Una clamorosa svista sul sito ufficiale Sony di Nuova Zelanda e Australia ha rivelato in anticipo l’esistenza di un nuovo modello di cuffie premium: il WH-1000XX, ribattezzato “1000X THE COLLEXION“. L’informazione è stata rimossa rapidamente, ma non abbastanza da sfuggire agli appassionati del settore.

Un nome che celebra i dieci anni della serie

Il nome “XX” non è casuale: la serie WH-1000X è nata nel 2016 con il primo modello, e il 2026 rappresenta il suo decimo anniversario. La doppia X potrebbe essere un omaggio stilistico a questo traguardo, oltre che un segnale che Sony vuole alzare ulteriormente l’asticella qualitativa con questo modello. Il claim associato al prodotto suggerisce un’esperienza audio elevata all’ennesima potenza.

Specifiche tecniche già trapelate

Dall’analisi del testo accessorio pubblicato per errore, emergono alcune caratteristiche tecniche del WH-1000XX:

• Disponibile in colorazioni nero e bianco
• Cancellazione attiva del rumore (ANC) di nuova generazione
• Chip MediaTek integrato
• Supporto alla tecnologia DSEE Ultimate per il miglioramento audio
• Cerniere in metallo per maggiore resistenza
• Design non pieghevole
• Prezzo indicativo attorno ai 629 euro
• Produzione in Vietnam

Compatibilità Android ottima

Come già avviene per gli attuali WH-1000XM5, il nuovo modello sarà completamente compatibile con Android tramite l’app Sony Headphones Connect, che permette la personalizzazione del suono, la gestione dell’ANC e gli aggiornamenti firmware. Data la componente MediaTek e la connettività Bluetooth avanzata, ci si aspetta un’integrazione ancora più fluida con l’ecosistema Android.

Secondo le ultime indiscrezioni, Google Pixel 11 potrebbe rappresentare una svolta nella storia della serie: il modem Samsung, usato fin dal Pixel 6, verrebbe sostituito da una soluzione MediaTek. Nello specifico, si parla del modem M90, progettato per offrire migliori prestazioni energetiche e stabilità nelle comunicazioni.

I problemi storici del modem Samsung nei Pixel

Sin dall’adozione del chip Tensor, i Pixel hanno adottato il modem Samsung integrato nello stesso package del processore. Nel tempo, questa scelta ha generato critiche per via di problemi ricorrenti: surriscaldamento durante le chiamate 5G, consumo energetico elevato in aree con segnale instabile e, in alcuni mercati, minor stabilità della connessione rispetto alla concorrenza. Questi difetti, segnalati da anni dalla community, hanno minato in parte la reputazione dei Pixel come dispositivi affidabili nel quotidiano.

Cosa porta il modem MediaTek M90

Il MediaTek M90 è un modem di fascia alta progettato con l’efficienza energetica come priorità. Una delle caratteristiche chiave è la capacità di ridurre i controlli di rete non necessari in standby, grazie a un sistema di notifica preventiva dalla rete stessa. Questo si traduce in un minor consumo della batteria nelle situazioni di uso quotidiano. Si prevede inoltre una migliore gestione termica e il supporto alla comunicazione satellitare, aprendo la strada a future funzionalità di connettività di emergenza anche su Pixel.

Implicazioni per sicurezza e aggiornamenti

Il cambio di modem potrebbe avere implicazioni anche sul fronte della sicurezza: il modem è un componente critico dello smartphone e storicamente alcune vulnerabilità nei modem Samsung hanno richiesto patch urgenti. Un fornitore diverso significa una diversa superficie di attacco e, potenzialmente, un ciclo di aggiornamenti più flessibile. Il Pixel 11 è atteso per l’autunno 2026 e potrebbe essere accompagnato da Android 17.

Anche se, fino ad ora, la notizia è passata almeno da queste parti inosservata, lo scorso 17 marzo Mozilla ha presentato la nuova mascotte che si chiama Kit. Trattasi, come da immagine di apertura e indicazioni fornite, non di una volpe, non di un panda rosso, bensì di un Firefox. Vi chiederete: ma perché parlarne...

🔗 Leggi il post completo

A pochi giorni dal lancio globale dell’Oppo Find X9 Ultra, un altro membro della famiglia fa la sua comparsa: l’Oppo Find X9s è stato avvistato su Geekbench, rivelando alcune specifiche hardware che confermano un posizionamento leggermente inferiore al modello Ultra ma comunque di altissima fascia.

Il chipset: Dimensity 9500s

Secondo il profilo Geekbench, il Find X9s monta il processore MediaTek Dimensity 9500s, una variante leggermente ottimizzata del Dimensity 9500 presente sul modello top. Si tratta comunque di un chip flagship di ultimissima generazione, capace di prestazioni eccellenti sia in gaming che in ambito AI. La differenza con il 9500 “puro” è minima e difficilmente percepibile nel quotidiano.

Scheda tecnica prevista

Dalle indiscrezioni precedenti, si disegna un profilo tecnico molto ambizioso per il Find X9s:

• Display OLED da circa 6,59 pollici con bordi ultrasottili
• Batteria da oltre 7.000 mAh con ricarica rapida a 80W
• Tripla fotocamera posteriore da 50 MP
• Camera frontale da 32 MP
• Sistema operativo: ColorOS basato su Android 16

Lancio imminente insieme al Find X9 Ultra

Oppo dovrebbe presentare il Find X9s in concomitanza con il Find X9 Ultra il 21 aprile 2026. La strategia è quella classica di offrire due livelli di premium: il massimo assoluto con l’Ultra, e un’opzione leggermente più accessibile ma comunque flagship con il Find X9s. Per gli utenti Android in cerca di un top di gamma con batteria monumentale, questo dispositivo promette di essere molto interessante.

Il Galaxy S26 Ultra è stato avvistato su Geekbench con a bordo una versione alpha di Android 17 e della nuova interfaccia One UI 9. I risultati mostrano un leggero calo delle prestazioni rispetto alla versione stabile attuale, ma la spiegazione è semplice: il software è ancora lontano dall’ottimizzazione finale.

I numeri del benchmark

La voce è stata registrata su Geekbench il 17 aprile, con il modello SM-S948B (Galaxy S26 Ultra) che eseguiva un build alpha di One UI 9 basato su Android 17. I risultati ottenuti sono stati 3.608 punti in single-core e 10.829 punti in multi-core. Confrontando con i valori della versione stabile (circa 3.695 single-core e 11.183 multi-core), si registra un calo del 2-3%.

Perché le prestazioni sono inferiori

Non c’è nulla di preoccupante in questo scenario: nelle versioni alpha e beta del software, l’ottimizzazione non è ancora una priorità. Gli ingegneri lavorano prima sulla stabilità e sull’implementazione delle nuove funzionalità. Con l’avanzare del ciclo di sviluppo, i numeri migliorano sistematicamente, e nella versione finale le prestazioni sono solitamente in linea o superiori alla release precedente.

Quando arriverà il beta pubblico di One UI 9?

In base ai tempi storici di Samsung, il programma beta pubblico di One UI 9 potrebbe partire entro la seconda metà di maggio 2026. Gli utenti Galaxy S26 Ultra che vogliono provare le novità di Android 17 in anticipo avranno quindi l’opportunità di farlo abbastanza presto. Android 17 includerà presumibilmente nuove funzionalità di intelligenza artificiale e miglioramenti alla privacy e alla gestione della batteria.

La comunicazione satellitare diretta da smartphone fa un importante passo avanti: Starlink Direct, il servizio che permette agli smartphone di connettersi direttamente ai satelliti SpaceX senza infrastrutture terrestri, aggiungerà il supporto a LINE, una delle app di messaggistica più utilizzate in Asia. La novità è particolarmente rilevante per gli utenti Android che operano in zone con scarsa copertura.

Cosa cambia con il supporto a LINE

Fino ad ora, Starlink Direct supportava SMS, condivisione della posizione e ricezione di messaggi d’emergenza, oltre ad alcune app selezionate. Con l’aggiornamento previsto per il 21 aprile, LINE verrà ufficialmente aggiunta all’elenco delle app compatibili con la comunicazione dati via satellite. Questo significa che sarà possibile inviare e ricevere messaggi LINE anche in aree senza alcuna copertura cellulare.

Utilissimo in situazioni di emergenza

Il vantaggio principale di questa integrazione riguarda gli scenari estremi: zone montane, aree marine, situazioni di calamità naturale. In questi contesti, poter utilizzare un’app di messaggistica familiare come LINE — senza dover imparare a usare strumenti satellitari dedicati — rappresenta un enorme miglioramento in termini di accessibilità. Gli utenti Android possono beneficiare di questa funzione senza configurazioni aggiuntive, purché il cielo sia visibile.

Espansione del servizio in corso

Il servizio Starlink Direct è attualmente disponibile per i clienti di au e SoftBank in Giappone. NTT Docomo inizierà l’erogazione del servizio a partire dal 27 aprile 2026, anche se il supporto a LINE non è ancora confermato per questo operatore. La strada è comunque tracciata: la comunicazione satellitare diretta da smartphone Android è sempre più reale e sempre più utile.

Si parla di:
Toggle

• APT28 nel 2026: evoluzione di una minaccia permanente
• I bersagli: una mappa geopolitica della catena logistica NATO
• La catena di attacco: due zero-day, un RTF e un server WebDAV
• Anatomia di PRISMEX: quattro componenti, un ecosistema invisibile
• Living-off-the-Cloud: Filen.io come infrastruttura C2
• Indicatori di compromissione (IOC)
• Consigli pratici per i difensori

Una suite di malware inedita, battezzata PRISMEX, porta la firma del GRU russo e punta diritto al cuore delle reti militari e governative legate al conflitto in Ucraina. La campagna combina steganografia proprietaria, COM hijacking e abuso di cloud storage cifrato per raggiungere i propri obiettivi restando praticamente invisibile agli strumenti di difesa tradizionali.

APT28 nel 2026: evoluzione di una minaccia permanente

APT28 — tracciato anche come Forest Blizzard, Fancy Bear e Pawn Storm — è l’unità cyber attribuita al GRU, l’intelligence militare russa. Operativo da oltre vent’anni, il gruppo ha all’attivo compromissioni di altissimo profilo: dal Partito Democratico USA nel 2016 al WADA, passando per decine di istituzioni europee e governi NATO. Ciò che distingue APT28 è la capacità di weaponizzare vulnerabilità ancora prima della loro divulgazione pubblica e di costruire toolchain modulari estremamente evasive.

La campagna documentata tra febbraio e aprile 2026 da Trend Micro, Zscaler ThreatLabz e Trellix — denominata Operation Neusploit — rappresenta un ulteriore salto qualitativo in questa direzione. L’analisi delle infrastrutture mostra che i preparativi erano in corso da settembre 2025, con exploitation attiva dal gennaio 2026.

I bersagli: una mappa geopolitica della catena logistica NATO

La selezione dei target riflette la precisa intelligence operativa del GRU. La campagna ha colpito organi esecutivi centrali ucraini, servizi di difesa, protezione civile e servizi idrometeorologici; operatori ferroviari polacchi coinvolti nella logistica degli aiuti militari; settore marittimo e trasportistico in Romania, Slovenia e Turchia; partner della filiera di approvvigionamento di munizioni in Slovacchia e Repubblica Ceca; unità droni nelle regioni di Kyiv e Kharkiv. Il denominatore comune è la catena di supporto alle operazioni militari ucraine — la stessa che il Cremlino ha interesse a monitorare e potenzialmente compromettere.

La catena di attacco: due zero-day, un RTF e un server WebDAV

Il vettore iniziale è uno spear-phishing particolarmente contestualizzato: email con lure tematici su addestramenti militari, allerte meteorologiche o contrabbando di armi — argomenti credibili per i destinatari designati. L’allegato è un documento RTF che sfrutta CVE-2026-21509, una vulnerabilità di bypass delle funzionalità di sicurezza di Microsoft Office.

All’apertura, il sistema vittima viene forzato a connettersi a un server WebDAV controllato dagli attaccanti, da cui viene recuperato automaticamente un file LNK malevolo. Questo sfrutta CVE-2026-21513 per bypassare le protezioni del browser ed eseguire silenziosamente il payload successivo. La tempistica è rivelatrice: l’infrastruttura per CVE-2026-21509 era operativa il 12 gennaio 2026, due settimane prima della divulgazione pubblica del 26 gennaio. La patch per CVE-2026-21513 è arrivata il 10 febbraio, lasciando una finestra di undici giorni da zero-day sfruttabile.

Anatomia di PRISMEX: quattro componenti, un ecosistema invisibile

PRISMEX non è un singolo malware ma una suite modulare di quattro componenti progettate per operare in concerto, ciascuna con un ruolo preciso:

• PrismexSheet: dropper Excel con macro VBA che estrae payload nascosti nel file tramite steganografia. Mostra un documento decoy convincente (inventari droni, listini prezzi militari) per non destare sospetti e stabilisce persistenza via COM hijacking.
• PrismexDrop: dropper nativo che prepara l’ambiente per lo sfruttamento successivo utilizzando scheduled task e COM DLL hijacking abbinati al riavvio di explorer.exe per la persistenza tra i riavvii.
• PrismexLoader: proxy DLL che esegue codice malevolo mascherandosi da libreria legittima. Impiega la tecnica steganografica proprietaria “Bit Plane Round Robin” per estrarre payload nascosti all’interno di immagini apparentemente normali, con esecuzione interamente in memoria per minimizzare le tracce su disco.
• PrismexStager: implant .NET basato sul framework Covenant, fortemente offuscato con nomi di funzione randomizzati. Comunica con i server C2 abusando di Filen.io, un servizio di cloud storage cifrato legittimo, rendendo il traffico malevolo indistinguibile da normali operazioni cloud.

In alcuni scenari di attacco è stato rilevato anche il deployment di MiniDoor, uno stealer specificamente progettato per l’esfiltrazione di email da Microsoft Outlook — un indicatore diretto del tipo di intelligence ricercata.

Living-off-the-Cloud: Filen.io come infrastruttura C2

L’abuso di Filen.io come canale C2 rappresenta una raffinata applicazione del paradigma Living-off-the-Cloud (LotC). Filen.io offre storage cifrato end-to-end, rendendo l’ispezione del contenuto del traffico particolarmente difficile anche per soluzioni avanzate di network detection. I sistemi di filtraggio basati su reputazione IP o domain non rilevano anomalie poiché il dominio è genuinamente legittimo e ampiamente utilizzato. Questa strategia, già osservata con OneDrive, Google Drive e Dropbox in campagne APT precedenti, viene qui applicata con un servizio meno noto e con cifratura robusta — un ostacolo aggiuntivo per i Blue Team.

