2012, targeting multiple industries with sophisticated, evolving tactics. Our latest research (June 2025) reveals that the attackers conducted highly-targeted campaigns, which started in November 2022 and ran until November 2024.

The group mainly performed adversary-in-the-middle (AitM) attacks on specific victims. These included techniques such as dropping loaders into specific locations and storing encrypted parts of the malware on attacker-controlled servers, which were resolved as a response to specific website DNS requests. Notably, the attackers have developed a new loader that evades detection when infecting its targets, and even employed hybrid encryption practices to complicate analysis and make implants unique to each victim.

Furthermore, the group has developed an injector that allows them to execute their MgBot implant in memory by injecting it into legitimate processes. It resides in the memory space of a decade-old signed executable by using DLL sideloading and enables them to maintain a stealthy presence in compromised systems for extended periods.

Additional information about this threat, including indicators of compromise, is available to customers of the Kaspersky Intelligence Reporting Service. Contact: intelreports@kaspersky.com.

Technical details

Initial infection vector

The threat actor commonly uses lures that are disguised as new updates to known third-party applications or popular system applications trusted by hundreds of users over the years.

In this campaign, the attackers used an executable disguised as an update package for SohuVA, which is a streaming app developed by Sohu Inc., a Chinese internet company. The malicious package, named sohuva_update_10.2.29.1-lup-s-tp.exe, clearly impersonates a real SohuVA update to deliver malware from the following resource, as indicated by our telemetry:
p2p.hd.sohu.com[.]cn/foxd/gz?f…
There is a possibility that the attackers used a DNS poisoning attack to alter the DNS response of p2p.hd.sohu.com[.]cn to an attacker-controlled server’s IP address, while the genuine update module of the SohuVA application tries to update its binaries located in appdata\roaming\shapp\7.0.18.0\package. Although we were unable to verify this at the time of analysis, we can make an educated guess, given that it is still unknown what triggered the update mechanism.

Furthermore, our analysis of the infection process has identified several additional campaigns pursued by the same group. For example, they utilized a fake updater for the iQIYI Video application, a popular platform for streaming Asian media content similar to SohuVA. This fake updater was dropped into the application’s installation folder and executed by the legitimate service qiyiservice.exe. Upon execution, the fake updater initiated malicious activity on the victim’s system, and we have identified that the same method is used for IObit Smart Defrag and Tencent QQ applications.

The initial loader was developed in C++ using the Windows Template Library (WTL). Its code bears a strong resemblance to Wizard97Test, a WTL sample application hosted on Microsoft’s GitHub. The attackers appear to have embedded malicious code within this project to effectively conceal their malicious intentions.

The loader first decrypts the encrypted configuration buffer by employing an XOR-based decryption algorithm:
for ( index = 0; index < v6; index = (index + 1) )
{
if ( index >= 5156 )
break;
mw_configindex ^= (&mw_deflated_config + (index & 3));
}
After decryption, it decompresses the LZMA-compressed buffer into the allocated buffer, and all of the configuration is exposed, including several components:

• Malware installation path: %ProgramData%\Microsoft\MF
• Resource domain: http://www.dictionary.com/
• Resource URI: image?id=115832434703699686&product=dict-homepage.png
• MgBot encrypted configuration

The malware also checks the name of the logged-in user in the system and performs actions accordingly. If the username is SYSTEM, the malware copies itself with a different name by appending the ext.exe suffix inside the current working directory. Then it uses the ShellExecuteW API to execute the newly created version. Notably, all relevant strings in the malware, such as SYSTEM and ext.exe, are encrypted, and the loader decrypts them with a specific XOR algorithm.

Decryption routine of encrypted strings

If the username is not SYSTEM, the malware first copies explorer.exe into %TEMP%, naming the instance as tmpX.tmp (where X is an incremented decimal number), and then deletes the original file. The purpose of this activity is unclear, but it consumes high system resources. Next, the loader decrypts the kernel32.dll and VirtualProtect strings to retrieve their base addresses by calling the GetProcAddress API. Afterwards, it uses a single-byte XOR key to decrypt the shellcode, which is 9556 bytes long, and stores it at the same address in the .data section. Since the .data section does not have execute permission, the malware uses the VirtualProtect API to set the permission for the section. This allows for the decrypted shellcode to be executed without alerting security products by allocating new memory blocks. Before executing the shellcode, the malware prepares a 16-byte-long parameter structure that contains several items, with the most important one being the address of the encrypted MgBot configuration buffer.

Multi-stage shellcode execution

As mentioned above, the loader follows a unique delivery scheme, which includes at least two stages of payload. The shellcode employs a hashing algorithm known as PJW to resolve Windows APIs at runtime in a stealthy manner.
unsigned int calc_PJWHash(_BYTE *a1)
{
unsigned int v2;
v2 = 0;
while ( *a1 )
{
v2 = *a1++ + 16 * v2;
if ( (v2 & 0xF0000000) != 0 )
v2 = ~(v2 & 0xF0000000) & (v2 ^ ((v2 & 0xF0000000) >> 24));
}
return v2;
}
The shellcode first searches for a specific DAT file in the malware’s primary installation directory. If it is found, the shellcode decrypts it using the CryptUnprotectData API, a Windows API that decrypts protected data into allocated heap memory, and ensures that the data can only be decrypted on the particular machine by design. After decryption, the shellcode deletes the file to avoid leaving any traces of the valuable part of the attack chain.

