emama

2026-04-12 06:29:04

Il 2 aprile 2026, Francesca Albanese, relatrice speciale delle Nazioni Unite, ha ricevuto un dottorato honoris causa congiunto da tre importanti università belghe: UAntwerpen, UGent e VUB (Vrije Universiteit Brussel).

Ecco i dettagli principali dell'evento:

👉 Unicità del riconoscimento:
È la prima volta che queste tre istituzioni collaborano per conferire un titolo simile. La cerimonia si è tenuta ad Anversa presso la Queen Elisabeth Hall.

👉 Motivazione accademica:
Il premio è stato assegnato per il suo "eccezionale impegno per i diritti umani e la giustizia internazionale".
I rettori hanno sottolineato come il suo lavoro sia basato su analisi giuridiche rigorose e fatti documentati, nonostante le forti pressioni e le campagne di diffamazione.

👉 Contesto internazionale:
Il riconoscimento arriva in un momento di estrema tensione. Mentre le università belghe hanno scelto di onorare il suo operato, diversi governi (tra cui quelli di Francia, Germania e Italia) hanno espresso aspre critiche nei suoi confronti o ne hanno chiesto le dimissioni.

👉 Copertura mediatica:
Mentre in Belgio la notizia è stata riportata ampiamente dai media locali e dai canali ufficiali delle università, in Italia la diffusione sui principali media nazionali è stata effettivamente molto limitata rispetto alla rilevanza del riconoscimento.

Il rettore della VUB, Jan Danckaert, ha ribadito che la scelta riflette una convinzione accademica condivisa: la responsabilità delle università di difendere i diritti fondamentali e il pensiero critico anche in contesti altamente polarizzati.

FONTI

[belganewsagency.eu](belganewsagency.eu/flemish-uni…)
[thejc.com](thejc.com/news/world/francesca…)
[quillette.com](quillette.com/2026/04/02/franc…)
[facebook.com](facebook.com/Gazetvanantwerpen…)
[ugent.be](ugent.be/en/news-events/france…)
[eurojewcong.org](eurojewcong.org/news/ejc-in-th…)
[vub.be](vub.be/en/nieuws/drie-vlaamse-…)
[ugent.be](ugent.be/en/news-events/france…)
[press.vub.ac.be](press.vub.ac.be/uantwerpen-uge…)
[facebook.com](facebook.com/ajplusenglish/vid…)
[eurojewcong.org](eurojewcong.org/news/ejc-in-th…)
[31mag.nl](31mag.nl/3-universita-in-belgi….)
[vub.be](vub.be/en/news/three-flemish-u…)

#FrancescaAlbanese #dottoratoHonoriscausa #dirittiumani #giustizia internazionale
@news

3 università in Belgio hanno conferito dottorato ad honorem a Francesa Albanese - 31mag

Mentre i governi di mezza Europa stringono le maglie sul dissenso pro-Palstinese, tre università fiamminghe scelgono la strada della rottura

^{Redazione (31mag)}

(in)sicurezza digitale

2026-04-11 08:02:26

Operazione Olalampo: MuddyWater sfrutta Rust e Telegram per spiare il Medio Oriente

Dal gennaio 2026, il gruppo iraniano MuddyWater conduce una campagna di spionaggio sofisticata contro organizzazioni governative, energetiche e infrastrutturali del Medio Oriente e Nord Africa. L’Operazione Olalampo segna un salto qualitativo nelle capacità offensive del gruppo: malware scritto in Rust, sviluppo assistito da intelligenza artificiale e un canale di comando-e-controllo nascosto nei bot di Telegram.

Chi è MuddyWater e perché è pericoloso

MuddyWater — conosciuto anche come Seedworm, TA450, Mango Sandstorm ed Earth Vetala — è un gruppo APT ritenuto collegato al Ministero dell’Intelligence e Sicurezza iraniano (MOIS). Attivo da almeno il 2017, il gruppo ha nel tempo ampliato il proprio arsenale tecnico passando da strumenti commerciali come AnyDesk e SimpleHelp a malware completamente custom. L’Operazione Olalampo rappresenta la più recente e sofisticata evoluzione di questa traiettoria.

La catena d’attacco: da una macro Excel al controllo totale

L’infezione inizia con una campagna di spear-phishing mirata: le vittime ricevono email con allegati Microsoft Office (principalmente Excel) contenenti macro VBA malevole. Una volta attivata la macro, il codice decodifica ed esegue il payload iniziale in memoria, avviando una catena a più stadi progettata per massimizzare la furtività.