Indicatori di compromissione (IOC)

# Domini usati per hosting/delivery degli exploit Office
wellnessmedcare[.]org
wellnesscaremed[.]com
freefoodaid[.]com
longsauce[.]com

# CVE sfruttate nella campagna
CVE-2026-21509 - Microsoft Office Security Feature Bypass
  Divulgazione pubblica: 26 gennaio 2026
  Infrastruttura attaccante attiva dal: 12 gennaio 2026

CVE-2026-21513 - Browser Security Feature Bypass
  Prime sample osservate: 30 gennaio 2026
  Patch Microsoft: 10 febbraio 2026 (finestra 0-day: 11 giorni)

# C2 infrastructure
Filen.io (cloud storage legittimo abusato per C2 cifrato)

# Framework C2 utilizzato
Covenant (Grunt implant) tramite PrismexStager

# Tecniche MITRE ATT&CK
T1566.001 - Spearphishing Attachment
T1221   - Template Injection (RTF)
T1574.001 - COM DLL Hijacking (PrismexDrop, PrismexSheet)
T1027.003 - Steganography: Bit Plane Round Robin (PrismexLoader)
T1053.005 - Scheduled Task/Job: Scheduled Task
T1102.002 - Web Service: Bidirectional Communication (Filen.io C2)
T1218.011 - Signed Binary Proxy Execution (Rundll32)

Consigli pratici per i difensori

La campagna PRISMEX evidenzia quanto i modelli di difesa basati su firme statiche e reputazione siano inadeguati contro attori di questo livello. Per i team di sicurezza che operano in settori ad alto rischio è essenziale: applicare immediatamente le patch CVE-2026-21509 e CVE-2026-21513 se non già fatto; monitorare comportamenti anomali di processi legittimi come explorer.exe, regsvr32 e processi COM; implementare regole di detection per COM hijacking e creazione non autorizzata di scheduled task; bloccare o monitorare il traffico verso servizi di cloud storage non approvati aziendalmente (incluso Filen.io); disabilitare le macro VBA nei documenti Office provenienti da fonti esterne tramite Group Policy o Intune; adottare una postura “assume breach” con hunting proattivo su anomalie comportamentali piuttosto che su indicatori statici.

Un’insolita fonte ha riportato alla luce nuove indiscrezioni su Xperia 1 VIII, il prossimo flagship di Sony. Tutto è partito da un’immagine condivisa su un gruppo Facebook dedicato ai fan del brand giapponese, nella quale era visibile una ricevuta di pagamento con una descrizione molto particolare.

Il documento di pagamento che ha scatenato le speculazioni

Il post, condiviso dall’amministratore di un gruppo Facebook di appassionati Sony (presumibilmente il proprietario di un negozio autorizzato), mostrava una transazione finanziaria con una nota in vietnamita: “Chuyen tien coc sony 1viii slot 6 mau do”, traducibile come “acconto per Sony Xperia 1 VIII, slot 6, colore rosso”. L’espressione “mau do” in vietnamita indica proprio il rosso.

Un colore mai visto prima per la serie

La notizia ha subito fatto il giro dei forum internazionali perché, storicamente, la serie Xperia 1 non ha mai incluso una variante rossa nel suo lineup. Questo ha alimentato sia l’entusiasmo che lo scetticismo della community. Lo stesso autore del post, di fronte alle domande degli utenti, ha risposto che si trattava solo di contenuto condiviso senza particolari implicazioni.

Leak credibile o semplice errore?

Al momento non è possibile stabilire con certezza se si tratti di una fuga di notizie autentica su un nuovo colore non annunciato, di un errore nella trascrizione del pagamento, o semplicemente di un’informazione inventata. Quello che è certo è che Xperia 1 VIII è atteso per la primavera-estate 2026, e le voci su un restyling del design stanno aumentando. L’eventuale introduzione di una colorazione rossa rappresenterebbe una svolta significativa per un brand che ha sempre puntato su palette piuttosto sobrie.

Quando si parla di deployment safety, pochi casi studio sono più istruttivi di quello di GitHub: un’azienda che ospita il proprio codice sorgente sulla piattaforma che sta cercando di aggiornare. Questo crea una dipendenza circolare potenzialmente devastante — durante un’interruzione del servizio, il deploy che dovrebbe ripristinarlo potrebbe fallire proprio perché si appoggia alla piattaforma non disponibile.

Un recente articolo del blog di ingegneria di GitHub descrive come il team abbia risolto questo problema usando eBPF (extended Berkeley Packet Filter), una tecnologia kernel Linux che permette di eseguire codice sandboxed direttamente nel kernel senza modificarlo.

Il problema delle dipendenze nei deploy

GitHub ha identificato tre categorie di dipendenze problematiche nei propri script di deploy:

• Dipendenze dirette: script che scaricano binari da github.com durante il deploy
• Dipendenze nascoste: tool che controllano aggiornamenti su GitHub senza una richiesta esplicita
• Dipendenze transitive: servizi interni che chiamano dipendenze esterne in modo indiretto

Il rischio è evidente: se github.com non è disponibile e il deploy ne dipende, si entra in un loop da cui è difficile uscire. Serviva un meccanismo per rilevare — e bloccare — queste dipendenze prima che causassero problemi in produzione.

eBPF: filtraggio kernel-level senza modificare il kernel

eBPF è un framework che consente di iniettare programmi nel kernel Linux in modo sicuro e verificato. Originariamente nato per il filtraggio dei pacchetti di rete (da cui il nome “Berkeley Packet Filter”), si è evoluto in una piattaforma generale per osservabilità, sicurezza e networking a bassa latenza.

GitHub ha sfruttato due tipi specifici di programmi eBPF:

• BPF_PROG_TYPE_CGROUP_SKB: monitora il traffico in uscita (egress) e applica regole di blocco IP basate sui risultati della risoluzione DNS
• BPF_PROG_TYPE_CGROUP_SOCK_ADDR: intercetta le query DNS e le reindirizza a un proxy userspace che valuta le richieste rispetto a una lista di domini bloccati

I cgroup Linux vengono usati per isolare i processi di deploy. A questi cgroup vengono poi agganciate (attached) le mappe e i programmi eBPF, che possono così osservare e controllare il traffico di rete generato da quei processi specifici.

L’architettura del sistema

Il flusso di funzionamento è il seguente:

1. Un processo di deploy tenta di risolvere un nome di dominio (es. github.com)
2. Il programma eBPF intercetta la query DNS tramite BPF_PROG_TYPE_CGROUP_SOCK_ADDR
3. La query viene reindirizzata a un proxy userspace
4. Il proxy verifica il dominio rispetto alla policy attiva
5. Se il dominio è nella lista bloccata, la risposta viene falsificata (restituendo un IP non raggiungibile)
6. Il programma BPF_PROG_TYPE_CGROUP_SKB monitora il traffico IP per rafforzare il blocco
7. Tutte le violazioni vengono loggate con PID, nome del processo, comando e transaction ID DNS

Particolarmente elegante è l’uso di mappe eBPF (BPF maps) per condividere stato tra i programmi kernel e il proxy userspace, consentendo aggiornamenti dinamici alla policy senza dover ricaricare i programmi.

Implementazione con cilium/ebpf e Go

Per semplificare lo sviluppo, il team ha usato la libreria Go cilium/ebpf, uno dei wrapper eBPF più maturi disponibili oggi. I programmi eBPF sono scritti in C e compilati con bpf2go, uno strumento che genera automaticamente le struct Go corrispondenti per interagire con le mappe e i programmi nel kernel.

Un esempio semplificato di come si carica e aggancia un programma eBPF con cilium/ebpf:

// Carica i programmi eBPF compilati
objs := bpfObjects{}
if err := loadBpfObjects(&objs, nil); err != nil {
    log.Fatalf("loading objects: %v", err)
}
defer objs.Close()

// Aggancia il programma al cgroup del processo di deploy
l, err := link.AttachCgroup(link.CgroupOptions{
    Path:    "/sys/fs/cgroup/deploy",
    Attach:  ebpf.AttachCGroupInetEgress,
    Program: objs.FilterEgress,
})
if err != nil {
    log.Fatalf("attaching cgroup: %v", err)
}
defer l.Close()

log.Println("eBPF program attached, monitoring egress traffic...")

// Blocca un dominio aggiungendolo alla mappa eBPF
key := []byte("github.com")
value := uint32(1) // 1 = blocked
if err := objs.BlockedDomains.Put(key, value); err != nil {
    log.Fatalf("updating map: %v", err)
}

Correlazione PID e DNS transaction ID

Uno degli aspetti più sofisticati dell’implementazione è la capacità di correlare le query DNS bloccate al processo specifico che le ha generate. Il sistema usa una mappa eBPF per tenere traccia della coppia (PID, DNS transaction ID): quando il proxy userspace vede una query, può risalire al processo che l’ha originata e loggare il percorso completo dell’esecuzione, incluso il comando invocato.

Questo livello di visibilità è fondamentale per il debugging: anziché sapere solo che “qualcosa ha chiamato github.com”, gli ingegneri possono vedere esattamente quale script, a quale riga, stava tentando di accedere alla risorsa bloccata.

Risultati dopo sei mesi di rollout

Dopo sei mesi di utilizzo in produzione, il sistema ha permesso a GitHub di:

• Rilevare dipendenze problematiche prima che causino guasti durante i deploy
• Identificare tool e script che accedevano silenziosamente a github.com durante le operazioni di deploy
• Migliorare la velocità di recovery dagli incidenti, eliminando la circolarità delle dipendenze
• Costruire un inventario delle dipendenze esterne degli script di deploy, utile per la pianificazione della resilienza

Perché eBPF è la scelta giusta per questo caso d’uso

Soluzioni alternative avrebbero avuto limitazioni significative: un firewall a livello di rete avrebbe bloccato il traffico in modo troppo grossolano, impedendo anche il normale funzionamento dei servizi. Proxy applicativi avrebbero richiesto modifiche agli script di deploy. eBPF consente invece di applicare policy granulari, per-processo e dinamiche, senza modificare gli script esistenti né aggiungere overhead significativo alle operazioni normali.

Il fatto che sia una tecnologia kernel-level la rende anche difficile da aggirare accidentalmente: non è sufficiente usare una libreria di networking alternativa o bypassare il resolver DNS del sistema per evadere i controlli.

Conclusioni

L’approccio di GitHub dimostra come eBPF stia trasformando la sicurezza e l’osservabilità delle infrastrutture moderne. Non più solo strumento per profiling di rete, eBPF diventa un componente architetturale per l’enforcement di policy a runtime, invisibile alle applicazioni e aggiornabile senza downtime.

Per chi gestisce infrastrutture critiche o pipeline CI/CD complesse, questo caso studio offre un modello replicabile: usare eBPF per imporre vincoli ai processi di deploy e garantire che il sistema possa sempre ripristinarsi indipendentemente dallo stato dei servizi che ospita.

Fonte: How GitHub uses eBPF to improve deployment safety — GitHub Engineering Blog

Se siete amministratori di sistema e avete cercato su Google uno strumento come PuTTY, RVTools o Remote Desktop Manager nelle ultime settimane, potreste aver incontrato un annuncio pubblicitario che conduceva a una versione modificata del software, contenente un backdoor. È la tecnica di malvertising che il gruppo criminale UNC2465 ha affinato nel tempo, e che Orange Cyberdefense ha documentato in una nuova serie di attacchi condotti nel 2026 contro organizzazioni europee.

Chi è UNC2465: dai ex affiliati DarkSide agli operator Qilin

UNC2465 è un cluster di attività tracciato da Mandiant fin dal 2019. Il gruppo ha guadagnato notorietà come affiliato del ransomware DarkSide — lo stesso che colpì Colonial Pipeline nel 2021 causando una crisi energetica negli Stati Uniti. Dopo lo scioglimento di DarkSide, UNC2465 ha mantenuto la propria operatività affiliandosi con LockBit e, più recentemente, con Qilin (noto anche come Agenda ransomware), uno dei gruppi ransomware in più rapida crescita nel panorama della cybercriminalità organizzata.

Ciò che distingue UNC2465 da molti altri attori del crimine informatico è la sofisticazione operativa: il gruppo non si affida a exploit zero-day, ma a una combinazione di malvertising, trojanizzazione di software legittimo e tecniche di blending con attività normali — incluso l’uso di bossware commerciale legale per mascherare le proprie azioni malevole.

Il vettore: annunci di ricerca malevoli per tool IT

La campagna documentata da Orange Cyberdefense nel febbraio-aprile 2026 si basa su un meccanismo collaudato: acquistare spazi pubblicitari su motori di ricerca come Google e Bing per intercettare le ricerche di strumenti IT ampiamente utilizzati da system administrator e IT manager. I tool impersonati includono:

• PuTTY e KiTTY — client SSH tra i più usati al mondo
• RVTools — tool di inventario VMware indispensabile in ambienti virtualizzati
• Remote Desktop Manager — gestore di sessioni RDP diffusissimo
• Zoho Assist — software di supporto remoto
• Total Commander — file manager Windows
• Advanced IP Scanner — scanner di rete molto popolare

Il meccanismo è infido perché gli amministratori di sistema sono abituati a scaricare questi tool di frequente, spesso su nuove macchine, e la fiducia nel brand del software abbassa la guardia. Un click sull’annuncio — che compare sopra i risultati organici — porta a un dominio malevolo con un installer visivamente identico all’originale.

Anatomia di SmokedHam: il backdoor che evolve continuamente

Il payload distribuito tramite gli installer trojanizzati è SmokedHam (tracciato da ConnectWise anche come Parcel RAT), un backdoor basato su PowerShell e C# attivo dalla fine del 2019. Nelle versioni più recenti, SmokedHam è stato snellito rispetto alle prime varianti: la funzionalità di screen capture è stata rimossa e il keylogger è presente ma disattivato. L’obiettivo primario del backdoor, nella fase attuale, è quello di stabilire un canale C2 persistente e ricevere comandi PowerShell da eseguire.

Questa semplicità apparente è in realtà una scelta strategica: un backdoor minimale è più difficile da rilevare. La complessità dell’attacco viene delegata agli strumenti post-exploitation che vengono scaricati successivamente.

Il flusso di attacco dettagliato

L’installer NSIS (Nullsoft Scriptable Install System) scaricato dalla vittima esegue simultaneamente due operazioni: installa il software legittimo (per non insospettire l’utente) e avvia silenziosamente la catena di compromissione.

• I file vengono estratti in C:\ProgramData\LogConverter\
• La persistenza viene stabilita tramite una chiave di registro Run che punta a Microsoft.NodejsTools.PressAnyKey.lnk — un abuso di un binario legittimo di Visual Studio (LOLBin)
• PowerShell esegue comandi offuscati per caricare SmokedHam direttamente in memoria (fileless)
• Il backdoor contatta i propri server C2 nascosti dietro Cloudflare Workers e endpoint AWS, rendendo il traffico indistinguibile da comunicazioni legittime verso cloud provider

Il bossware come copertura: la tecnica più insidiosa

Una delle caratteristiche più originali di UNC2465, segnalata dal CERT di Orange Cyberdefense, è l’uso di software di monitoraggio dei dipendenti — il cosiddetto bossware — per mimetizzare le proprie attività malevole. Tool come ControlioNet e Teramind, normalmente impiegati dai datori di lavoro per monitorare la produttività, vengono installati dagli attaccanti sui sistemi compromessi. Poiché questi software sono commerciali, firmati e spesso già presenti nelle whitelist aziendali, le loro comunicazioni di rete e le loro funzioni (screenshot, keylogging, accesso remoto) non vengono flaggate come anomale.