If, however, the DAT file is not present, the shellcode initiates the next-stage shellcode installation process. It involves retrieving encrypted data from a web source that is actually an attacker-controlled server, by employing a DNS poisoning attack. Our telemetry shows that the attackers successfully obtained the encrypted second-stage shellcode, disguised as a PNG file, from the legitimate website dictionary[.]com. However, upon further investigation, it was discovered that the IP address associated with dictionary[.]com had been manipulated through a DNS poisoning technique. As a result, victims’ systems were resolving the website to different attacker-controlled IP addresses depending on the victims’ geographical location and internet service provider.

To retrieve the second-stage shellcode, the first-stage shellcode uses the RtlGetVersion API to obtain the current Windows version number and then appends a predefined string to the HTTP header:
sec-ch-ua-platform: windows %d.%d.%d.%d.%d.%d
This implies that the attackers needed to be able to examine request headers and respond accordingly. We suspect that the attackers’ collection of the Windows version number and its inclusion in the request headers served a specific purpose, likely allowing them to target specific operating system versions and even tailor their payload to different operating systems. Given that the Evasive Panda threat actor has been known to use distinct implants for Windows (MgBot) and macOS (Macma) in previous campaigns, it is likely that the malware uses the retrieved OS version string to determine which implant to deploy. This enables the threat actor to adapt their attack to the victim’s specific operating system by assessing results on the server side.

Downloading a payload from the web resource

From this point on, the first-stage shellcode proceeds to decrypt the retrieved payload with a XOR decryption algorithm:
key = *(mw_decryptedDataFromDatFile + 92);
index = 0;
if ( sz_shellcode )
{
mw_decryptedDataFromDatFile_1 = Heap;
do
{
*(index + mw_decryptedDataFromDatFile_1) ^= *(&key + (index & 3));
++index;
}
while ( index < sz_shellcode );
}
The shellcode uses a 4-byte XOR key, consistent with the one used in previous stages, to decrypt the new shellcode stored in the DAT file. It then creates a structure for the decrypted second-stage shellcode, similar to the first stage, including a partially decrypted configuration buffer and other relevant details.

Next, the shellcode resolves the VirtualProtect API to change the protection flag of the new shellcode buffer, allowing it to be executed with PAGE_EXECUTE_READWRITE permissions. The second-stage shellcode is then executed, with the structure passed as an argument. After the shellcode has finished running, its return value is checked to see if it matches 0x9980. Depending on the outcome, the shellcode will either terminate its own process or return control to the caller.

Although we were unable to retrieve the second-stage payload from the attackers’ web server during our analysis, we were able to capture and examine the next stage of the malware, which was to be executed afterwards. Our analysis suggests that the attackers may have used the CryptProtectData API during the execution of the second shellcode to encrypt the entire shellcode and store it as a DAT file in the malware’s main installation directory. This implies that the malware writes an encrypted DAT file to disk using the CryptProtectData API, which can then be decrypted and executed by the first-stage shellcode. Furthermore, it appears that the attacker attempted to generate a unique encrypted second shellcode file for each victim, which we believe is another technique used to evade detection and defense mechanisms in the attack chain.

Secondary loader

We identified a secondary loader, named libpython2.4.dll, which was disguised as a legitimate Windows library and used by the Evasive Panda group to achieve a stealthier loading mechanism. Notably, this malicious DLL loader relies on a legitimate, signed executable named evteng.exe (MD5: 1c36452c2dad8da95d460bee3bea365e), which is an older version of python.exe. This executable is a Python wrapper that normally imports the libpython2.4.dll library and calls the Py_Main function.

The secondary loader retrieves the full path of the current module (libpython2.4.dll) and writes it to a file named status.dat, located in C:\ProgramData\Microsoft\eHome, but only if a file with the same name does not already exist in that directory. We believe with a low-to-medium level of confidence that this action is intended to allow the attacker to potentially update the secondary loader in the future. This suggests that the attacker may be planning for future modifications or upgrades to the malware.

The malware proceeds to decrypt the next stage by reading the entire contents of C:\ProgramData\Microsoft\eHome\perf.dat. This file contains the previously downloaded and XOR-decrypted data from the attacker-controlled server, which was obtained through the DNS poisoning technique as described above. Notably, the implant downloads the payload several times and moves it between folders by renaming it. It appears that the attacker used a complex process to obtain this stage from a resource, where it was initially XOR-encrypted. The attacker then decrypted this stage with XOR and subsequently encrypted and saved it to perf.dat using a custom hybrid of Microsoft’s Data Protection Application Programming Interface (DPAPI) and the RC5 algorithm.

General overview of storing payload on disk by using hybrid encryption

This custom encryption algorithm works as follows. The RC5 encryption key is itself encrypted using Microsoft’s DPAPI and stored in the first 16 bytes of perf.dat. The RC5-encrypted payload is then appended to the file, following the encrypted key. To decrypt the payload, the process is reversed: the encrypted RC5 key is first decrypted with DPAPI, and then used to decrypt the remaining contents of perf.dat, which contains the next-stage payload.

The attacker uses this approach to ensure that a crucial part of the attack chain is secured, and the encrypted data can only be decrypted on the specific system where the encryption was initially performed. This is because the DPAPI functions used to secure the RC5 key tie the decryption process to the individual system, making it difficult for the encrypted data to be accessed or decrypted elsewhere. This makes it more challenging for defenders to intercept and analyze the malicious payload.