• Stadio 1 — GhostFetch: downloader di prima fase con funzioni di profilazione del sistema, controlli anti-debug e anti-VM, ed esecuzione in memoria del payload successivo.
• Stadio 2 — GhostBackDoor: backdoor completa con supporto per remote shell, operazioni sui file, esecuzione di comandi arbitrari e meccanismi di persistenza.
• HTTP_VIP: downloader alternativo che effettua ricognizione del sistema, si autentica al C2 e può distribuire AnyDesk per l’accesso remoto diretto, oltre a monitorare gli appunti di sistema.
• CHAR: backdoor scritta interamente in Rust, capace di esecuzione di comandi, accesso a PowerShell, operazioni di reverse proxy e deploy di proxy SOCKS5.

Il cuore dell’operazione: Telegram come infrastruttura C2

L’elemento più interessante di questa campagna è l’uso di un bot Telegram come canale di comando-e-controllo per la backdoor CHAR. Il bot — con display name “Olalampo” e username stager_51_bot — consente agli operatori di inviare comandi ai sistemi compromessi attraverso l’infrastruttura legittima di Telegram, rendendo il traffico indistinguibile da quello normale. Questo approccio offre tre vantaggi tattici significativi: il traffico viene cifrato end-to-end, si mimetizza nel traffico legittimo di messaggistica aziendale, e Telegram è molto difficile da bloccare completamente nei contesti aziendali.

Il monitoraggio del bot C2 ha permesso ai ricercatori di Group-IB di osservare direttamente le attività post-exploitation: comandi eseguiti, strumenti distribuiti e tecniche di raccolta dati utilizzate dagli operatori.

Sviluppo assistito da IA: una nuova frontiera per gli APT

Un dettaglio rivelatore nell’analisi del malware è la presenza di stringhe di debug contenenti emoji — un pattern tipico del codice generato o rifinito con l’assistenza di grandi modelli linguistici (LLM). Questo suggerisce che MuddyWater stia integrando strumenti di intelligenza artificiale nel proprio ciclo di sviluppo malware, potenzialmente accelerando la creazione di nuove varianti e riducendo gli errori. La scelta di Rust per CHAR va nella stessa direzione: Rust è un linguaggio relativamente giovane, ma molto popolare nei progetti LLM, cross-platform per definizione e che produce binari difficili da analizzare con i tradizionali strumenti di reverse engineering.

Infrastruttura e indicatori di compromissione

L’analisi DNS condotta da ricercatori indipendenti ha portato all’identificazione di quattro domini malevoli, tutti registrati tramite Namecheap con indirizzi di registrazione in Islanda — una tecnica di anonimizzazione comune tra gli attori state-sponsored. I domini risultano relativamente recenti, creati tra ottobre 2025 e febbraio 2026, confermando un’attiva preparazione dell’infrastruttura nelle settimane precedenti la campagna.

## Domini C2 identificati
jerusalemsolutions[.]com
miniquest[.]org
codefusiontech[.]org

## Indirizzi IP
162[.]0[.]230[.]185
209[.]74[.]87[.]100

## Telegram C2
Bot username: stager_51_bot
Bot display name: Olalampo

## Note infrastruttura
Registrar: Namecheap
Posizione registrazione: Islanda
Periodo creazione domini: 10/2025 – 02/2026
Comunicazioni victim-IoC osservate: 10 IP unici su 3 ASN (01/25–02/25/2026)

Settori e geografie colpite

I target primari dell’Operazione Olalampo includono agenzie governative, operatori di infrastrutture critiche, aziende del settore energetico, operatori di telecomunicazioni e professionisti di alto profilo nelle regioni MENA (Medio Oriente e Nord Africa). La scelta dei target è coerente con gli obiettivi di intelligence strategica del MOIS: raccolta di informazioni su politica estera, accordi energetici e comunicazioni riservate di governi nella sfera di influenza dell’Iran.

Consigli per i difensori

La natura dell’Operazione Olalampo richiede un approccio difensivo su più livelli. Limitare o monitorare il traffico verso i server Telegram (t.me, api.telegram.org) nei perimetri aziendali può bloccare il canale C2 principale, anche se ciò richiede un’analisi del rischio rispetto all’uso legittimo della piattaforma. A livello email, rafforzare i controlli sugli allegati Office con macro e abilitare Protected View/AMSI per documenti provenienti da fonti esterne è un primo scudo efficace. Sul fronte EDR, è fondamentale cercare attività anomale di PowerShell, processi figlio di applicazioni Office, e l’esecuzione di binari Rust non firmati. Infine, la presenza di processi AnyDesk o SimpleHelp avviati da percorsi inusuali dovrebbe costituire un alert ad alta priorità.