In questa maniera, UNC2465 può condurre ricognizione prolungata, esfiltrare credenziali e preparare il terreno per il ransomware finale rimanendo sotto il radar per settimane o mesi.

Indicatori di compromissione (IoC)

# Domini C2 SmokedHam/Parcel RAT (Cloudflare Workers)
cloud-9cd9.wtf-system.workers[.]dev
cdn-adv.systems-scanner.workers[.]dev
cdn-cloude.extended-system.workers[.]dev
# Pattern comune: cdn-*.workers[.]dev con nomi che imitano CDN legittimi

# Directory di installazione sospetta
C:\ProgramData\LogConverter\

# Persistenza via registro
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  → Microsoft.NodejsTools.PressAnyKey.lnk

# LOLBin abusato
Microsoft.NodejsTools.PressAnyKey.exe (legittimo ma usato come launcher)

# Installer firmato sospetto
Firma: LLC DIAPROM (distribuito su domini che imitano siti ufficiali)

# Bossware da monitorare se non autorizzato
ControlioNet, Teramind

Raccomandazioni per i difensori

La campagna UNC2465 pone sfide particolari perché prende di mira esattamente le persone che si occupano di sicurezza e amministrazione dei sistemi. Ecco le contromisure più efficaci:

• Download dai soli siti ufficiali: abituare tutti gli amministratori a scaricare tool esclusivamente dai siti ufficiali o tramite package manager interni verificati. Mai dal primo risultato di un motore di ricerca
• Blocco degli annunci nei browser aziendali: implementare un ad-blocker a livello di DNS (Pi-hole, NextDNS, filtering proxy) per eliminare il vettore primario di questa campagna
• Application allowlisting: garantire che solo software approvato possa essere eseguito, prevenendo l’installazione di bossware non autorizzato
• Monitoraggio Cloudflare Workers: alert su connessioni verso domini *.workers.dev non presenti nelle baseline del traffico aziendale
• Verifica degli hash prima dell’esecuzione: confrontare gli hash SHA-256 degli installer con quelli pubblicati dai vendor prima dell’installazione
• EDR con analisi comportamentale: rilevare l’abuso di LOLBin come Microsoft.NodejsTools.PressAnyKey.exe e l’esecuzione di PowerShell offuscato

UNC2465 rappresenta un caso di studio esemplare su come i gruppi criminali di alto livello combinino tecniche di accesso iniziale mutuate dal cybercrime di massa (malvertising) con operazioni post-compromise da APT. L’obiettivo finale — il ransomware — arriva solo dopo un lungo periodo di radicamento silenzioso nella rete bersaglio. La prevenzione deve quindi concentrarsi sul vettore iniziale: un download sbagliato può compromettere un’intera infrastruttura.

Con l’adozione crescente di NativeAOT e il trimming in .NET, uno dei nodi critici per molti progettisti è la gestione del mapping tra oggetti: le librerie classiche come AutoMapper si basano pesantemente sulla reflection a runtime, che è incompatibile con la compilazione Ahead-of-Time. In questo articolo esploreremo ElBruno.AotMapper, una libreria che risolve il problema spostando la generazione del codice di mapping a compile time grazie ai Roslyn Source Generators.

Il problema: reflection e AOT non vanno d’accordo

Quando si compila un’applicazione .NET con PublishAot=true oppure si abilita il trimming aggressivo, il runtime non può più analizzare dinamicamente i tipi come farebbe normalmente. Le librerie che usano System.Reflection per scoprire proprietà e invocare setter al volo — come AutoMapper nella sua configurazione classica — provocano errori in fase di esecuzione o vengono tagliate dal trimmer.

Le alternative tradizionali per chi vuole restare AOT-compatible sono:

• Scrivere il mapping a mano (tedioso e soggetto a errori)
• Usare Mapster con configurazione esplicita (verbosa)
• Affidarsi a Source Generators che generano il codice prima della compilazione

ElBruno.AotMapper percorre la terza strada: usa un Source Generator basato su Roslyn per emettere metodi di estensione fortemente tipizzati già al momento del build, con zero reflection a runtime.

Come funziona: Source Generators al posto della reflection

I Roslyn Source Generators sono componenti che vengono eseguiti durante la compilazione e possono produrre file C# aggiuntivi. In questo caso, il generator analizza le vostre classi annotate con attributi specifici e genera automaticamente i metodi di mapping corrispondenti.

I vantaggi concreti di questo approccio:

• Gli errori di mapping emergono in fase di compilazione, non a runtime
• Zero overhead da reflection: il codice generato è codice C# diretto, ottimizzabile dal JIT o dall’AOT compiler
• Compatibilità completa con NativeAOT e applicazioni trimmate
• Il codice generato è visibile e debuggabile (potete ispezionarlo nelle cartelle di build)

Installazione

La libreria si divide in due package NuGet distinti:

# Attributi e interfacce core
dotnet add package ElBruno.AotMapper

# Il Source Generator (solo per il progetto che contiene i DTO)
dotnet add package ElBruno.AotMapper.Generator

<PackageReference Include="ElBruno.AotMapper.Generator" Version="x.y.z">
  <PrivateAssets>all</PrivateAssets>
  <IncludeAssets>runtime; build; native; contentfiles; analyzers</IncludeAssets>
</PackageReference>

Utilizzo degli attributi di mapping

Mapping base con [MapFrom]

Il caso più semplice: due classi con le stesse proprietà. Si annota il DTO destinazione con [MapFrom] specificando il tipo sorgente:

// Entità del dominio
public class Product
{
    public int Id { get; set; }
    public string Name { get; set; } = string.Empty;
    public decimal Price { get; set; }
    public DateTime CreatedAt { get; set; }
}

// DTO di risposta annotato
[MapFrom(typeof(Product))]
public class ProductDto
{
    public int Id { get; set; }
    public string Name { get; set; } = string.Empty;
    public decimal Price { get; set; }
}

var product = await dbContext.Products.FindAsync(id);
var dto = product.ToProductDto(); // Metodo generato, zero reflection

Rimappatura di proprietà con [MapProperty]

Quando i nomi delle proprietà non corrispondono tra sorgente e destinazione, si usa [MapProperty] per indicare esplicitamente il mapping:

[MapFrom(typeof(User))]
public class UserSummaryDto
{
    public int Id { get; set; }

    [MapProperty(nameof(User.FirstName))]
    public string Nome { get; set; } = string.Empty;  // Diverso da FirstName

    [MapProperty(nameof(User.LastName))]
    public string Cognome { get; set; } = string.Empty;
}

Ignorare proprietà con [MapIgnore]

Per escludere campi sensibili o non necessari:

[MapFrom(typeof(User))]
public class PublicUserDto
{
    public int Id { get; set; }
    public string UserName { get; set; } = string.Empty;

    [MapIgnore]
    public string? PasswordHash { get; set; }  // Non verrà mappato
}

Conversioni custom con [MapConverter]

Per logiche di conversione non banali, si implementa IMapConverter<TSource, TDestination>:

public class PriceToStringConverter : IMapConverter<decimal, string>
{
    public string Convert(decimal source) => source.ToString("C2");
}

[MapFrom(typeof(Product))]
public class ProductDisplayDto
{
    public string Name { get; set; } = string.Empty;

    [MapConverter(typeof(PriceToStringConverter))]
    public string FormattedPrice { get; set; } = string.Empty;
}

Integrazione in un Minimal API ASP.NET Core

Il package AspNetCore della libreria facilita l’integrazione con Dependency Injection. Ecco un esempio completo di endpoint:

// Program.cs
var builder = WebApplication.CreateBuilder(args);
builder.Services.AddDbContext<AppDbContext>(...);

var app = builder.Build();

app.MapGet("/products/{id}", async (int id, AppDbContext db) =>
{
    var product = await db.Products.FindAsync(id);
    if (product is null) return Results.NotFound();

    // ToProductDto() è un metodo generato dal Source Generator
    return Results.Ok(product.ToProductDto());
});

app.Run();

Considerazioni pratiche

La libreria è indicata soprattutto per chi:

• Sta migrando applicazioni verso NativeAOT o vuole abilitare il trimming
• Sviluppa microservizi con startup time critico (AOT avvia le app molto più velocemente)
• Preferisce avere errori di mapping evidenziati a compile time
• Vuole ispezionare il codice generato per capire esattamente cosa succede

La libreria è ancora in evoluzione (work-in-progress secondo l’autore), quindi prima di adottarla in produzione è consigliabile valutare alternative mature come Mapperly, anch’essa basata su Source Generators e con una community più consolidata. Detto questo, ElBruno.AotMapper è un ottimo punto di partenza per capire come funziona il mapping AOT-friendly e i Source Generators in generale.

Conclusione

Il passaggio a NativeAOT e al trimming in .NET è una tendenza inesorabile, specialmente per applicazioni cloud-native e microservizi che richiedono avvio rapido e footprint ridotto. Le librerie di mapping basate su reflection appartengono a un’era che sta tramontando: i Source Generators sono il futuro, e ElBruno.AotMapper mostra come si possa risolvere un problema pratico quotidiano — il mapping DTO — con questo approccio moderno.

Se volete esplorare ulteriormente l’argomento, la documentazione ufficiale di Roslyn Source Generators è disponibile su Microsoft Learn, e il progetto di riferimento industriale è Mapperly.

Fonte originale: AOT-Friendly DTO Mapping in .NET – El Bruno

Il design del prossimo flagship Sony potrebbe essere radicalmente diverso da quanto visto finora. Le indiscrezioni su Xperia 1 VIII parlano di un modulo fotocamera quadrato sul retro, abbandonando la storica disposizione verticale delle lenti. Un sondaggio condotto sul social X ha raccolto le opinioni degli utenti, con risultati sorprendentemente equilibrati.

Il sondaggio: chi aspetta e chi ha già deciso

Il sondaggio, promosso dall’account SUMAHO-DIGEST su X, ha chiesto agli utenti se acquisterebbero uno Xperia 1 VIII con design a fotocamera quadrata. I risultati mostrano una netta prevalenza di chi preferisce rimandare la decisione:

• Lo comprerei comunque: 19,8%
• Non lo comprerei: 21,6%
• Dipende dal design del prodotto reale: 34,2%
• Dipende da prezzo e specifiche: 24,3%

La fascia più numerosa, oltre il 34%, vuole vedere il prodotto finito prima di esprimere un giudizio. Sommando chi è indeciso per motivi di design con chi attende prezzo e specifiche, si supera ampiamente la metà degli intervistati. Un segnale chiaro: la curiosità c’è, ma il giudizio è sospeso.

Pochi rifiuti categorici, molti “aspettiamo”

Uno degli aspetti più interessanti del sondaggio è che solo il 21,6% degli utenti ha dichiarato di non voler acquistare il dispositivo. Nonostante il cambio di design rappresenti una rottura netta con la tradizione Xperia, la maggioranza non chiude la porta. Questo suggerisce che il brand Sony conserva ancora una buona credibilità, e che gli utenti sono disposti a valutare il nuovo design senza pregiudizi, purché la qualità complessiva sia all’altezza.

Cosa sappiamo del design di Xperia 1 VIII

Secondo i leak circolati finora, il retro di Xperia 1 VIII potrebbe presentare un modulo fotografico quadrato che raggruppa le lenti in un unico blocco compatto, abbandonando la classica colonna verticale che caratterizzava i modelli precedenti. Le immagini trapelate su Weibo mostravano anche altri elementi familiari dell’ecosistema Xperia: il logo ZEISS, il tasto fisico per l’otturatore, il sensore di impronte integrato nel tasto di accensione e persino il jack per le cuffie da 3,5 mm.

Una svolta storica per Sony?

Se confermato, il nuovo layout rappresenterebbe la modifica estetica più significativa per la serie Xperia 1 negli ultimi anni. In precedenza si era ipotizzato un layout simile a quello di Xperia 10 VII, con lenti disposte orizzontalmente, ma i leak più recenti indicano invece una soluzione a modulo quadrato. Sony dovrà convincere il suo pubblico storico che il cambiamento vale la pena: la qualità fotografica, il prezzo competitivo e l’esperienza d’uso saranno determinanti per il successo del modello.

Ogni settimana, il mondo del software libero e open source ci offre una moltitudine di aggiornamenti e nuove versioni di software. Anche se non tutti sono di grande rilevanza, molti di questi possono risultare...

🔗 Leggi il post completo

Samsung non si ferma nell’evoluzione degli smartphone pieghevoli. Secondo nuove indiscrezioni provenienti dalla catena di approvvigionamento, il prossimo Galaxy Z TriFold 2 sarà dotato di un sistema di cerniere completamente riprogettato, con l’obiettivo di ridurre ulteriormente lo spessore del dispositivo rispetto al modello precedente.

Cerniere inedite per uno spessore record

Il cuore dell’aggiornamento sarebbe proprio il meccanismo di chiusura: le fonti parlano di una cerniera “completamente nuova”, progettata appositamente per la struttura tri-fold che caratterizza questo modello. Nel caso di uno smartphone con tre pannelli e due punti di piegatura, la cerniera è il componente più critico in termini di ingombro, resistenza e affidabilità nel tempo.

Il Galaxy Z TriFold originale presentava uno spessore di circa 3,9–4,2 mm da aperto e di circa 12,9 mm quando chiuso. L’obiettivo per la versione 2 sarebbe quello di spingere questi valori ancora più in basso, avvicinandosi alle dimensioni degli smartphone tradizionali.

La tecnologia si estenderà all’intera gamma Galaxy Z

Le novità non riguarderanno solo il TriFold 2. Stando alle stesse fonti, la nuova soluzione tecnica per le cerniere potrebbe essere adottata anche dagli altri modelli della linea pieghevole Samsung. In particolare, si parla di una possibile integrazione su Galaxy Z Fold 8 e Galaxy Z Flip 8, aprendo la strada a uno spessore ridotto su tutta la gamma.

Si tratterebbe di un passo importante: le cerniere sono da sempre uno dei principali limiti tecnici degli smartphone pieghevoli, sia per le dimensioni che per la longevità. Un sistema più compatto e robusto potrebbe migliorare significativamente l’esperienza d’uso quotidiana.

Il primo TriFold aveva una distribuzione limitata

Il Galaxy Z TriFold di prima generazione era stato lanciato con disponibilità molto limitata, accessibile solo in alcuni mercati selezionati. Nonostante le recensioni positive sulla qualità costruttiva e la rigidità delle cerniere, il dispositivo non è mai diventato un prodotto di largo consumo.

Attesa per un lancio globale

Con il TriFold 2, Samsung punta a correggere questa situazione. Oltre alle migliorie tecniche, si spera in una distribuzione più ampia a livello internazionale. Se così fosse, il formato tri-fold potrebbe finalmente raggiungere un pubblico più vasto e segnare una svolta nel mercato degli smartphone pieghevoli premium. La sfida per Samsung è dimostrare che la piegatura in tre non è solo un esercizio di stile, ma una soluzione pratica e duratura per l’utente di tutti i giorni.