After completing the decryption process, the secondary loader initiates the runtime injection method, which likely involves the use of a custom runtime DLL injector for the decrypted data. The injector first calls the DLL entry point and then searches for a specific export function named preload. Although we were unable to determine which encrypted module was decrypted and executed in memory due to a lack of available data on the attacker-controlled server, our telemetry reveals that an MgBot variant is injected into the legitimate svchost.exe process after the secondary loader is executed. Fortunately, this allowed us to analyze these implants further and gain additional insights into the attack, as well as reveal that the encrypted initial configuration was passed through the infection chain, ultimately leading to the execution of MgBot. The configuration file was decrypted with a single-byte XOR key, 0x58, and this would lead to the full exposure of the configuration.

Our analysis suggests that the configuration includes a campaign name, hardcoded C2 server IP addresses, and unknown bytes that may serve as encryption or decryption keys, although our confidence in this assessment is limited. Interestingly, some of the C2 server addresses have been in use for multiple years, indicating a potential long-term operation.

Decryption of the configuration in the injected MgBot implant

Victims

Our telemetry has detected victims in Türkiye, China, and India, with some systems remaining compromised for over a year. The attackers have shown remarkable persistence, sustaining the campaign for two years (from November 2022 to November 2024) according to our telemetry, which indicates a substantial investment of resources and dedication to the operation.

Attribution

The techniques, tactics, and procedures (TTPs) employed in this compromise indicate with high confidence that the Evasive Panda threat actor is responsible for the attack. Despite the development of a new loader, which has been added to their arsenal, the decade-old MgBot implant was still identified in the final stage of the attack with new elements in its configuration. Consistent with previous research conducted by several vendors in the industry, the Evasive Panda threat actor is known to commonly utilize various techniques, such as supply-chain compromise, Adversary-in-the-Middle attacks, and watering-hole attacks, which enable them to distribute their payloads without raising suspicion.

Conclusion

The Evasive Panda threat actor has once again showcased its advanced capabilities, evading security measures with new techniques and tools while maintaining long-term persistence in targeted systems. Our investigation suggests that the attackers are continually improving their tactics, and it is likely that other ongoing campaigns exist. The introduction of new loaders may precede further updates to their arsenal.

As for the AitM attack, we do not have any reliable sources on how the threat actor delivers the initial loader, and the process of poisoning DNS responses for legitimate websites, such as dictionary[.]com, is still unknown. However, we are considering two possible scenarios based on prior research and the characteristics of the threat actor: either the ISPs used by the victims were selectively targeted, and some kind of network implant was installed on edge devices, or one of the network devices of the victims — most likely a router or firewall appliance — was targeted for this purpose. However, it is difficult to make a precise statement, as this campaign requires further attention in terms of forensic investigation, both on the ISPs and the victims.

The configuration file’s numerous C2 server IP addresses indicate a deliberate effort to maintain control over infected systems running the MgBot implant. By using multiple C2 servers, the attacker aims to ensure prolonged persistence and prevents loss of control over compromised systems, suggesting a strategic approach to sustaining their operations.

Indicators of compromise

File Hashes
c340195696d13642ecf20fbe75461bed sohuva_update_10.2.29.1-lup-s-tp.exe
7973e0694ab6545a044a49ff101d412a libpython2.4.dll
9e72410d61eaa4f24e0719b34d7cad19 (MgBot implant)

File Paths
C:\ProgramData\Microsoft\MF
C:\ProgramData\Microsoft\eHome\status.dat
C:\ProgramData\Microsoft\eHome\perf.dat

URLs and IPs
60.28.124[.]21 (MgBot C2)
123.139.57[.]103 (MgBot C2)
140.205.220[.]98 (MgBot C2)
112.80.248[.]27 (MgBot C2)
116.213.178[.]11 (MgBot C2)
60.29.226[.]181 (MgBot C2)
58.68.255[.]45 (MgBot C2)
61.135.185[.]29 (MgBot C2)
103.27.110[.]232 (MgBot C2)
117.121.133[.]33 (MgBot C2)
139.84.170[.]230 (MgBot C2)
103.96.130[.]107 (AitM C2)
158.247.214[.]28 (AitM C2)
106.126.3[.]78 (AitM C2)
106.126.3[.]56 (AitM C2)

securelist.com/evasive-panda-a…

The SIDKick Pico installed on a breadboard. (Credit: Ben Eater)
Despite the Commodore 64 having been out of production for probably longer than many Hackaday readers have been alive, its SID audio chip remains a very popular subject of both retrocomputing and modern projects. Consequently a range of substitutes have been developed over the decades, all of which seek to produce the audio quality of one or more variants of the SID. This raises the question of which of these to pick when at first glance they seem so similar. Fret not, for [Ben Eater] did an entire video on comparing some modern SID substitutes and his thoughts on them.

First is the SIDKick Pico, which as the name suggests uses a Raspberry Pi Pico board for its Cortex-M0+ MCU. This contrasts with the other option featured in the video, in the form of the STM32F410-based ARMSID.

While the SIDKick Pico looks good on paper, it comes with a number of different configurations, some with an additional DAC, which can be confusing. Because of how it is stacked together with the custom PCB on which the Pi Pico is mounted, it’s also pretty wide and tall, likely leading to fitment issues. It also doesn’t work as a drop-in solution by default, requiring soldering to use the SID’s normal output pins. Unfortunately this led to intense distortion in [Ben]’s testing leading him to give up on this.

