Dario Fadda ha ricondiviso questo.

Opera GX arriva su Linux


Opera GX sbarca su Linux e questo significa che il pinguino sta guadagnando sempre più appeal fra i gamers.
L'articolo Opera GX arriva su Linux proviene da Marco's Box.

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

La crisi globale dell’elio: perché un elemento insostituibile sta mettendo a rischio chip, medicina e infrastrutture critiche


L’elio è un gas nobile estremamente leggero. A differenza di altri gas che rimangono intrappolati nella nostra atmosfera, l’elio ha una massa così bassa che le sue molecole possono raggiungere la “velocità di fuga“....

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato Systemd 260: rimozione del supporto a SysV Init e altre novità


Systemd è un sistema di init e un gestore di servizi per i sistemi operativi GNU/Linux. Nato come alternativa al tradizionale System V init, si è rapidamente affermato come standard de facto nella maggior...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato GNOME 50 “Tokyo”: tutte le novità dell’ambiente desktop per GNU/Linux


GNOME è uno dei più importanti ambienti desktop liberi e open source, progettato per offrire un’esperienza utente semplice, intuitiva e accessibile. Fin dalla sua nascita, l’obiettivo principale è stato quello di proporre un’interfaccia coerente e facile...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

GNOME 50 è realtà: il desktop Linux guarda al futuro (senza X11)


Il progetto GNOME ha ufficialmente rilasciato GNOME 50 nome in codice Tokyo, una delle versioni più importanti degli ultimi anni.
L'articolo GNOME 50 è realtà: il desktop Linux guarda al futuro (senza X11) proviene da Marco's Box.

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Thelio Mira R4: il PC GNU/Linux ad alte prestazioni di System76 con ambiente desktop COSMIC


System76, azienda americana specializzata nella produzione di hardware ottimizzato per il mondo GNU/Linux, ha recentemente presentato la nuova generazione del desktop Thelio Mira R4, un computer progettato per offrire prestazioni elevate, facilità di riparazione...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Dentro la fabbrica di identità di Pyongyang: come gli “IT worker” nordcoreani stanno diventando i futuri insider


C’è un momento preciso in cui la narrativa sui “hacker nordcoreani” smette di essere una storia di APT, zero‑day e supply chain e diventa qualcosa di molto più scomodo: scopri che quella persona nel tuo Slack, con badge GitHub aziendale e ticket Jira assegnati, potrebbe essere un dipendente della Repubblica Popolare Democratica di Corea che lavora sotto falso nome da un appartamento a Shenyang, usando il portatile spedito a casa di un collaboratore americano. Il quadro che emerge […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

Si parla di:
Toggle


C’è un momento preciso in cui la narrativa sui “hacker nordcoreani” smette di essere una storia di APT, zero‑day e supply chain e diventa qualcosa di molto più scomodo: scopri che quella persona nel tuo Slack, con badge GitHub aziendale e ticket Jira assegnati, potrebbe essere un dipendente della Repubblica Popolare Democratica di Corea che lavora sotto falso nome da un appartamento a Shenyang, usando il portatile spedito a casa di un collaboratore americano.

Il quadro che emerge dall’analisi congiunta di Flare e IBM X‑Force è quello di un’industria strutturata di IT worker nordcoreani (NKITW), non un singolo cluster o campagna, ma una filiera permanente di developer, facilitator, recruiter e collaboratori occidentali che trasformano identità e account in valuta sonante per il regime. È lo stesso ecosistema che negli ultimi mesi è finito al centro di indagini del Dipartimento di Giustizia USA, di nuove sanzioni OFAC e di report di piattaforme come GitHub, che descrivono pipeline industriali per generare identità sintetiche, costruire reputazione tecnica e infiltrarsi in team di sviluppo e infrastrutture critiche.

Dall’operaio al developer: l’evoluzione del lavoratore all’estero


Storicamente Pyongyang ha monetizzato la forza lavoro esportando camerieri, muratori e operai in Cina e Russia, costretti a rimandare la quasi totalità del salario al partito‑stato. L’IT worker è l’evoluzione “white collar” di questo modello: stesso schema di estrazione di valore, margini molto più elevati. Le stime ONU e di altri osservatori indicano migliaia di lavoratori IT dispiegati all’estero o operativi da remoto, con un volume annuo di centinaia di milioni di dollari tra salari, attività illecite e sfruttamento di criptoasset.