Un gruppo criminale noto come GOLD ENCOUNTER ha trovato un modo per rendere il proprio ransomware quasi invisibile agli strumenti di sicurezza endpoint: eseguire tutte le operazioni malevole all’interno di una macchina virtuale creata silenziosamente sui sistemi delle vittime. Il ransomware PayoutsKing, attivo da novembre 2025, sfrutta QEMU — un emulatore open source legittimo — per nascondere ogni traccia dell’attacco al di fuori del perimetro di visibilità delle soluzioni EDR e antivirus.

Il contesto: quando la virtualizzazione diventa un’arma

La tecnica di utilizzare macchine virtuali per eludere i controlli di sicurezza non è del tutto nuova: già nel 2025 diversi gruppi ransomware avevano sperimentato l’abuso di hypervisor legittimi come VMware ESXi. Ma il gruppo GOLD ENCOUNTER ha portato questa tattica a un nuovo livello di raffinatezza, usando QEMU — uno strumento open source normalmente impiegato da sviluppatori e ricercatori — per creare ambienti virtuali nascosti direttamente sui sistemi Windows delle vittime.

I ricercatori di Secureworks, che tracciano le operazioni di GOLD ENCOUNTER, hanno identificato due campagne distinte: STAC4713 (attiva da novembre 2025) e STAC3725 (identificata da febbraio 2026), entrambe caratterizzate dall’uso di QEMU come vettore di persistenza e comando-e-controllo. Secondo alcune analisi, il gruppo potrebbe avere legami con ex affiliati di BlackBasta.

Come funziona l’attacco: dalla compromissione alla VM nascosta

Il vettore di accesso iniziale varia a seconda della campagna. In STAC4713, gli attaccanti hanno sfruttato principalmente dispositivi SonicWall VPN esposti senza autenticazione a più fattori e, in almeno un incidente documentato a gennaio 2026, la vulnerabilità CVE-2025-26399 in SolarWinds Web Help Desk. La campagna STAC3725, invece, ha fatto leva su CitrixBleed2, la seconda iterazione della vulnerabilità NetScaler che ha colpito migliaia di organizzazioni.

Una volta ottenuto l’accesso iniziale, gli attori procedono con una sequenza di azioni strutturata:

• Creazione di un scheduled task denominato TPMProfiler con privilegi SYSTEM, che esegue il binario QEMU
• Deployment di un’immagine disco virtuale (custom.qcow2) mascherata da file di database o librerie DLL per evitare il rilevamento
• Avvio di una VM Alpine Linux 3.22.0 con port forwarding verso il sistema host
• Instaurazione di un tunnel SSH inverso per il comando e controllo covert

Il principio è semplice ma devastante: le soluzioni di sicurezza endpoint monitorano i processi del sistema operativo host, ma non possono ispezionare l’interno di una macchina virtuale in esecuzione. Tutto ciò che avviene dentro la VM rimane completamente opaco agli EDR.

Il toolkit nella macchina virtuale: un arsenale da penetration test

La VM Alpine Linux non è un ambiente minimale: è un’armeria completa di strumenti offensivi. In STAC4713, la VM preinstallata conteneva:

• AdaptixC2: framework C2 open source per il controllo remoto
• Chisel: tunneling TCP/UDP attraverso HTTP
• BusyBox: suite di utility Unix compatta
• Rclone: tool per l’esfiltrazione dati verso storage cloud

In STAC3725, rilevata dal CERT di Secureworks in incidenti a febbraio 2026, il toolkit era ancora più sofisticato e compilato manualmente dagli operatori: Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute e un’istanza di Metasploit completamente funzionale. Un arsenale che denota una profonda conoscenza delle tecniche di post-exploitation in ambienti Active Directory.

Furto di credenziali e movimento laterale

Prima di distribuire il ransomware, GOLD ENCOUNTER conduce operazioni estese di ricognizione e furto credenziali. Le tecniche documentate includono:

• Creazione di Volume Shadow Copies tramite vssuirun.exe per accedere a file altrimenti bloccati
• Esfiltrazione via SMB di NTDS.dit, SAM e dei registry hive SYSTEM — il database completo degli utenti Active Directory
• Enumerazione Kerberos con Kerbrute per identificare account validi
• Ricognizione AD tramite BloodHound per mappare percorsi di escalation dei privilegi
• Deployment di ScreenConnect e del framework Havoc C2 tramite DLL sideloading su ADNotificationManager.exe

Il ransomware PayoutsKing: cifratura furtiva

PayoutsKing utilizza uno schema di cifratura robusto: AES-256 in modalità CTR per la cifratura dei file, con scambio di chiavi tramite RSA-4096. Per i file di grandi dimensioni viene adottata una strategia di intermittent encryption — cifra solo porzioni del file — che accelera l’operazione e rende la cifratura meno rilevabile in tempo reale dai sistemi di monitoraggio comportamentale.

Le richieste di riscatto vengono gestite attraverso siti leak sul dark web, con la consueta doppia estorsione: pagare per il decryptor, o vedere i propri dati pubblicati.

Indicatori di compromissione (IoC)

# Scheduled Task sospetto
Nome task: TPMProfiler
Privilegi: SYSTEM
Binary: qemu-system-x86_64.exe (o varianti)

# File da monitorare
*.qcow2 in posizioni anomale (es. %APPDATA%, C:\ProgramData\)
File .qcow2 mascherati da .dll o .db

# Servizi sospetti installati
AppMgmt (uso anomalo)
CtxAppVCOMService

# Tool post-compromise da cercare
AdaptixC2, Chisel, Rclone, BloodHound.py
Kerbrute, Impacket, NetExec, KrbRelayx

# Traffico di rete
Tunnel SSH reversi su porte non standard
Connessioni SSH in uscita verso IP esterni insoliti
Traffico Rclone verso storage cloud (es. Mega, Dropbox)

Cosa fare per difendersi

La tecnica QEMU rappresenta una sfida concreta per i team di sicurezza perché sfrutta uno strumento legittimo e firmato. Le raccomandazioni per i difensori includono:

• Application allowlisting: bloccare l’esecuzione di qemu-system-*.exe su tutti gli endpoint non espressamente autorizzati
• Monitoraggio scheduled task: alert su qualsiasi task creato con privilegi SYSTEM che esegue binari non standard
• MFA obbligatoria su VPN e accessi remoti: quasi tutti i vettori di accesso iniziale documentati avrebbero potuto essere bloccati con MFA
• Patching tempestivo: CVE-2025-26399 (SolarWinds), CitrixBleed2 e vulnerabilità SonicWall devono essere priorità assolute
• Network monitoring: rilevare port forwarding SSH non autorizzato e connessioni in uscita verso storage cloud da server
• Hunt proattivo: cercare file .qcow2 e il processo qemu-system-x86_64.exe nell’intero parco macchine

La capacità di GOLD ENCOUNTER di operare per settimane o mesi all’interno di reti compromesse prima di distribuire il payload ransomware — sfruttando una VM nascosta impossibile da ispezionare dagli EDR — rende questo gruppo particolarmente pericoloso. È l’ennesima dimostrazione di come i ransomware operator stiano evolvendo verso tecniche da APT, con longevi periodi di dwell time dedicati alla ricognizione e alla maximizzazione del danno.

Il Command Pattern è uno dei design pattern comportamentali più utili nel mondo dello sviluppo software. In C#, la sua implementazione è particolarmente elegante e consente di costruire sistemi robusti con funzionalità di undo/redo, accodamento di operazioni e logging senza intaccare la logica di business. In questo articolo vedremo come implementarlo passo dopo passo, con esempi concreti e consigli pratici per applicazioni reali.

Cos’è il Command Pattern?

Il Command Pattern incapsula una richiesta come un oggetto autonomo, separando chi la emette da chi la esegue. Questo consente di parametrizzare i client con richieste diverse, accodare operazioni, supportare il rollback e costruire sistemi di macro o audit trail. In parole semplici: invece di chiamare direttamente un metodo, si crea un oggetto che “sa come” eseguire quella chiamata, e lo si passa all’esecutore.

I casi d’uso più classici includono:

• Editor di testo o grafica con undo/redo illimitato
• Sistemi di workflow con operazioni reversibili
• Transaction scripts in architetture DDD
• Logging e auditing di operazioni critiche
• Macro recording nelle applicazioni di produttività

I componenti del pattern

Un’implementazione corretta del Command Pattern in C# prevede quattro attori principali:

• ICommand: l’interfaccia contrattuale che definisce Execute(), Undo() e una proprietà descrittiva
• Receiver: la classe che contiene la logica di business effettiva, ignara del pattern
• Concrete Command: le implementazioni di ICommand, che catturano i parametri in costruzione e delegano al Receiver
• Invoker: gestisce la coda di esecuzione e le stack di undo/redo

Implementazione passo dopo passo

Step 1: definire l’interfaccia ICommand

Il contratto deve essere minimale. Tutti i dati necessari all’esecuzione viaggiano dentro il comando stesso, non vengono passati ai metodi:

public interface ICommand
{
    string Description { get; }
    void Execute();
    void Undo();
}

Step 2: creare il Receiver

Il Receiver contiene la logica reale. Non sa nulla di comandi, stack o undo. È testabile in isolamento:

public class TextDocument
{
    private readonly List<string> _lines = new();

    public IReadOnlyList<string> Lines => _lines.AsReadOnly();

    public void AddLine(string text) => _lines.Add(text);

    public void RemoveLine(int index)
    {
        if (index >= 0 && index < _lines.Count)
            _lines.RemoveAt(index);
    }
}

Step 3: implementare i Concrete Commands

Ogni comando cattura i propri dati al momento della costruzione e implementa sia Execute che Undo. Notare che lo stato necessario per l’undo viene salvato durante Execute:

public sealed class AddLineCommand : ICommand
{
    private readonly TextDocument _document;
    private readonly string _text;

    public string Description => $"Aggiungi riga: "{_text}"";

    public AddLineCommand(TextDocument document, string text)
    {
        _document = document ?? throw new ArgumentNullException(nameof(document));
        _text = text ?? throw new ArgumentNullException(nameof(text));
    }

    public void Execute() => _document.AddLine(_text);

    public void Undo() => _document.RemoveLine(_document.Lines.Count - 1);
}

public sealed class RemoveLineCommand : ICommand
{
    private readonly TextDocument _document;
    private readonly int _index;
    private string? _removedText;

    public string Description => $"Rimuovi riga {_index}";

    public RemoveLineCommand(TextDocument document, int index)
    {
        _document = document;
        _index = index;
    }

    public void Execute()
    {
        // Salviamo lo stato per poter fare undo
        _removedText = _document.Lines[_index];
        _document.RemoveLine(_index);
    }

    public void Undo()
    {
        if (_removedText is not null)
            _document.AddLine(_removedText);
    }
}

Step 4: costruire l’Invoker con history

L’Invoker mantiene due stack: uno per l’undo e uno per il redo. Quando si esegue un nuovo comando, la redo stack viene svuotata per evitare storie ramificate incoerenti:

public class CommandInvoker
{
    private readonly Stack<ICommand> _undoStack = new();
    private readonly Stack<ICommand> _redoStack = new();

    public void ExecuteCommand(ICommand command)
    {
        command.Execute();
        _undoStack.Push(command);
        _redoStack.Clear(); // Nuova azione invalida il redo
    }

    public bool CanUndo => _undoStack.Count > 0;
    public bool CanRedo => _redoStack.Count > 0;

    public void Undo()
    {
        if (!CanUndo) return;
        var cmd = _undoStack.Pop();
        cmd.Undo();
        _redoStack.Push(cmd);
    }

    public void Redo()
    {
        if (!CanRedo) return;
        var cmd = _redoStack.Pop();
        cmd.Execute();
        _undoStack.Push(cmd);
    }

    public IEnumerable<string> GetHistory() =>
        _undoStack.Select(c => c.Description);
}

Step 5: Macro Commands (Composite)

Il Command Pattern si combina naturalmente con il Composite Pattern per costruire macro che raggruppano più operazioni atomiche:

public sealed class MacroCommand : ICommand
{
    private readonly IReadOnlyList<ICommand> _commands;

    public string Description => $"Macro ({_commands.Count} operazioni)";

    public MacroCommand(IEnumerable<ICommand> commands)
    {
        _commands = commands.ToList();
    }

    public void Execute()
    {
        foreach (var cmd in _commands)
            cmd.Execute();
    }

    public void Undo()
    {
        // L'undo avviene in ordine inverso
        for (int i = _commands.Count - 1; i >= 0; i--)
            _commands[i].Undo();
    }
}

Step 6: integrazione con Dependency Injection

In applicazioni .NET moderne, il pattern si integra perfettamente con il DI container di ASP.NET Core:

// Program.cs
builder.Services.AddSingleton<TextDocument>();
builder.Services.AddSingleton<CommandInvoker>();
builder.Services.AddTransient<DocumentCommandFactory>();

// Factory per creare comandi on-demand
public class DocumentCommandFactory
{
    private readonly TextDocument _document;

    public DocumentCommandFactory(TextDocument document)
    {
        _document = document;
    }

    public ICommand AddLine(string text) => new AddLineCommand(_document, text);
    public ICommand RemoveLine(int index) => new RemoveLineCommand(_document, index);
}

Errori comuni da evitare

Chi si avvicina al Command Pattern per la prima volta tende a commettere questi errori:

• Logica nel comando invece che nel Receiver: i comandi devono orchestrare, non implementare. La logica di business appartiene al Receiver, dove può essere testata in isolamento.
• Mancato snapshot dello stato per l’undo: se dimenticate di catturare lo stato prima dell’esecuzione, l’undo diventa impossibile o inaffidabile.
• Stato condiviso tra comandi: ogni comando deve essere autosufficiente. Lo stato mutabile condiviso porta a bug sottili quando i comandi vengono eseguiti in ordine diverso.
• Undo implementato in modo forzato: per operazioni genuinamente non reversibili (come l’invio di un’email), meglio lanciare un’eccezione o documentare esplicitamente il limite, piuttosto che fingere un undo inesistente.

Conclusione

Il Command Pattern è uno strumento potente e sottovalutato. Quando il vostro sistema ha bisogno di storico operazioni, undo/redo, accodamento differito o audit trail, questo pattern vi offre una soluzione elegante e testabile. La separazione netta tra Receiver (logica) e Command (orchestrazione) rende il codice mantenibile anche su larga scala.

Se state sviluppando con C# e .NET, consideratelo ogni volta che la vostra architettura richiede operazioni reversibili o la composizione di azioni complesse.

Fonte originale: How to Implement Command Pattern in C# – DevLeader.ca

Solus è una distribuzione GNU/Linux indipendente, progettata esclusivamente per l’uso su desktop. A differenza di molte altre distribuzioni, Solus non deriva da progetti esistenti come Debian o Ubuntu, ma è una distribuzione indipendente, non derivata da altri progetti, con un focus...

🔗 Leggi il post completo

Chi usa LINQ in C# con una certa frequenza prima o poi si imbatte in un comportamento del metodo Max che, a prima vista, appare del tutto irrazionale: due chiamate sintatticamente quasi identiche producono risultati radicalmente diversi, e una delle due lancia un’eccezione a runtime su una sequenza vuota. Vediamo perché accade e come risolverlo.