Meanwhile the ARMSID is about as boring as drop-in replacements get. After [Ben] got the ARMSID out of its packaging, noted that it is sized basically identical to the original SID and inserted it into the breadboard, it then proceeded to fire right up with zero issues.

It’s clear that the SIDKick Pico comes with a lot of features and such, making it great for tinkering. However, if all you want is a SID-shaped IC that sounds like a genuine SID chip, then the ARMSID is a very solid choice.

Thanks to [Mark Stevens] for the tip.

youtube.com/embed/nooPmXxO6K0?…

hackaday.com/2025/12/23/explor…

We love 3D printing here, but we also love clean air, which produces a certain tension. There’s no way around the fact that printing produces various volatile organic compounds (VOCs), and that we don’t want to breathe those any more than necessary. Which VOCs, and how much? Well, [Jere Saikkonen] has created a handy-dandy calculator to help you guesstimate your exposure, or size your ventilation system, at least for FDM printing.

The emissions of most common FDM filaments are well-known by this point, so [Jere] was able to go through the literature and pull out values for different VOCs of concern like styrene and formaldehyde for ABS, PLA, Nylon, HIPS and PVA. We’re a bit disappointed not to see PETG or TPU on there, as those are common hobbyist materials, but this is still a great resource.

If you don’t like the numbers the calculator is spitting out, you can play with the air exchange rate setting to find out just how much extra ventilation you need. The one limitation here is that this assumes equilibrium conditions, which won’t be met save for very large prints. That’s arguably a good thing, since it errs on the side of over- rather than underestimating your exposure.

If you want to ground-truth this calculator, we’ve featured VOC-sensing projects before. If you’re convinced the solution to pollution is dilution, check out some ventilated enclosures. If you don’t want to share chemistry with the neighborhood, perhaps filtration is in order.

Thanks to [Jere] for the tip!

hackaday.com/2025/12/23/breath…

Everyone loves tiny microcontroller boards, and the ESP32-C3 Super Mini boards are no exception. Unfortunately if you just casually stroll over to your nearest online purveyor of such goods to purchase a bunch of them, you’re likely to be disappointed. The reason for this is, as explained in a video by [Hacker University] that these boards are equipped with any of the variants of the ESP32-C3. The worst offender here is probably the version with the ESP32-C3 without further markings, as this one has no built-in Flash for program storage.

Beyond that basic MCU version we can see the other versions clearly listed in the Espressif ESP32-C3 datasheet. Of these, the FN4 is already listed as EOL, the FH4AZ as NRND, leaving only the FH4 and FH4X with the latter as ‘recommended’ as the newest chip revision. Here the F stands for built-in Flash with the next character for its temperature rating, e.g. H for ‘High’. Next is the amount of Flash in MB, so always 4 MB for all but the Flash-less variant.

Identifying this information from some online listing is anything but easy unless the seller is especially forthcoming. The chip markings show this information on the third row, as can be seen in the top image, but relying solely on a listing’s photos is rather sketchy. If you do end up with a Flash-less variant, you can still wire up an external Flash chip yourself, but obviously this is probably not the intended use case.

As always, caveat emptor.

youtube.com/embed/ZMnSjpFgwdQ?…

hackaday.com/2025/12/23/be-war…

[Distracted by Design] loves gear from the 1980s, though some of it isn’t as useful as it used to be. He happened across a cheap old FM radio with a great look, but wanted to repurpose it into something more modern. Thus, he set about turning this cheap piece of old electronics into a stylish Bluetooth speaker.

All of the original electronics were stripped out, while the original speaker was kept since it neatly fit the case. Electronically, the build relies on a Bluetooth module harvested from an existing speaker. 3D-printed bracketry was used to fasten it neatly into place inside the radio housing, with the buttons neatly presented where the original radio had its tone and volume controls. Power is via an internal lithium-ion battery, charged over USB-C thanks to an off-the-shelf charging module.

Where the build really shines, though, is the detailing. The original cheap plastic handle was replaced with a CNC-machined wooden piece, bolted on with machined aluminium side plates. Similarly, the original clear plastic tuning window was replaced with another tasteful piece of wood that dropped perfectly into place. At the back, the charge port is nicely integrated. Where the radio formerly had a removable door for the power cable storage, it now has a machined aluminium plate hosting the USB-C charge port. Little 3D-printed button actuators were also used to integrate the Bluetooth module’s controls into the case.

It’s a very stylish build, overall. Perhaps the one area it’s a let down is in the sound quality. The ancient speaker simply doesn’t sound great compared to modern Bluetooth speakers and their finely-tuned, bassy audio. However, this isn’t necessarily a bad thing—sometimes it’s nice to have an audio source with a limited frequency response. It can be nice for use in an area where you may want to be able to easily speak over the music.

If you want to build a Bluetooth speaker of your own, you might like to whip up an open-source design from scratch. Video after the break.

youtube.com/embed/9TwW0Jfkz3g?…

hackaday.com/2025/12/23/old-fm…

Una vulnerabilità nella piattaforma di automazione del flusso di lavoro n8n , utilizzata in tutto il mondo, consente agli aggressori di eseguire codice arbitrario da remoto. Il bug, identificato come CVE-2025-68613, ha un punteggio CVSS pari a 9,9 su 10.