Il problema: Max con proiezioni su tipi diversi

Consideriamo questo tipo record:

public record WithValues(string Label, int Number, DateTimeOffset Date);

WithValues[] empty = [];

string? maxLabel  = empty.Max(x => x.Label);   // Restituisce null
var     maxDate   = empty.Max(d => d.Date);     // Lancia InvalidOperationException
int?    maxNumber = empty.Max(x => x.Number);   // Lancia InvalidOperationException

public static TResult? Max<TSource, TResult>(
    this IEnumerable<TSource> source,
    Func<TSource, TResult> selector);

La causa: come Max distingue i tipi internamente

Internamente, l’implementazione di Max usa un test per decidere come comportarsi su una sequenza vuota:

TResult val = default;
if (val == null)
{
    // Tipo reference o nullable: restituisce null per sequenze vuote
}
else
{
    // Tipo valore non nullable: lancia eccezione per sequenze vuote
}

• Tipi reference (string): default(string) è null, quindi il ramo “restituisce null” viene eseguito correttamente.
• Tipi valore non nullable (int, DateTimeOffset): i loro default non sono null, quindi viene eseguito il ramo che lancia InvalidOperationException.
• Tipi valore nullable (int?, DateTimeOffset?): default(int?) è null, quindi rientra nel primo ramo e restituisce null.

Perché questo design?

Il ragionamento alla base è comprensibile: per i tipi valore, restituire il valore di default per una sequenza vuota sarebbe ambiguo. Se Max su una lista vuota di interi restituisse 0, come distinguere tra “il massimo è zero” e “la lista era vuota”? L’eccezione rimuove questa ambiguità, ma lo fa in modo sorprendente data la firma del metodo.

Il problema di fondo è storico: C# ha sviluppato la nullabilità in tre fasi distinte che non si integrano uniformemente nel codice generico:

• I tipi reference erano sempre nullable (fin dalle origini del linguaggio).
• I tipi valore nullable (Nullable<T>, ovvero T?) sono stati introdotti in C# 2.0.
• Le nullable reference types (NRT) sono arrivate in C# 8.0 come feature opzionale.

La soluzione: cast esplicito al tipo nullable

La correzione è semplice: basta fare il cast esplicito della proiezione al tipo nullable corrispondente.

// Invece di:
var maxDate    = empty.Max(d => d.Date);
int? maxNumber = empty.Max(x => x.Number);

// Usare:
DateTimeOffset? maxDate    = empty.Max(d => (DateTimeOffset?)d.Date);
int?            maxNumber  = empty.Max(x => (int?)x.Number);

Alternativa: DefaultIfEmpty

Un’altra soluzione è preporre DefaultIfEmpty prima di Max:

int maxNumber = empty
    .Select(x => x.Number)
    .DefaultIfEmpty(0)
    .Max();

Quando questo si manifesta in produzione

Il problema diventa insidioso quando si lavora con sequenze filtrate dinamicamente che possono risultare vuote in certi contesti, o quando il codice viene testato sempre con dati non vuoti e crasha in produzione su edge case inaspettati. Una buona pratica difensiva è usare sempre il cast a tipo nullable quando si usa Max (o Min, che ha lo stesso comportamento) su tipi valore, a meno che non si abbia la certezza assoluta che la sequenza non sarà mai vuota.

Conclusioni

Il comportamento di LINQ.Max con i tipi valore è uno di quei casi in cui l’implementazione è tecnicamente coerente, ma la firma del metodo lascia intendere qualcosa di diverso da ciò che avviene a runtime. La regola da ricordare è semplice: se la proiezione restituisce un tipo valore non nullable e la sequenza potrebbe essere vuota, usare sempre un cast esplicito a T?. Un piccolo accorgimento che previene eccezioni difficili da diagnosticare in produzione.

Fonte originale: LINQ Max and nullable value types (Ian Griffiths, endjin.com) — tratto dal briefing Dew Drop del 17 aprile 2026

Oppo ha ufficializzato il calendario di aggiornamento a ColorOS 16.1 per i propri dispositivi e per quelli OnePlus. L’update porta numerose novità all’interfaccia e alla produttività, con la distribuzione della versione stabile prevista a partire da maggio 2026.

Il programma beta parte ad aprile

Il beta testing di ColorOS 16.1 è già partito, con le iscrizioni che si sono chiuse il 17 aprile. I partecipanti selezionati inizieranno a ricevere le build beta a partire dal 21 aprile. Il programma è riservato principalmente ai modelli di fascia alta.

Prima ondata: i top di gamma dal 10 maggio

La versione stabile sarà distribuita in due tranche. La prima, tra il 10 e il 20 maggio 2026, coprirà i modelli Oppo Find N6, Find N5, Find X9 e X8 series (incluso X8s), Oppo Pad 4 Pro, OnePlus Tablet 2 Pro, OnePlus 15 e 13 series, OnePlus Ace 6 e Turbo 6 series.

Seconda ondata: fascia media dal 21 maggio

La seconda distribuzione, tra il 21 e il 31 maggio, estenderà l’aggiornamento a Oppo Find X7 series, Oppo Reno 15 e Reno 14 Pro series, Oppo K15 series e K13 Turbo Pro, Oppo Pad 5, OnePlus 12, Ace 5 series e Tablet 2. Questi calendari si riferiscono ai modelli del mercato cinese; i dispositivi globali potrebbero ricevere l’aggiornamento con tempistiche leggermente diverse.

Le novità di ColorOS 16.1

ColorOS 16.1 porta importanti miglioramenti all’esperienza utente. Il sistema di notifiche è stato ridisegnato, con l’introduzione delle Live Activities che mostrano in tempo reale informazioni su chiamate, timer, navigazione e altri processi attivi. Il lock screen guadagna un nuovo media player, mentre nuovi elementi grafici a forma di pillola arricchiscono la barra inferiore con animazioni più fluide.

Parallelamente, Oppo ha già avviato lo sviluppo di ColorOS basato su Android 17, con beta già disponibili per alcuni dispositivi selezionati. Il ciclo di aggiornamenti si fa dunque sempre più serrato, a beneficio degli utenti.

Lenovo è pronta a tornare nel segmento degli smartphone gaming con il Legion Y70 2026, annunciato ufficialmente dopo settimane di teaser. L’ultimo capitolo della serie Legion risaliva al 2022, e questo nuovo modello si preannuncia come una risposta diretta ai rivali RedMagic 11 Pro e ROG Phone di ASUS.

Quattro anni di assenza, poi il grande ritorno

Il Legion Phone di Lenovo aveva fatto parlare di sé per le sue scelte di design originali, come il connettore USB posizionato lateralmente per giocare senza cavi di traverso, e per l’ottimo sistema di raffreddamento. Dopo il silenzio degli ultimi anni, il brand torna con un modello radicalmente rinnovato il cui lancio ufficiale è previsto a maggio 2026.

Design più sobrio, tripla fotocamera

Le immagini ufficiali mostrano un cambio di direzione estetica rispetto ai modelli precedenti. Il Legion Y70 2026 adotta un look più contenuto, lontano dall’estetica volutamente “gaming” con LED e angoli aggressivi. Il pannello posteriore ospita un modulo fotocamera rettangolare con configurazione a tripla fotocamera. Il dispositivo sarà disponibile almeno in due colorazioni.

Specifiche tecniche ancora non ufficiali

Lenovo non ha ancora svelato le specifiche complete, ma considerando il posizionamento del dispositivo ci si aspetta uno dei processori più potenti disponibili, probabilmente Snapdragon 8 Elite o superiore, affiancato da un sistema di dissipazione del calore avanzato, schermo ad alto refresh rate e batteria capiente con ricarica rapida.

Un mercato sempre più competitivo

Il segmento degli smartphone gaming vede oggi la concorrenza agguerrita di RedMagic (Nubia), ASUS ROG Phone e Black Shark. Il ritorno di Lenovo aggiunge un concorrente di peso con una storia consolidata nel gaming, essendo tra le più importanti aziende al mondo nel settore dei PC da gioco con il brand Legion. Il lancio è previsto per maggio 2026, con disponibilità iniziale quasi certamente sul mercato cinese prima di un’eventuale espansione globale.

Samsung ha risposto direttamente alle domande degli utenti in un AMA su Reddit, chiarendo due questioni molto dibattute: la possibilità di disattivare completamente Galaxy AI e il futuro dei telefoni compatti nella gamma Galaxy. Le risposte arrivano da Anika Bizon, VP Marketing e Prodotto di Samsung UK.

Galaxy AI: si può spegnere, funzione per funzione

A chi si chiede se è possibile usare un Galaxy senza l’intelligenza artificiale, la risposta è sì. Samsung ha confermato che Galaxy AI è completamente opzionale: già durante la configurazione iniziale del dispositivo si può scegliere di non attivarlo, e successivamente ogni singola funzione AI può essere abilitata o disabilitata individualmente dalle impostazioni.

Il messaggio di Samsung è chiaro: l’obiettivo non è imporre l’AI, ma renderla disponibile per chi la vuole usare. Bizon ha paragonato Galaxy AI all’elettricità, qualcosa che idealmente “c’è” senza che tu debba pensarci, invisibile e integrata nella vita quotidiana, ma non obbligatoria.

Niente smartphone compatti: il mercato chiede grandi schermi

Molti utenti speravano in un ritorno dei Galaxy di formato ridotto, ma Samsung ha raffreddato le aspettative. La domanda di mercato si concentra ormai sui grandi display, usati per video, gaming e multitasking, e Samsung non può permettersi di ignorare questo trend.

Per chi cerca portabilità senza rinunciare allo schermo grande, Samsung indica il Galaxy Z Flip come soluzione: in formato chiuso è compatto, aperto offre un display generoso.

Galaxy S26 Ultra: le novità in arrivo

Samsung ha anticipato alcune delle caratteristiche salienti del prossimo Galaxy S26 Ultra. In cima alla lista ci sono il potenziamento del motore fotografico ProVisual Engine, miglioramenti alla velocità di ricarica e l’introduzione del Privacy Display, una funzione che limita la visibilità dello schermo laterale — utile in luoghi pubblici, ma con qualche compromesso sulla luminosità.

Samsung sembra dunque voler mantenere una rotta equilibrata: innovazione tecnologica sì, ma senza forzare gli utenti ad abbracciare funzionalità che potrebbero non voler usare. Una strategia che potrebbe rivelarsi vincente in un mercato sempre più attento alla privacy e alla trasparenza.

Ventuno paesi hanno coordinato la più vasta azione globale mai condotta contro le piattaforme DDoS-for-hire: Operation PowerOFF, culminata il 13 aprile 2026 con il sequestro di 53 domini, l’arresto di 4 amministratori, l’emissione di 25 mandati di perquisizione e l’invio di comunicazioni di allerta a oltre 75.000 utenti identificati come clienti di servizi “booter”. Europol ha coordinato l’operazione insieme all’FBI, all’NCFTA e alle forze di polizia di Europa, America e Asia-Pacifico, acquisendo accesso a database con oltre 3 milioni di account criminali.

L’ecosistema dei booter: DDoS come servizio a 10 euro al mese

I servizi booter — chiamati anche stresser nel gergo del mercato underground — sono piattaforme commerciali che vendono potenza di fuoco DDoS a chiunque sia disposto a pagare una quota mensile, tipicamente tra i 10 e i 200 dollari. Il modello di business è quello di un SaaS criminale: interfacce web con dashboard intuitive, piani tariffari differenziati per banda e durata dell’attacco, e assistenza clienti. Le vittime sono target eterogenei — siti di e-commerce, server di gaming, infrastrutture governative locali, concorrenti aziendali — il denominatore comune è la disponibilità del pagante a causare interruzioni di servizio per denaro o vendetta.

Tecnicamente, i booter operano sfruttando due modelli di amplificazione: botnet di dispositivi IoT compromessi (router SOHO, telecamere IP, NAS) e reflection amplification tramite protocolli UDP vulnerabili — DNS, NTP, SSDP, memcached — che consentono di amplificare il traffico di attacco fino a 50.000x rispetto al volume inviato. La decentralizzazione e il frequente ricorso a frontend anonimi dietro CDN rendevano queste piattaforme particolarmente resilienti ai tentativi di takedown tradizionali.

Operazione PowerOFF: storia di un’escalation investigativa

PowerOFF non è nata il 13 aprile: è il risultato di anni di indagini parallele che Europol ha progressivamente coordinato in un’unica architettura operativa. La prima fase significativa risale al dicembre 2024, quando l’operazione aveva già portato al sequestro di 27 piattaforme — tra cui zdstresser.net, orbitalstress.net e starkstresser.net — con 3 arresti e l’identificazione di oltre 300 utenti. La seconda ondata, coordinata nell’aprile 2026, ha esteso la portata dell’operazione a livello globale, coinvolgendo per la prima volta paesi come Brasile, Thailandia e Giappone.

L’elemento innovativo della fase 2026 è stata l’approccio preventivo parallelo all’enforcement: mentre gli investigatori sequestravano server e domìni, un team specializzato lanciava una campagna di awareness mirata, rimuovendo oltre 100 URL pubblicitari dai risultati dei motori di ricerca che promuovevano servizi booter, e inviando messaggi di allerta direttamente sulle blockchain delle transazioni in criptovaluta usate per pagare i servizi — una tecnica nuova che segnala un’evoluzione nell’approccio investigativo alle piattaforme crypto-monetizzate.

75.000 allerte: la strategia della deterrenza scalabile

La novità più significativa di Operation PowerOFF 2026 non è il numero di domini sequestrati, ma la scelta strategica di non arrestare la stragrande maggioranza degli utenti identificati. Le autorità hanno inviato 75.000 comunicazioni personalizzate via email e posta ordinaria agli utenti dei servizi booter — molti dei quali sono giovani che non si percepiscono come criminali — spiegando le implicazioni legali delle loro azioni e le sanzioni previste. Questa strategia di deterrenza scalabile mira a modificare il comportamento prima che si consolidi in attività criminale conclamata.

L’accesso ai database con 3 milioni di account — ottenuto tramite le operazioni di sequestro dell’infrastruttura — ha permesso alle autorità di costruire un profilo dettagliato dell’ecosistema: età media degli utenti, distribuzione geografica, modelli di pagamento, target preferiti. Questi dati alimenteranno future indagini mirate sui soggetti recidivi o con profili di rischio elevato.

Paesi partecipanti e coordinamento internazionale

L’operazione ha visto la partecipazione di: Australia, Austria, Belgio, Brasile, Bulgaria, Danimarca, Estonia, Finlandia, Germania, Giappone, Lettonia, Lituania, Lussemburgo, Paesi Bassi, Polonia, Portogallo, Svezia, Thailandia, Regno Unito e Stati Uniti. Il coordinamento tecnico è stato gestito dall’EC3 di Europol (European Cybercrime Centre), con supporto dell’Eurojust per gli aspetti giuridizionali delle richieste di mutua assistenza internazionale (MLA). Per la prima volta, paesi tradizionalmente assenti da operazioni cyber-enforcement come Brasile e Thailandia hanno contribuito con azioni di sequestro locali — segnale di una maturazione del quadro normativo e investigativo globale.

Piattaforme disrupted: infrastruttura tecnica

# Tipologie di servizi smantellati
- Booter/stresser con interfaccia web (SaaS DDoS-for-hire)
- Layer 4 flood: UDP amplification (DNS, NTP, SSDP, memcached)
- Layer 7 HTTP flood su infrastruttura botnet IoT
- Servizi di anonimizzazione del pagamento (crypto mixer integration)

# Esempi di piattaforme sequestrate in operazioni precedenti
zdstresser.net
orbitalstress.net  
starkstresser.net

# Indicatori da monitorare
- Traffico UDP anomalo su porte 53, 123, 1900, 11211
- Elevato numero di SYN senza ACK su range IP distribuiti
- Picchi di amplification ratio >100x in NetFlow/IPFIX
- Query DNS flood con domain randomization (NXDOMAIN storm)

Implicazioni per i difensori e gli operatori di rete

Il takedown di 53 piattaforme non risolve strutturalmente il problema — nuovi servizi emergeranno, spesso ospitati in giurisdizioni meno cooperative. La risposta efficace per chi gestisce infrastrutture è combinare scrubbing center upstream con BGP blackholing d’emergenza e accordi preventivi con il proprio upstream provider per la gestione di volumetric attack. La vera svolta di PowerOFF è l’approccio sistemico: colpire non solo le piattaforme, ma anche la domanda (gli utenti) e il canale di acquisizione (pubblicità sui motori di ricerca). Se l’ecosistema booter viene reso meno accessibile e percepito come più rischioso, la domanda si riduce — e con essa la viabilità economica dei servizi stessi. Per le organizzazioni esposte ad attacchi DDoS frequenti, il momento è propizio per negoziare con i provider uplink accordi di DDoS Protection Service Level Agreement, mentre il mercato dei booter attraversa una fase di disruption e riorganizzazione.

Il futuro chip di punta di MediaTek, il Dimensity 9600 Pro, inizia a farsi conoscere grazie ai primi benchmark trapelati in rete. I dati, attribuiti al noto leaker Digital Chat Station, mostrano un processore in evoluzione costante rispetto alla generazione precedente, anche se non si tratta di un salto generazionale rivoluzionario.

I punteggi Geekbench 6

Stando alle indiscrezioni, il Dimensity 9600 Pro ottiene su Geekbench 6 circa 4.200-4.300 punti in single-core e circa 12.000-12.500 punti in multi-core (dati da campioni ingegneristici, non definitivi). Rispetto alla generazione precedente (circa 4.000 single-core e 11.000 multi-core), si registra un miglioramento misurabile ma non clamoroso: un’evoluzione solida piuttosto che una rivoluzione.

Architettura: due core ultra-performance a 5 GHz

Sul piano architetturale, il Dimensity 9600 Pro adotta una configurazione 2+3+3, con due core ad altissime prestazioni che operano a circa 5 GHz, tre core Gelas-b e tre core Gelas standard. Un’impostazione orientata alle performance assolute, particolarmente vantaggiosa nei carichi single-thread.

GPU Magni e processo produttivo TSMC N2P

La GPU integrata sarà basata sulla nuova architettura Arm Magni, mentre il processo produttivo adotterà il nodo TSMC N2P, una scelta che dovrebbe garantire miglioramenti significativi nell’efficienza energetica. Alcune fonti precedenti parlavano di una riduzione dei consumi del 25-30%, ma questo dato non è ancora confermato ufficialmente.

La sfida con Snapdragon 8 Elite Gen 6 Pro

Il principale rivale sarà lo Snapdragon 8 Elite Gen 6 Pro di Qualcomm, che secondo le indiscrezioni punta anch’esso ai 5 GHz di clock ma con margini di miglioramento inferiori al 20% rispetto alla generazione attuale. I primi smartphone dotati del Dimensity 9600 Pro dovrebbero essere i vivo X500 e gli OPPO Find X10. L’arrivo sul mercato europeo potrebbe avvenire entro la fine del 2026.

Cambiare smartphone è diventato sempre più raro. Un’ampia indagine condotta su 5.000 utenti statunitensi rivela che la fedeltà degli utenti Android ai propri brand e piattaforme ha raggiunto livelli record, con implicazioni interessanti per tutto il mercato mobile.

Android all’86%, iPhone al 96%: la fedeltà cresce ovunque

I dati mostrano che l’86,4% degli utenti Android al momento del cambio del proprio dispositivo sceglie di restare sulla piattaforma Google, mentre sul fronte Apple la percentuale sale al 96,4%. Entrambi i valori sono in crescita rispetto agli anni precedenti, confermando un trend di consolidamento che rende sempre più difficile per chiunque strappare utenti ai due ecosistemi dominanti.

I brand Android più fidelizzanti

Anche a livello di singolo brand Android i dati sono significativi. Samsung supera il 90% di tasso di ritenzione (rispetto a circa 85% nel 2021), mentre Google Pixel, pur partendo da una base di utenti più piccola, registra anch’essa una crescita importante. Gli utenti che hanno scelto un Pixel tendono a restare nella famiglia Pixel al momento del rinnovo.

Perché gli utenti non cambiano più

Le ragioni di questo fenomeno sono molteplici. Da un lato, gli ecosistemi digitali sono diventati sempre più integrati: foto, messaggi, app, impostazioni e abbonamenti creano una rete di dipendenze che rende il cambio di piattaforma costoso in termini di tempo e fatica. Dall’altro, la qualità media degli smartphone è migliorata al punto che la soddisfazione degli utenti è generalmente alta.

Anche i programmi di aggiornamento software a lungo termine (7 anni per Pixel e Samsung Galaxy) giocano un ruolo: un dispositivo che riceve supporto per molti anni diventa un investimento affidabile, riducendo la motivazione a cambiare brand.

Cosa significa per il mercato

Un mercato dove la fedeltà ai brand è così alta è un mercato dove conquistare nuovi utenti diventa sempre più difficile. Per i consumatori, significa che la qualità del supporto post-vendita e la coerenza dell’ecosistema software saranno fattori determinanti nelle scelte d’acquisto future.

Si moltiplicano le indiscrezioni sullo Sony Xperia 1 VIII, il prossimo flagship dello smartphone giapponese. Nuove immagini di cover di protezione compatibili con il dispositivo hanno fatto emergere dettagli importanti sul design, e tutto sembra puntare verso una revisione estetica significativa rispetto ai modelli precedenti.

Le cover trapelate rivelano il form factor

Le immagini in circolazione mostrano una cover trasparente compatibile con l’Xperia 1 VIII. Pur non mostrando il dispositivo vero e proprio, le aperture della custodia permettono di dedurre con buona precisione la posizione dei tasti, del jack audio, del pulsante dedicato alla fotocamera e del modulo fotocamere posteriore. Tutti i dettagli coincidono con le informazioni già emerse in precedenza da altri leak.

Addio al modulo verticale: arriva un layout quadrato

La novità più importante riguarda il modulo fotocamere. Mentre le generazioni precedenti di Xperia 1 si distinguevano per il caratteristico modulo verticale allungato, l’Xperia 1 VIII sembra adottare un layout quasi quadrato, avvicinandosi all’estetica di molti competitor. È un cambiamento radicale per un brand che aveva fatto del design verticale un elemento distintivo della linea.

Questa forma è ora confermata da più fonti indipendenti, il che aumenta significativamente la credibilità del leak.

Quattro colorazioni e più opzioni di storage

Secondo le ultime informazioni emerse, l’Xperia 1 VIII sarà disponibile in quattro colorazioni, una in più rispetto alle tre offerte dal modello precedente. Le tinte specifiche non sono ancora state rivelate. Trapelano anche nuove opzioni di storage, che potrebbero offrire maggiore flessibilità di scelta rispetto alla gamma attuale.

Quando aspettarsi l’annuncio ufficiale

Sony segue tradizionalmente un calendario di presentazione legato al Mobile World Congress di Barcellona o agli eventi estivi. Con la quantità di leak che stanno emergendo, è probabile che l’annuncio ufficiale dell’Xperia 1 VIII sia imminente. Gli appassionati della linea premium di Sony possono dunque aspettarsi novità nel corso dei prossimi mesi.

Un sondaggio condotto da Android Authority su un campione ampio di lettori ha prodotto un risultato che in molti si aspettavano ma che ora è quantificato: il 71% degli utenti dichiara di preferire uno smartphone che funzioni bene nella vita reale rispetto a uno con specifiche tecniche superiori sulla carta. L’era della corsa ai benchmark potrebbe essere davvero alle spalle.

I numeri del sondaggio

Il sondaggio ha chiesto agli utenti di scegliere tra tre priorità nell’acquisto di uno smartphone. I risultati sono stati eloquenti: il 71,31% preferisce che il telefono scorra bene e soddisfi le proprie esigenze a prescindere dai benchmark; il 16,56% considera le alte specifiche tecniche indispensabili; il 12,13% guarda solo al prezzo.

Perché l’esperienza conta più delle specifiche

Il mercato degli smartphone si è ormai maturato: anche un dispositivo di fascia media del 2025-2026 è perfettamente in grado di gestire social network, fotografia quotidiana, streaming e comunicazione. La differenza di prestazioni tra un chip di fascia alta e uno medio non è quasi mai percepibile nell’uso quotidiano.

Quello che invece fa davvero la differenza è la qualità del software: animazioni fluide, transizioni senza scatti, un’interfaccia intuitiva e aggiornamenti puntuali. Non a caso brand come Google con i Pixel e Apple con gli iPhone hanno costruito la loro reputazione proprio sull’ottimizzazione software, non solo sull’hardware.

Chi ha ancora senso comprare un top di gamma?

Il 16% che vota ancora per le alte specifiche non è trascurabile. Per chi usa lo smartphone per editing video, gaming intensivo o applicazioni professionali, avere il processore più potente disponibile fa ancora la differenza. Ma per la maggioranza degli acquirenti, investire in un dispositivo con buon software, aggiornamenti garantiti nel tempo e interfaccia ottimizzata può essere una scelta più saggia di inseguire il benchmark più alto.

Google potrebbe presto dotare i suoi smartphone Pixel di una batteria più facilmente sostituibile. Un brevetto recentemente depositato dall’azienda descrive un sistema modulare innovativo che potrebbe rivoluzionare la riparabilità degli smartphone Android, con un occhio di riguardo verso la normativa europea.

Il regolamento UE spinge verso la riparabilità

Alla base di questa novità c’è la legislazione europea: l’Unione Europea ha stabilito che entro febbraio 2027 i produttori di smartphone dovranno rendere le batterie sostituibili dall’utente finale. Non si tratta necessariamente di un sistema “senza attrezzi” come quelli degli anni 2000, ma la batteria deve essere rimovibile usando strumenti reperibili in commercio, senza bisogno di un centro assistenza specializzato.

Come funziona il sistema brevettato da Google

Il brevetto US20260006115A1 descrive un meccanismo in cui la batteria è contenuta in un modulo metallico che si inserisce e blocca all’interno del dispositivo tramite un sistema a scorrimento. Una volta in posizione, contatti a molla garantiscono la connessione elettrica senza bisogno di cavi o saldature, e soprattutto senza l’uso di adesivi potenti.

Questo approccio permetterebbe di mantenere la resistenza meccanica del dispositivo agli urti e alle cadute, pur rendendo molto più semplice la rimozione della batteria rispetto agli attuali smartphone incollati.

Addio alla colla: la riparazione diventa più accessibile

Chiunque abbia mai provato a far sostituire la batteria di uno smartphone moderno sa bene quanto sia complicato: calore, spatole, solventi e un’alta probabilità di danneggiare lo schermo. Il sistema descritto nel brevetto Google eliminerebbe questa complessità, abbattendo anche i costi di riparazione che oggi spesso raggiungono cifre paragonabili al valore residuo del dispositivo.

Dal brevetto al prodotto: ancora incerto

È importante sottolineare che un brevetto non garantisce che la tecnologia verrà effettivamente implementata in un prodotto commerciale. Tuttavia, considerata la pressione normativa europea e la crescente attenzione dei consumatori alla sostenibilità e alla longevità dei dispositivi, è plausibile che questo tipo di soluzione trovi spazio nei Pixel di prossima generazione.

Se il trend continua, potremmo assistere a un ritorno parziale alla filosofia della batteria sostituibile, in una forma moderna e compatibile con i requisiti di impermeabilità e design degli smartphone contemporanei.

Amazon sta portando avanti la transizione dei propri dispositivi Fire TV Stick verso un sistema operativo proprietario, abbandonando progressivamente la base Android su cui si erano sempre fondati. La nuova piattaforma si chiama Vega OS e il cambiamento potrebbe avere conseguenze significative per alcuni utenti.

Un addio silenzioso ad Android

Fino ad oggi, i Fire TV Stick di Amazon utilizzavano internamente una versione personalizzata di Android, il che permetteva agli utenti più esperti di installare applicazioni non presenti nell’Amazon Appstore tramite il cosiddetto sideloading. Questa flessibilità era apprezzata da chi voleva accedere, ad esempio, a player video di terze parti o app non ufficiali.

Con i nuovi modelli, incluso il Fire TV Stick HD di recente lancio e alcuni dispositivi apparsi nell’ottobre 2025, Amazon ha già adottato Vega OS, lo stesso sistema operativo usato sugli smart speaker Echo. La migrazione è dunque già in corso, anche se Amazon non l’ha mai annunciata esplicitamente.

Cosa cambia per gli utenti

Per la stragrande maggioranza degli utenti che usano il Fire TV Stick solo per guardare film e serie in streaming, il cambiamento sarà probabilmente impercettibile. Il discorso è diverso per chi sfruttava il sideloading: con Vega OS, questa possibilità potrebbe venire meno o essere significativamente limitata. Al momento Amazon non ha fornito dettagli su questo aspetto specifico.

Alternative per chi cerca Android TV

Chi volesse mantenere un’esperienza basata su Android nel proprio salotto può orientarsi verso le numerose alternative disponibili, molte delle quali basate su Google TV. Chromecast con Google TV, le TV stick di Xiaomi o i dispositivi NVIDIA Shield restano opzioni valide per chi non vuole rinunciare all’ecosistema Android.

La mossa di Amazon conferma una tendenza sempre più diffusa tra i grandi player tecnologici: costruire ecosistemi chiusi e controllati, riducendo la dipendenza da piattaforme di terze parti come Android. Per Google, perdere Amazon come partner nell’ecosistema rappresenta comunque un segnale da non ignorare.

Un nuovo smartphone Android sta facendo parlare di sé per una somiglianza sorprendente con il Nothing Phone (3a). Si tratta del Natural AI Phone, dispositivo del brand Brain Technology distribuito da SoftBank in Giappone, che condivide con il telefono di Nothing non solo l’aspetto estetico ma anche le specifiche tecniche interne.