In determinate condizioni, consente la compromissione completa del sistema, incluso l’accesso a dati sensibili e la possibilità di modificare script esistenti o eseguire comandi a livello di sistema operativo.

n8n – Secure Workflow Automation for Technical Teams è una piattaforma avanzata di workflow automation progettata per team tecnici che necessitano di automatizzare compiti e processi tra applicazioni, dati e servizi con un elevato grado di controllo, sicurezza e flessibilità.

A differenza di molti strumenti di automazione consumer-oriented, n8n combina una interfaccia visiva drag-and-drop con la possibilità di inserire codice personalizzato (JavaScript o Python) dove necessario, permettendo di costruire flussi di lavoro complessi che integrano API, trigger, condizioni logiche e azioni multi-step. La sua architettura “fair code”, open-source e self-hostable consente alle organizzazioni di mantenere il pieno controllo dei dati e dell’infrastruttura, soddisfacendo al contempo i requisiti di sicurezza e conformità avanzata.

La vulnerabilità si manifesta nel modo in cui n8n elabora le espressioni inserite dagli utenti autorizzati durante la configurazione dei flussi di lavoro. In alcuni casi, queste espressioni possono essere interpretate in un contesto di esecuzione non sufficientemente isolato dall’ambiente principale.

Se sfruttata da un aggressore con accesso al sistema, la vulnerabilità può eseguire codice arbitrario con gli stessi privilegi del processo n8n in esecuzione.

Il problema riguarda tutte le versioni dalla 0.211.0 alla 1.120.3 incluse.

Gli aggiornamenti che correggono la vulnerabilità sono disponibili per le versioni 1.120.4, 1.121.1 e 1.122.0. Secondo Censys, al 22 dicembre erano presenti online oltre 103.000 istanze potenzialmente vulnerabili di n8n. Il numero maggiore si trova negli Stati Uniti, in Germania, Francia, Brasile e Singapore.

Data la criticità della vulnerabilità, si consiglia vivamente agli amministratori di installare le patch il prima possibile. Nei casi in cui non sia possibile un aggiornamento tempestivo, limitare la creazione e la modifica del flusso di lavoro ai soli utenti attendibili ed eseguire n8n in un ambiente isolato con privilegi minimi e restrizioni di accesso alla rete.

L'articolo 9,9 sulla scala di panico. Una vulnerabilità critica in n8n consente una RCE critica proviene da Red Hot Cyber.

[It’s Triggy!] had a problem to solve. His grandma was having issues with hand tremors, which made the basic tasks of daily life difficult to perform. He decided to explore whether a high-tech solution could help best the tremors and make life easier.

The video covers multiple ideas on how to stabilize a hand suffering involuntary tremors. The first build involved a gyroscope, which proved unsuccessful, but led to the idea of building a reaction wheel. The concept is simple — get the reaction wheel to counteract the forces from tremors to stabilize the hand. To achieve this, an accelerometer was employed to track the movements of the arm and the hand. The magnitude of the movement was then used to control a powerful brushless motor mounted on the wrist. If the tremor was driving a hard tilt to the left, the motor would spin up to create a counter-torque, cancelling out the involuntary movement. This worked to a degree, but the resulting device was large and noisy, which made it impractical.

This thus inspired a return to earlier work involving the use of a tuned mass damper to settle tremors. The combination of some 3D printed wrist mounts along with various spring and cantilever designs… ultimately didn’t work that well. By this point, [It’s Triggy!] had noticed the tremor was mostly in the hands, while the wrist stayed steady. Thus was inspired a wrist-mounted handle for the wearer to wrap their hand around. This allowed the use of simple handheld objects like kitchen utensils, with the wearer’s own grip suppressing the tremor successfully.

As this project demonstrates, sometimes high-tech solutions are the way to go, and other times… a more passive design will actually serve you better.

youtube.com/embed/SiWKmoLqlRg?…

youtube.com/embed/jwYNYOQV1zU?…

hackaday.com/2025/12/23/tackli…

What do you look for in a travel keyboard? For me, it has to be split, though this condition most immediately demands a carrying solution of some kind. Wirelessness I can take or leave, so it’s nice to have both options available. And of course, bonus points if it looks so good that people interrupt me to ask questions.

Image by [kleshwong] via YouTubeDepending on your own personal answers to this burning question, the PSKEEB 5 just may be your endgame. And, lucky for you, [kleshwong] plans to open source it soon. All he asks for is your support by watching the video below and doing the usual YouTube-related things.

You’ll see a couple of really neat features, like swing-out tenting feet, a trackpoint, rotary encoders, and the best part of all — a carrying case that doubles as a laptop stand. Sweet!

Eight years in the making, this is the fifth in a series, thus the name: the P stands for Portability; the S for Split. [kleshwong] believes that 36 keys is just right, as long as you have what you need on various layers.

So, do what you can in the like/share/subscribe realm so we can all see the GitHub come to pass, would you? Here’s the spot to watch, and you can enjoy looking through the previous versions while you wait with your forks and stars.

youtube.com/embed/DrDmi9TS-7Q?…

Via reddit

Loongcat40 Has Custom OLED Art

I love me a monoblock split, and I’m speaking to you from one now. They’re split, but you can just toss them across the desk when it’s time to say, eat dinner or carve pink erasers with linoleum tools, and they stay perfectly split and aligned for when you want to pull them back into service.