Design quasi identico, ma non è un clone esatto

Guardando i due dispositivi affiancati, le somiglianze sono evidenti: dimensioni del corpo quasi identiche, spessore simile e modulo fotocamera posizionato nella stessa zona del pannello posteriore. Tuttavia, un’analisi più attenta rivela alcune differenze minori nel design, che impediscono di definirli copie esatte.

Specifiche tecniche in comune: Snapdragon 7s Gen 3 e Android 15

Le analogie più significative emergono però sotto la scocca. Entrambi i dispositivi montano lo stesso processore Snapdragon 7s Gen 3, lo stesso display AMOLED Full HD+, la medesima batteria da 5.000 mAh e un sistema di fotocamere triple da 50 megapixel. Il sistema operativo è Android 15 su entrambi. Si tratta di una corrispondenza quasi perfetta che fa pensare a un’origine comune.

La teoria del produttore ODM condiviso

Nel settore degli smartphone è pratica comune che uno stesso produttore ODM (Original Design Manufacturer) realizzi dispositivi quasi identici per brand differenti, che li personalizzano con il proprio software e design di superficie. Questa potrebbe essere la spiegazione dietro la forte somiglianza tra i due modelli.

Il prezzo fa la differenza: quasi il doppio

La divergenza più lampante tra i due dispositivi è il prezzo. Il Natural AI Phone viene venduto a circa 93.600 yen (circa 600 euro al cambio attuale), mentre il Nothing Phone (3a) è disponibile a prezzi significativamente più bassi. Questo divario difficilmente è giustificabile con le sole differenze hardware, lasciando intuire che il prezzo rifletta anche il valore del brand e del software proprietario.

La vicenda del Natural AI Phone è un caso interessante che mostra come l’ecosistema Android permetta a brand emergenti di entrare nel mercato sfruttando piattaforme hardware già esistenti, con implicazioni sia positive (maggiore scelta per i consumatori) sia critiche (rischio di confusione tra prodotti simili a prezzi molto diversi).

Google ha rilasciato Android 17 Beta 4, ma non tutti i possessori di Pixel possono installarla facilmente. Chi ha già applicato l’aggiornamento stabile di Android 16 di aprile 2026 si trova davanti a un blocco inatteso: il sistema tratta l’installazione del Beta come un downgrade e la rifiuta.

Il problema dei numeri di build in conflitto

La causa del problema sta nei numeri di build. Android 17 Beta 4 porta il codice CP21.260330.008, mentre l’aggiornamento stabile di aprile 2026 per Android 16 è identificato come CP1A.260405.005. Nonostante entrambi contengano le patch di sicurezza di aprile, internamente il sistema riconosce Android 16 stabile come “più recente”, bloccando l’installazione del Beta come se fosse un’operazione di downgrade.

Chi può aggiornare e chi no

Chi NON ha ancora applicato l’aggiornamento stabile di aprile può iscriversi al programma Beta e ricevere Android 17 Beta 4 via OTA normalmente. Chi ha già aggiornato ad Android 16 stabile di aprile deve invece attendere il prossimo build beta oppure eseguire un’installazione manuale tramite flashing, operazione più complessa e non adatta agli utenti comuni.

Cosa include Android 17 Beta 4

Beta 4 è l’ultima release beta prevista per questo ciclo di sviluppo e si concentra principalmente su correzioni di bug e raffinamenti dell’interfaccia. Tra le novità segnalate ci sono un pulsante di chiusura sulla schermata di autenticazione biometrica, modifiche ai menu di condivisione e nuove icone di sistema.

Sul fronte dei bug corretti, l’elenco è lungo: problemi con gli screenshot condivisi che aggiungevano URL non desiderati, bug di accessibilità, anomalie nei controlli multimediali, freeze durante la digitazione, riavvii improvvisi, rallentamenti nella carica e problemi Bluetooth e Wi-Fi.

Cosa fare se si è bloccati

Google non ha ancora commentato ufficialmente questo comportamento. Per gli utenti in attesa, la soluzione più semplice è aspettare la Beta 5 (o una release correttiva) che presumibilmente risolverà il conflitto tra build. L’installazione manuale tramite Android Flash Tool rimane un’alternativa per i più esperti, ma va eseguita con cautela per non perdere i dati del dispositivo.

Il robusto smartphone Android di Kyocera, TORQUE G07, sta ricevendo un importante aggiornamento software che risolve un fastidioso problema di ricarica via USB emerso su alcuni dispositivi. L’update è in distribuzione progressiva a partire dal 16 aprile 2026.

Il bug che bloccava la ricarica con alcuni caricatori

Il problema principale risolto da questo aggiornamento riguarda l’impossibilità di caricare il dispositivo utilizzando determinati caricatori USB. Molti utenti si erano trovati nella situazione di non riuscire a ricaricare il proprio TORQUE G07 con caricabatterie specifici, un inconveniente significativo per un telefono pensato per ambienti di lavoro impegnativi.

Il fix è incluso nel build 1.020KB, che porta il dispositivo ad Android 16, e rappresenta una delle correzioni più attese dalla community di utenti del dispositivo.

Come aggiornare il dispositivo

Gli utenti possono installare l’aggiornamento accedendo alle Impostazioni del dispositivo, selezionando Sistema e poi Aggiornamento di sistema. L’aggiornamento viene distribuito in modo progressivo, quindi potrebbe non essere disponibile immediatamente per tutti.

Per verificare il numero di build attuale è possibile accedere a Impostazioni → Info dispositivo → Numero build.

Anche la sicurezza riceve aggiornamenti

In precedenza, il 30 marzo 2026, era già stato distribuito un aggiornamento di sicurezza (build 1.010KB) che aveva migliorato la protezione generale del dispositivo. Il TORQUE G07, lanciato il 18 marzo 2026 con il build iniziale 1.000KB, ha dunque già ricevuto più aggiornamenti software in poco tempo, dimostrando l’impegno di Kyocera nel supporto post-vendita.

Nonostante si tratti di un modello destinato principalmente al mercato giapponese, il caso del TORQUE G07 è un buon esempio di come i produttori stiano accelerando i cicli di aggiornamento per Android 16, risolvendo rapidamente i bug segnalati dagli utenti.

Visual Studio Code continua la sua evoluzione rapida e la versione 1.117, rilasciata ad aprile 2026, porta con sé una serie di miglioramenti significativi soprattutto per chi lavora con agenti AI, gestisce sessioni di sviluppo automatizzato o vuole un controllo più fine sui permessi degli strumenti agentico. Ecco una panoramica tecnica di tutto ciò che cambia.

Agenti e strumenti AI: più controllo e precisione

La funzionalità Run VS Code Command Agent Tool è stata aggiornata con il supporto per l’allowlisting di comandi specifici. Questo significa che è ora possibile definire una lista esplicita di comandi che un agente è autorizzato ad eseguire, riducendo la superficie di rischio nelle automazioni. Le approvazioni sono ora più granulari: invece di dare un via libera generico all’agente, l’operatore può specificare esattamente cosa è consentito.

Anche la Agent Sessions View ha ricevuto attenzione: le sessioni possono ora essere ordinate per data di creazione o di aggiornamento. Chi gestisce molte sessioni parallele troverà questa funzione molto utile per navigare tra sessioni attive e recenti.

Un’altra aggiunta pratica riguarda i messaggi in coda nella chat: è ora possibile modificare un messaggio già accodato prima che venga elaborato, tramite una nuova voce “Edit” nel menu contestuale. Questo evita di dover annullare l’intera sequenza per correggere un messaggio inviato per errore.

Miglioramenti al terminale e all’output automatico

VS Code 1.117 introduce un cambiamento interessante nel modo in cui vengono gestiti i comandi terminale in background. Il completamento di un comando eseguito in background viene ora notificato come notifica di sistema, invece di apparire solo come testo inline nell’interfaccia. Questo migliora l’accessibilità e rende più evidenti i completamenti che avvengono mentre si lavora in altre finestre.

Un’altra miglioria riguarda l’integrazione agente-terminale: quando un agente invia input a un terminale, l’output del terminale viene ora incluso automaticamente nel risultato dopo un breve ritardo. In pratica, l’agente non ha più bisogno di un turno aggiuntivo per “leggere” l’output del comando — lo riceve direttamente nel flusso di risposta. Questo riduce il numero di round-trip necessari nei workflow automatizzati.

VS Code ora riconosce anche Copilot CLI, Claude Code e Gemini CLI come tipi di shell nativi, migliorando l’integrazione e il rilevamento automatico per chi utilizza questi strumenti nel terminale integrato.

Gestione dei permessi: tre modalità di auto-approvazione

Uno degli aggiornamenti più rilevanti per i team che usano VS Code in ambienti agentico è il nuovo sistema di gestione dei permessi. Vengono introdotte tre modalità di auto-approvazione nell’Agent Host:

• Default Approvals: il comportamento standard, con richiesta esplicita di approvazione per ogni azione sensibile.
• Bypass Approvals: le approvazioni vengono saltate per azioni considerate sicure nel contesto attuale.
• Autopilot (Preview): modalità completamente automatica in cui l’agente opera senza interruzioni per l’approvazione.

La modalità Autopilot persiste tra le sessioni e può essere configurata come default tramite l’impostazione chat.permissions.default. Questa flessibilità permette agli sviluppatori di scegliere il livello di supervisione appropriato in base al contesto — più controllo in produzione, più automazione in ambienti di sviluppo controllati.

Supporto per sottoagenti e team di agenti

Il protocollo Agent Host ora supporta ufficialmente sottoagenti e team di agenti. Questo apre la strada a workflow multi-agente direttamente in VS Code, dove un agente orchestratore può delegare compiti specifici ad agenti specializzati. La funzionalità si integra con le sessioni worktree e git isolation a livello di sessione, garantendo che ogni sottoagente lavori in un ambiente isolato e riproducibile.

Copilot CLI aggiunge anche la generazione di nomi di branch significativi basati sul prompt dell’utente quando crea worktree per sessioni in background. Questo rende molto più semplice identificare a cosa corrisponde ogni branch nei workflow automatizzati.

Miglioramenti all’editor: JSDoc con immagini e hover su package.json

Sul lato editor, due aggiunte migliorano sensibilmente l’esperienza per gli sviluppatori JavaScript e TypeScript:

Le immagini nei commenti JSDoc, inclusi i tag HTML <img>, vengono ora renderizzate correttamente negli hover, nei dettagli di completamento e nell’aiuto alla firma. Chi documenta componenti con screenshot o diagrammi nei commenti apprezzerà questa miglioria.

Gli hover sulle dipendenze in package.json mostrano ora sia la versione attualmente installata che l’ultima versione pubblicata su npm. Questo rende immediato capire se un pacchetto è aggiornato senza dover uscire dall’editor.

Aggiornamenti per macOS

Su macOS, l’app Agents può ora aggiornarsi autonomamente (self-update), eliminando la necessità di intervento manuale per i rilasci futuri.

Conclusioni

VS Code 1.117 consolida e affina il modello di sviluppo agentico introdotto nelle versioni precedenti. Le novità più importanti riguardano la gestione granulare dei permessi, il supporto per team di agenti e i miglioramenti al flusso terminale, tutti elementi che migliorano la produttività nei workflow automatizzati. Se state usando VS Code come ambiente per sviluppo assistito da AI, questo aggiornamento è decisamente consigliato.

Fonte originale: Visual Studio Code 1.117 Release Notes (Visual Studio Code Team)

Il kernel Linux 7.1, la futura e imminente prossima versione del kernel Linux, introduce un cambiamento significativo per chi segue l’evoluzione del progetto: la rimozione progressiva del codice dedicato alle CPU Baikal, i processori...

🔗 Leggi il post completo

Wine è un progetto storico nato negli anni ’90 con l’obiettivo di permettere l’esecuzione di applicazioni e videogiochi sviluppati per Microsoft Windows all’interno di sistemi operativi come GNU/Linux, macOS e, in parte, anche BSD. A differenza di un emulatore tradizionale, Wine non ricrea...

🔗 Leggi il post completo

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato lo smantellamento di una vasta rete di router domestici e aziendali compromessi dall’Unità 26165 del GRU russo — il gruppo noto come APT28, Forest Blizzard e Fancy Bear. L’operazione, denominata Operation Masquerade, ha neutralizzato un’infrastruttura che al picco contava oltre 18.000 indirizzi IP distribuiti in 120 paesi, utilizzata per intercettare credenziali Microsoft 365 di obiettivi militari, governativi e infrastrutture critiche.

Chi è APT28: l’unità fantasma del GRU

APT28 — conosciuto anche come Forest Blizzard, Fancy Bear, Sofacy Group, Pawn Storm e Sednit — è il braccio cyber dell’85° Centro Principale dei Servizi Speciali del GRU (sigla interna: 85th GTsSS), identificato dai servizi di intelligence occidentali come Unità 26165. Attivo almeno dal 2004, il gruppo ha condotto alcune delle campagne di cyberspionaggio più audaci della storia recente: dall’interferenza nelle elezioni presidenziali statunitensi del 2016 all’attacco al Bundestag tedesco, dal DNC all’Olimpiade invernale di Pyeongchang. La caratteristica distintiva di APT28 è la capacità di operare “below the radar”, sfruttando infrastrutture di terzi per rendere l’attribuzione più complessa.

La campagna: come APT28 ha trasformato router domestici in armi di spionaggio

La campagna documentata nell’advisory FBI (PSA260407) si articola in tre fasi distinte. Il punto di ingresso iniziale ha sfruttato una botnet criminale preesistente chiamata MooBot, già attiva su centinaia di router Ubiquiti EdgeRouter con credenziali di fabbrica predefinite (ubnt/ubnt). Successivamente, nel 2025, la campagna si è espansa verso i router TP-Link attraverso lo sfruttamento della vulnerabilità CVE-2023-50224. Nella fase di picco — dicembre 2025 — oltre 18.000 indirizzi IP unici in 120 paesi comunicavano attivamente con l’infrastruttura APT28.

Fase 1: Compromissione del router

Una volta ottenuto accesso ai dispositivi — tramite credenziali predefinite o vulnerabilità note — gli operatori di APT28 installavano un malware persistente capace di sopravvivere ai riavvii del dispositivo (richiedendo un factory reset completo per la rimozione). Il router compromesso veniva quindi arruolato come nodo proxy nell’infrastruttura C2 del gruppo.

Fase 2: DNS Hijacking e Adversary-in-the-Middle

Il cuore tecnico della campagna è il DNS hijacking a livello di router — una tecnica che opera al di sotto del layer applicativo, dove gli strumenti di endpoint security tipicamente non possono intervenire. APT28 modificava le impostazioni DHCP/DNS dei router compromessi, reindirizzando le query DNS verso resolver controllati dagli attori. Un sistema di filtraggio automatizzato analizzava le richieste DNS in transito: per i target di interesse, il resolver GRU restituiva record DNS fraudolenti — in particolare per domini che emulano Microsoft Outlook Web Access — equipaggiati con certificati SSL validi per non triggerare warning nel browser della vittima.

Fase 3: Furto di credenziali M365 e NTLMv2

Le vittime che tentavano di autenticarsi su Microsoft 365 venivano reindirizzate su pagine di phishing ad alta fedeltà. Script Python personalizzati sui router compromessi validavano le credenziali in tempo reale contro i server Microsoft. Il gruppo raccoglieva password in chiaro, token di autenticazione e NTLMv2 digest — particolarmente preziosi per attacchi di pass-the-hash e relay. Parallelamente, APT28 sfruttava anche CVE-2023-23397 (vulnerabilità di Outlook per la divulgazione di hash NTLM) contro obiettivi selezionati.

Target colpiti: militare, governo, infrastrutture critiche

Secondo le agenzie di intelligence coinvolte nell’advisory congiunto — FBI, NSA, NCSC britannico e omologhi europei — i settori primariamente presi di mira includono organizzazioni governative, militari, contractor della difesa e aziende tecnologiche. I paesi con obiettivi confermati includono Repubblica Ceca, Italia, Lituania, Polonia, Ucraina, Emirati Arabi Uniti e Stati Uniti. La presenza dell’Italia nella lista conferma l’interesse persistente del GRU verso obiettivi NATO nell’Europa meridionale.

Operation Masquerade: la risposta dell’FBI

Il Dipartimento di Giustizia ha ottenuto un’autorizzazione giudiziaria (court order) per condurre un’operazione tecnica sui router compromessi negli Stati Uniti. L’FBI ha sviluppato una serie di comandi inviati direttamente ai dispositivi per: raccogliere evidenze forensi sull’attività GRU, reimpostare le configurazioni DNS ai valori legittimi, e disabilitare i meccanismi di accesso non autorizzato. Si tratta di una delle poche operazioni di law enforcement in cui l’FBI ha utilizzato autorizzazioni legali per accedere attivamente a dispositivi privati compromessi — una strategia già impiegata nella disruption di Volt Typhoon e della botnet Qakbot.

Indicatori di Compromissione (IoC)

# Vulnerabilità sfruttate
CVE-2023-50224  - TP-Link Router - Arbitrary Code Execution
CVE-2023-23397  - Microsoft Outlook - NTLM Hash Disclosure

# Hardware primariamente compromesso
- Ubiquiti EdgeRouter (credenziali default: ubnt/ubnt)
- TP-Link SOHO Routers (vari modelli)

# Indicatori comportamentali
- Modifiche DNS/DHCP non autorizzate sulle interfacce LAN
- Traffico DNS verso resolver non configurati dall'utente
- Certificati SSL unexpected per domini M365/OWA
- Connessioni NTLMv2 verso IP non aziendali
- Presenza di script Python su filesystem router (via SSH/Telnet)

# Tecniche MITRE ATT&CK
T1584.001  - Compromise Infrastructure: Domains
T1557.003  - Adversary-in-the-Middle: DHCP Spoofing  
T1040     - Network Sniffing
T1110.001  - Brute Force: Password Guessing
T1566.002  - Phishing: Spearphishing Link

Cosa devono fare i difensori

La natura della minaccia — che opera a livello di infrastruttura di rete anziché su endpoint — la rende particolarmente insidiosa per le organizzazioni che non monitorano attivamente il traffico DNS. Le contromisure prioritarie includono: aggiornare il firmware di tutti i dispositivi SOHO, cambiare immediatamente le credenziali predefinite, disabilitare la gestione remota esposta a Internet, e implementare il DNS-over-HTTPS (DoH) o DNSSEC per resistere a manomissioni DNS. Per le organizzazioni con accesso remoto, è fondamentale imporre MFA phishing-resistant (FIDO2/passkey) su tutti i servizi M365, poiché token e password rubati tramite AitM diventano inutilizzabili senza il secondo fattore hardware. Il monitoraggio di anomalie NTLM — in particolare tentativi di autenticazione verso IP esterni — dovrebbe essere prioritario nei SIEM aziendali.

L’industria degli smartphone si trova di fronte a una fase di forte tensione sul fronte della produzione. La carenza di chip a 2 nanometri e le difficoltà di approvvigionamento della DRAM stanno spingendo i produttori a ripensare la strategia dei flagship, con una possibile netta separazione tra le versioni top e quelle standard della stessa famiglia.

Il processo a 2 nm non riesce a tenere il passo

Il nodo a 2 nm sviluppato da TSMC è considerato il più avanzato al mondo. Al momento però le rese sono ancora basse, rendendo complicata la produzione su larga scala e quindi una fornitura sufficiente per coprire i volumi richiesti dai produttori di smartphone.

Ne deriva una scelta obbligata: i chip più avanzati verranno riservati a un numero limitato di modelli, spingendo le aziende a calibrare meglio la propria roadmap.

Potenza massima solo per gli “Ultra”

La naturale conseguenza è la concentrazione dei SoC di punta esclusivamente sui modelli top della gamma: pensiamo alle versioni “Ultra” o “Pro Max”. Gli altri smartphone della stessa famiglia, anche quando considerati di fascia alta, potrebbero dover ripiegare su chip leggermente inferiori.

Si profila quindi una nuova polarizzazione interna all’offerta: gli utenti che vorranno il massimo dovranno guardare esclusivamente ai flagship più estremi, mentre i modelli “base” offriranno un mix più bilanciato ma con meno potenza bruta.

Qualcomm, Apple e MediaTek verso la strategia “dual tier”

Sul fronte dei chip, questa tendenza è già in corso. Qualcomm sta preparando la propria prossima generazione con più varianti dedicate a segmenti differenti. Apple continuerà a differenziare i chip dei modelli Pro da quelli standard. Anche MediaTek si muove in questa direzione, con più linee di processori pensate per distanze di prezzo crescenti.

La DRAM aggiunge nuove tensioni

A complicare lo scenario si aggiunge la carenza di DRAM, con prezzi in risalita continua. Dei chip di punta già molto costosi — nell’ordine di alcune centinaia di dollari a esemplare — si sommano adesso costi crescenti per memoria e storage, con inevitabili ripercussioni sui listini finali.

Smartphone di fascia alta sempre più differenziati

Il risultato è che la fascia alta del mercato sta diventando sempre più stratificata. Nei prossimi mesi potrebbe essere molto più comune vedere dispositivi della stessa famiglia con differenze sostanziali di prestazioni, rendendo fondamentale per chi acquista valutare attentamente il chipset e le specifiche tecniche prima di scegliere.

Uno dei sogni dei gamer mobile si sta avvicinando alla realtà: giocare ai propri titoli Steam su un dispositivo Android portatile. Grazie a un aggiornamento del firmware Rocknix e alla tecnologia di compatibilità Proton di Valve, alcuni handheld Android possono ora avviare giochi PC, anche se con limitazioni significative.

Cos’è Rocknix e come funziona

Rocknix è una distribuzione Linux personalizzata pensata per i dispositivi gaming portatili, simile a SteamOS ma progettata per hardware ARM. Nell’ultima versione del proprio firmware, Rocknix ha introdotto il supporto nativo per Steam tramite Proton, lo stesso strato di compatibilità che Steam Deck usa per eseguire giochi Windows su Linux. In pratica, un handheld Android con Rocknix installato può comportarsi come una sorta di “Steam Deck low-cost”, accedendo alla libreria Steam dell’utente ed eseguendo i giochi compatibili.

Le limitazioni attuali sono ancora significative

Prima di esaltarsi troppo, è importante chiarire i limiti dell’implementazione attuale: la funzione è disponibile solo nelle nightly build instabili (non nella versione stabile); la compatibilità è limitata a specifici chip Qualcomm e non tutti i SoC recenti sono supportati; i giochi che richiedono funzionalità grafiche avanzate potrebbero non funzionare correttamente; la procedura di installazione non è immediata e richiede competenze tecniche.

Il potenziale è enorme

Nonostante i limiti attuali, la direzione è entusiasmante. Il segmento degli handheld Android, dispositivi come Retroid Pocket, Ayn Odin e simili, è cresciuto enormemente negli ultimi anni come alternativa economica allo Steam Deck. Se il supporto a Steam maturasse abbastanza, questi dispositivi potrebbero diventare una scelta molto appetibile per chi vuole portare i propri giochi PC in tasca a un prezzo inferiore.

Per ora, si tratta di una funzione per appassionati e sperimentatori. Ma il fatto che Android e Steam si stiano avvicinando così tanto è di per sé una notizia significativa per tutto il mondo del gaming mobile.

Xiaomi ha annunciato un aumento dei prezzi per alcuni dei propri prodotti, con effetto a partire dal 28 aprile 2026. I rincari riguardano principalmente la linea di tablet Redmi Pad 2 e sono motivati dall’aumento dei costi delle componenti hardware, in particolare le memorie, e dalle oscillazioni dei tassi di cambio.

Perché i prezzi aumentano: la colpa è dell’AI (e non solo)

Secondo la comunicazione ufficiale di Xiaomi, i fattori che hanno portato alla revisione prezzi sono tre: la crescita della domanda di AI che ha fatto impennare i prezzi delle memorie LPDDR e degli storage NAND, l’aumento dei costi nella supply chain globale e la volatilità dei tassi di cambio valuta. Nonostante gli sforzi per contenere i listini, la situazione ha reso inevitabile il ritocco al rialzo.

I modelli interessati e i nuovi prezzi

I prodotti interessati appartengono alla famiglia Redmi Pad 2, con rincari che variano da poche migliaia a quasi 10.000 yen a seconda del modello (prezzi riferiti al mercato giapponese). La variante base Redmi Pad 2 (4GB/128GB) passa da 21.980 a 27.980 yen, mentre il modello 8GB/256GB sale da 34.980 a 44.980 yen, un aumento di quasi il 29%. Il Redmi Pad 2 Pro vede rincari più contenuti, nell’ordine di 2.000-3.000 yen.

Xiaomi Pad 8 Pro torna in vendita senza aumenti

Una nota positiva: lo Xiaomi Pad 8 Pro Matte Glass Version, attualmente esaurito, tornerà disponibile dal 7 maggio 2026 al prezzo precedente, senza alcun rincaro.

Un segnale per il mercato globale

Sebbene questi aumenti riguardino specificamente il mercato giapponese, rappresentano un segnale importante per tutti i consumatori. I costi delle memorie stanno salendo a livello globale a causa della domanda legata all’AI, e altri produttori potrebbero seguire la stessa strada nei prossimi mesi. Chi stava pensando di acquistare un tablet Android farebbe bene a non rimandare troppo.

Samsung Galaxy A57 5G torna protagonista tra i dispositivi più attesi della fascia media. L’azienda sudcoreana ha già confermato il lancio del nuovo modello sul mercato giapponese e le prime valutazioni delle performance, basate su Geekbench 6.0, stanno svelando il potenziale dello chipset proprietario Exynos 1680.

Il ritorno della serie A5 con un chip completamente nuovo

Quello di Galaxy A57 5G è un ritorno significativo: in Giappone la linea A5x mancava dai tempi del Galaxy A53 5G, ovvero da quasi due anni. Il vero elemento chiave del nuovo modello è l’adozione del SoC Exynos 1680, che sulla carta promette un salto prestazionale importante rispetto al predecessore.

Sfida a tre nella fascia media giapponese

Per contestualizzare le prestazioni, è utile confrontare Galaxy A57 con gli altri due riferimenti storici della fascia media nipponica: la serie Xperia 10 di Sony e la serie AQUOS sense di Sharp. I dati Geekbench 6.0 disegnano uno scenario netto:

• Galaxy A57 5G (Exynos 1680): single-core ~1.380 / multi-core ~4.450
• AQUOS sense10 (Snapdragon 7s Gen 3): single-core ~1.150 / multi-core ~3.200
• Xperia 10 VII (Snapdragon 6 Gen 3): single-core ~1.000 / multi-core ~2.900

Multi-core: Galaxy A57 stacca tutti

Il divario più rilevante si registra nel calcolo multi-core: Galaxy A57 5G supera di circa il 40% AQUOS sense10 e di oltre il 50% Xperia 10 VII. Numeri che in uso reale significano maggiore fluidità nella gestione simultanea di più app, migliori tempi di risposta nelle applicazioni produttive e un comportamento complessivo del sistema decisamente più brillante.

Exynos 1680: un ritorno in grande stile

Dopo anni in cui la fascia media Samsung è stata costruita soprattutto su SoC MediaTek e Snapdragon, il ritorno di un Exynos di nuova generazione sembra dare risultati molto solidi. Per chi acquista uno smartphone mid-range, avere un dispositivo che offre quasi prestazioni da top di gamma dello scorso anno rappresenta un valore difficile da trovare nello stesso segmento.

Con un listino aggressivo e un comparto software ben rodato, Galaxy A57 5G ha tutte le carte in regola per tornare a rappresentare il riferimento della fascia media Android, non solo sul mercato giapponese ma anche su quello globale.

Il prossimo pieghevole clamshell di Motorola si fa conoscere. Motorola Razr 70 Ultra ha superato la certificazione cinese TENAA, un passaggio che offre una prima panoramica dettagliata sulle specifiche ufficiali.

Alcune indiscrezioni sul dispositivo erano già emerse grazie alla certificazione 3C, ma adesso il quadro comincia a comporsi in maniera concreta.

Display interno da 6,9 pollici e cover da 4 pollici

Secondo i dati pubblicati dal TENAA, Razr 70 Ultra adotterà un display interno pieghevole da 6,9 pollici con risoluzione 1224 × 2992 pixel. All’esterno ritroviamo invece un ampio schermo OLED da 4 pollici (1080 × 1272 pixel), pensato per offrire un’esperienza d’uso completa anche a smartphone chiuso.

Snapdragon 8 Elite e fino a 16 GB di RAM

Il chipset non è menzionato in modo esplicito, ma le frequenze elencate sono compatibili con lo Snapdragon 8 Elite di Qualcomm. Una scelta in linea con il posizionamento Ultra della gamma Razr. Sul mercato cinese sono attese configurazioni fino a 16 GB di RAM e 1 TB di storage, un livello di dotazioni tipico della fascia premium.

Batteria intorno ai 4.700 mAh con ricarica rapida da 68 W

La batteria sarà suddivisa in due celle per un totale di circa 4.540 mAh, con un valore tipico intorno ai 4.700 mAh. Non si esclude però che il valore possa essere ulteriormente aumentato fino a 5.000 mAh, grazie a eventuali affinamenti in fase di lancio. A corredo è previsto il supporto alla ricarica rapida da 68 W.

Comparto fotografico da 50 MP

Sul fronte fotografico, Razr 70 Ultra dovrebbe montare un sensore principale posteriore da 50 MP accompagnato da una seconda fotocamera ausiliaria. Anche la fotocamera frontale offre 50 MP, per selfie ad alta risoluzione e videochiamate nitide. Il riconoscimento biometrico sarà affidato a un sensore di impronte laterale.

Presentazione prevista a maggio

La serie Razr 70 dovrebbe essere presentata in Cina nel corso di maggio, con un successivo lancio globale atteso entro lo stesso mese o al più tardi a giugno. In un mercato in cui la competizione tra pieghevoli è sempre più serrata, Motorola si prepara a giocare le sue carte con un mix equilibrato di potenza, autonomia e design distintivo.