Image by [Christian Lo] via Hackaday.IOLoongcat40 is like a junior monoblock split, and I dig it visually, but I’d have to try it to see if I find it cramped or not for the long term. And it’s so cute that I just might throw a fork at that GitHub.

In between the halves you’ll find a 2.08″ SH1122 OLED display with lovely artwork by [suh_ga]. Yes, that art is baked into the firmware, free of charge.

Loongcat40 is powered by a Raspi Pico and qualifies as a 40%. The custom case is gasket-mounted and 3D-printed.

[Christian Lo] aka [sporewoh] is no stranger to the DIY keyboard game. You may recognize that name as the builder of some very tiny keyboards, so the Loongcat40 is actually kind of huge by comparison.

Via reddit

The Centerfold: WIP Goes with the Flow

Images by [_dentalt] via redditThis beautiful, as-yet-nameless WIP by [_dentalt] is just captivating to me. It’s amazing what a couple of curves in the right places will do, eh? I love the inspiration for this keyboard. [_dentalt] was at a meetup, and everything was flat and straight except for this one keyboard someone was working on, which was enough for [_dentalt] to give curves a go. There are currently a couple of predicaments at play, so drop by the thread and see if you can help.

Via reddit

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: the Double-Index Pettypet Typewriter

Perhaps the first thing you will notice about the Pettypet after the arresting red color is the matching pair of finger cups. More on this in a minute.
Image via The Antikey Chop
Information is minimal according to The Antikey Chop, and they have collected all that is factual and otherwise about the Pettypet. It debuted in 1930, and was presumably whisked from the world stage the same year.

The Pettypet was invented by someone named Podleci who hailed from Vienna, Austria. Not much else is known about this person. And although the back of the frame is stamped “Patented in all countries — Patents Pending”, the original patent is unknown.

Although it looks like a Bennett, this machine is 25% larger than a Bennett. Those aren’t keycaps, just legends for the two finger cups. You select the character you want, and then press down to print. That cute little red button in the middle is the Spacebar. On the far left, there are two raised Shift buttons, one for capitals and the other for figures.

Somewhat surprisingly, this machine uses a print wheel to apply the type, and a small-looking but otherwise standard two-spool ribbon. There are more cute red buttons on the sides to change the ribbon’s direction. There’s no platen to speak of, just a strip of rubber.

The company name, Pettypet GmbH, and ‘Frankfurt, Germany’ are also stamped into the frame. In addition to this candy-apple red, the Pettypet came in green, blue, and brown. I’d love to see the blue.

Finally, 3D Printed Keyboards That Look Injection-Molded

hackaday.com/wp-content/upload…

Isn’t this lovely? It’s just so smooth! This is a Cygnus printed in PETG and post-processed using only sandpaper and a certain primer filler for car scratches.

About a month ago, [ErgoType] published a guide under another handle. It’s a short guide, and one worth reading. Essentially, [ErgoType], then [FekerFX] sanded it with 400 grit and wiped it down, then applied two coats of primer filler, waiting an hour between coats. Then it gets sanded until smooth.

Finally, apply two more coats, let those dry, and use 1000-grit sandpaper to wet-sand it, adding a drop of soap for a smoother time. Wipe it down again and apply a color primer, then spray paint it and apply a clear coat. Although it seems labor-intensive and time consuming, the results are totally worth it for something you’re going to have your hands on every day.

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

hackaday.com/2025/12/23/keebin…

Can a long-obsolete Linux phone from 2009 be of use in 2025? [Yaky] has a Nokia N900, and is giving it a go.

Back in the 2000s, Nokia owned the mobile phone space. They had a smartphone OS even if they didn’t understand app distribution, they had the best cameras, screens, antennas, the lot. They threw it all away with inept management that made late-stage Commodore look competent, Apple and Android came along, and now a Nokia is a rarity. Out of this mess came one good thing though, the N900 was a Linux-based smartphone that became the go-to hacker mobile for a few years.

First up with this N900 is the long-dead battery. He makes a fake battery with a set of supercapacitors and resistors to simulate the temperature sensor, and is then able to power it from an external PSU. This is refined to a better fake battery using the connector from the original. The device also receives a USB-C port, though due to space constraints not the PD identifiers, making it (almost) modern.

Because it was a popular hacker device, it’s possible to upgrade the software on an N900. He’s given it U-Boot, and now it boots Linux form an SD card and functions as an online radio device.

That’s impressive hackability and longevity for a phone, if only we could have more like it.

hackaday.com/2025/12/23/the-no…

To the surprise of almost nobody, the unprecedented build-out of datacenters and the equipping of them with servers for so-called ‘AI’ has led to a massive shortage of certain components. With random access memory (RAM) being so far the most heavily affected and with storage in the form of HDDs and SSDs not far behind, this has led many to ask the question of how we will survive the coming months, years, decades, or however-long the current AI bubble will last.

One thing is already certain, and that is that we will have to make our current computer systems last longer, and forego simply tossing in more sticks of RAM in favor of doing more with less. This is easy to imagine for those of us who remember running a full-blown Windows desktop system on a sub-GHz x86 system with less than a GB of RAM, but might require some adjustment for everyone else.

In short, what can us software developers do differently to make a hundred MB of RAM stretch further, and make a GB of storage space look positively spacious again?

Just What Happened?

At the risk of coming across as an ‘in my day’ rant, around the year 2000 I was using an AMD Duron 600 system with probably about 256 MB of SDRAM that succeeded my previous Intel Celeron 400 system with an amazing 64 MB of SDRAM. With Windows 2000 (arguably still the best version of Windows) on its own roomy 1 GB HDD partition there was still plenty of room on the rest of the HDD for applications, documents and some multimedia content like music and videos.

On these systems I could run a browser with many tabs open, alongside an office suite, an IDE, chat applications like IRC and ICQ, an email client, filesharing applications, and much more, without the system breaking a sweat. In the Duron 600 system I would eventually install a Matrox G550 AGP videocard to do some dual-monitor action, like watching videos or consulting documentation while browsing or programming at the same time.

Fast-forward a few decades and you cannot even install Windows on a 1 GB partition, and it requires more RAM than that. A quick check on the Windows 10 system that I’m typing this on shows that currently the Windows folder is nearly 27 GB in size and just the Thunderbird email client is gobbling up over 150 MB of RAM by itself. Compare this to the minimum Windows 2000 system requirements of a Pentium 133 MHz, 32 MB of RAM and 1 GB of free HDD space.

This raises the question of what the reason is for this increase, when that email client in the early 2000s had effectively the same features in a much smaller package, and Windows 2000 is effectively the same as Windows 7, 10 and now 11, at its core when it comes to its feature set.

The same is true for ‘fast and light’ options like Linux, which I had once running on a 486DX2-66 system, a system on which the average Linux distribution today won’t even launch the installer, unless you go for a minimalistic distro like Alpine Linux, which requires a mere 128 MB of RAM. Where does all this demand for extra RAM and disk storage come from? Is it just all lazy waste and bloat that merely fills up the available space like a noxious gas?

Asking The Right Questions

The Windows 10 desktop. (Source: Microsoft)
Storage and RAM requirements for software are linked in the sense that much of an application’s code and related resources are loaded into RAM at some point, but there is also the part of RAM that gets filled with data that the application generates while running. This gives us a lens to find out where the higher requirements come from.

In the case of Windows, the increase in minimum storage space requirements from 1 GB to 32 GB for Windows 10 can be explained by something that happened when Windows Vista rolled around along with changes to WinSxS, which is Windows’ implementation of side-by-side assembly.

By putting all core OS files in a single WinSxS folder and hard-linking them to various locations in the file system, all files are kept in a single location, with their own manifest and previous versions kept around for easy rollback. In Windows 2000, WinSxS was not yet used for the whole OS like this, mostly just to prevent ‘DLL Hell’ file duplication issues, but Vista and onwards leaned much more heavily into this approach as they literally dumped every single OS file into this folder.

While that by itself isn’t such an issue, keeping copies of older file versions ensured that with each Windows Update cycle the WinSxS folder grew a little bit more. This was confirmed in a 2008 TechNet blog post, and though really old files are supposed to be culled now, it clearly has ensured that a modern Windows installation grows to far beyond that of pre-Vista OSes.

Thus we have some idea of why disk storage size requirements are increasing, leading us to the next thing, which is the noticeable increase in binary size. This can be put down for a large part on increased levels of abstractions, both in system programming languages, as well as scripting languages and frameworks.

Losing Sight Of The Hardware

Over the past decades we have seen a major shift away from programming languages and language features that work directly with the hardware to ones that increasingly abstract away the hardware. This shift was obvious in the 90s already, with for example Visual Basic continuing the legacy of BASIC with a similar mild level of abstraction before Java arrived on the scene with its own virtual hardware platform that insisted that hardware was just an illusion that software developers ought to not bother with.

Subsequently we saw .NET, JavaScript, Python, and kin surge to the foreground, offering ‘easier programming’ and ‘more portable code’, yet at the same time increasing complexity, abstraction levels, as well as file sizes and memory usage. Most importantly, these languages abandoned the concept of programming the underlying hardware with as few levels of indirection as possible. This is something which has even become part of languages like C and C++, with my own loathing for this complexity and abstraction in C++ being very palpable.

In the case of a language like Python, it’s known to be exceedingly slow due to its architecture, which results in the atrocious CPython runtime as well as better, but far more complex alternatives. This is a software architecture that effectively ignores the hardware’s architecture, which thus results in bringing in a lot of unnecessary complexity. Languages such as JavaScript also make this mistake, with a heavy runtime that requires features such as type-checking and garbage collection that add complexity, while needing more code to enable features like Just-In-Time compilation to keep things still somewhat zippy.

With Java we even saw special JVM processor extensions being added to ARM processor with Jazelle direct bytecode execution (DBX) to make mobile games on cellphones programmed in J2ME not run at less than 1 FPS. Clearly if the software refuses to work with the hardware, the hardware has to adapt to the software.

By the time that you’re a few levels of abstraction, various ‘convenient frameworks’ and multiple layers of indirection down the proverbial rabbit hole, suddenly your application’s codebase has ballooned by a few 100k LoC, the final binary comes in at 100+ MB and dial-up users just whimper as they see the size of the installer. But at least now we know why modern-day Thunderbird uses more RAM than what an average PC would have had installed around 1999.

Not All Hope Is Lost

There’s no need to return to the days of chiseling raw assembly into stone tables like in the days when the 6502 and Z80 still reigned supreme. All we need to do to make the most of the RAM and storage we have, is to ask ourselves at each point whether there isn’t a more direct and less complex way. What this looks like will depend on the application, but the approach that I like to use with my own projects is that of the chronically lazy developer who doesn’t like writing more code than absolutely necessary, hates complexity because it takes effort and whose eyes glaze over at overly verbose documentation.

One could argue that there’s considerable overlap between KISS and laziness, in the sense that a handful of source files accompanied by a brief Makefile is simultaneously less work and less complex than a MB+ codebase that exceeds the capabilities of a single developer with a basic editor like Notepad++ or Vim. This incidentally is why I do not use IDEs but prefer to only rely on outrageously advanced features such as syntax highlighting and auto-indent. Using my brain for human-powered Intellisense makes for a good mental exercise.

I also avoid complex file formats like XML and their beefy parsers, preferring to instead use the INI format that’s both much easier to edit and parse. For embedding scripting languages I use the strongly-typed AngelScript, which is effectively scriptable C++ and doesn’t try any cute alternative architectures like Python or Lua do.

Rather than using bulky, overly bloated C++ frameworks like Boost, I use the much smaller and less complex Poco libraries, or my NPoco fork that targets FreeRTOS and similar embedded platforms. With my remote procedure call (RPC) framework NymphRPC I opted for a low-level, zero copy approach that tries to stick as closely to the CPU and memory system’s capabilities as feasible to do the work with the fewest resources possible.

While I’m not trying to claim that my approach is the One True Approach, for me half the fun of programming is to do the required task in a very efficient and low-resource manner, which is why I ported for example FFmpeg to the ESP32 so that I could run the same project code on this MCU, rather than deal with the complexity and documentation Hell of Espressif’s ESP-ADF framework.

Sure, I could probably have done something with MicroPython or so, but at the cost of a lot more storage and with far less performance. Which gets us back again to why modern day PCs need so much RAM and storage. It’s not a bug, but a feature of the system many of us opted for, or were told was the Modern Way.

hackaday.com/2025/12/23/surviv…

Secondo quanto appreso da fonti interne di RedHotCyber, l’offensiva digitale che sta creando problemi al Sistema Postale Nazionale in Francia è stata ufficialmente rivendicata dal collettivo hacker filo-russo NoName057(16).

Gli analisti confermano che l’azione rientra in una strategia di disturbo mirata a colpire i servizi essenziali dei paesi europei, utilizzando la tecnica del sovraccarico dei server per mettere in ginocchio la logistica nazionale.

Il blocco operativo sta interessando in modo critico la gestione della Banque Postale, la branca finanziaria del gruppo. Gli utenti si trovano nell’impossibilità di accedere ai propri conti tramite home banking, un disservizio che, unito alle difficoltà nei pagamenti digitali, sta creando forti tensioni proprio nel pieno della stagione degli acquisti natalizi.

Nonostante il caos generato sui portali web, i vertici de La Poste hanno diffuso una nota rassicurante riguardante la protezione dei dati sensibili. Al momento, non risulterebbero evidenze di esfiltrazione di informazioni personali o violazioni dei database dei clienti, suggerendo che l’attacco sia stato concepito principalmente per generare disservizi e non per il furto di identità.

La situazione più complessa si registra nel settore della logistica e delle spedizioni. Il sistema di monitoraggio dei pacchi risulta offline, rendendo impossibile per i cittadini tracciare i propri ordini. In molte aree, incluse diverse zone della capitale Parigi, il ritiro e l’invio delle merci sono stati parzialmente sospesi, provocando un accumulo di spedizioni nei depositi.

Le autorità d’oltralpe leggono questo incidente come l’ennesimo capitolo della cosiddetta “guerra ibrida“ russa.

Solo dieci giorni fa, il Ministero dell’Interno francese era stato bersaglio di un’intrusione informatica simile, a conferma di un inasprimento del conflitto digitale che mira a destabilizzare la fiducia dei cittadini nelle istituzioni pubbliche.
Schermata prelevata dal servizio CheckHost il 23/12/2025 alle ore 13:40.
Per chi si reca fisicamente negli uffici postali, l’esperienza è segnata da lunghe attese e procedure manuali. Molte filiali hanno dovuto interrompere le operazioni di sportello per problemi tecnici con i sistemi, tornando a modalità di lavoro analogiche che rallentano drasticamente l’erogazione di ogni servizio, dalle raccomandate ai servizi di sportello finanziario.

Questo attacco DDoS (Distributed Denial of Service) ha colpito con una tempistica chirurgica, sfruttando il picco di traffico che precede il Natale. L’obiettivo dei NoName sembra essere l’ottenimento del massimo impatto mediatico e sociale, colpendo un simbolo della quotidianità francese in un momento di massima vulnerabilità logistica per l’intero Paese.
Post dal canale telegram di Noname057(16), in lingua italiana, pubblicato poco fa.
Mentre gli esperti di sicurezza lavorano per ripristinare la piena funzionalità dei sistemi, resta alta l’allerta per possibili nuove ondate di attacchi. La resilienza delle infrastrutture critiche francesi è ora sotto esame, evidenziando la necessità di protocolli di difesa più robusti contro gruppi organizzati che operano con finalità di propaganda politica attraverso il sabotaggio informatico.

L'articolo Attacco DDoS contro La Poste francese: NoName057(16) rivendica l’operazione proviene da Red Hot Cyber.