Questi lavoratori non sono improvvisati. Vengono selezionati da giovanissimi per le abilità matematiche, instradati attraverso un percorso di scuole d’élite che include università come Kim Il Sung, Kim Chaek e l’University of Sciences di Pyongyang, gestita dall’Accademia di Scienze e percepita come corsia preferenziale per ottenere residenza nella capitale e status privilegiato. L’IT worker è, di fatto, un insider di élite del sistema nordcoreano: istruito, con accesso alla tecnologia, politicamente affidabile, e con un obiettivo semplice ma non negoziabile, generare valuta pregiata e, quando possibile, intelligence e know‑how tecnici.

La macchina organizzativa: recruiter, facilitator, worker, collaboratori


L’ecosistema NKITW è strutturato in ruoli ben distinti, che ricordano più una scale‑up distribuita che un’unità di intelligence tradizionale. In alto troviamo i recruiter, spesso attivi su piattaforme mainstream come LinkedIn, che si presentano come HR per “stealth startup” con nomi innocui, come “C Digital LLC”. Il loro pitch è studiato: promettono mentorship sulle “migliori strategie di job hunting”, identità USA preconfezionate, possibilità (alluse, mai garantite) di migrare, e un modello retributivo basato su contratti ottenuti presso terzi.

Il passaggio successivo è nelle mani dei facilitator, che sono il motore operativo della frode. Queste figure orchestrano la creazione delle identità, gestiscono i profili su LinkedIn, GitHub e piattaforme freelance, coordinano gli assistenti che spammando candidature arrivano tranquillamente a centinaia di job application al giorno, curano il rapporto con i collaboratori occidentali, si fanno carico dell’onboarding e della “manutenzione” del profilo fintanto che il lavoratore resta in azienda.

Gli IT worker, il gradino apparentemente più “basso”, sono in realtà gli esecutori sulla tastiera. Lavorano su stack che vanno da .NET allo sviluppo blockchain, da WordPress al full‑stack JavaScript, con competenze che oscillano dal solido alla facciata, spesso compensate da un uso massiccio di Google, ChatGPT e altra AI generativa per colmare gap tecnici e linguistici in tempo reale. Infine ci sono i collaboratori/broker occidentali, il layer più delicato dal punto di vista legale: proprietari di identità, laptop e conti bancari che consapevolmente o meno prestano la propria “fisicità” per superare KYC, background check, drug test e burocrazia fiscale.

Le ultime inchieste del Dipartimento di Giustizia USA hanno mostrato esattamente questo pattern, con facilitatori e cittadini americani incriminati per aver fornito laptop, conti e società di comodo a decine di worker nordcoreani, che hanno guadagnato milioni di dollari e ottenuto accesso a più di cento aziende, incluse realtà Fortune 500 e contractor della difesa.

RB Site, NetKeyRegister e la “intranet” del lavoro IT nordcoreano


Un elemento distintivo del report Flare/X‑Force è l’accesso raro a quello che succede “dietro il firewall” nordcoreano: non solo opsec degli operatori, ma veri e propri sistemi di gestione interna del lavoro. Il primo tassello è l’infrastruttura VPN domestica, centrata su NetKey e sul suo rebrand OConnect, client proprietari usati per autenticarsi a reti interne DPRK. Su endpoint riconducibili a worker sono state osservate più versioni di NetKey (4.1, 5.0, 5.1) e OConnect (dalla 5.3 alla 6.0.0), con percorsi che includono directory come “C:\Program Files (x86)\rb corp\oconnect 5\NetKey.exe” e “C:\Program Files (x86)\STN Corp\OConnect 6.0.0\OConnect.exe”, indizi di enti o front company come “RB Corp” e “STN Corp”.

È proprio “RB” a condurre a RB Site, una piattaforma web accessibile su IP interni (per esempio 192.168.109.2) che fornisce interfacce come “Add Machine Info”, “Network Report”, “Payment Address” e viste su “blocked URLs”. In pratica un back‑office centralizzato dove registrare i dispositivi in uso, associare macchine a singoli worker, distribuire aggiornamenti dei client NetKey/OConnect e tracciare flussi di pagamento. In parallelo emerge NetKeyRegister, un’altra applicazione web su IP privato (172.20.100.7:8000) con pagine di login, upload e form parametrici basati su “netkey_id”, verosimilmente un registry interno di identità e servizi associati ai tunnel VPN.

Questo ecosistema suggerisce che il lavoro remoto per Pyongyang è gestito con la stessa ossessione per la rendicontazione che si ritrova nel resto dell’economia di comando: time sheet che registrano le attività “per il secondo”, classifiche interne basate sulle ore trascorse a fare bidding su Upwork e a inviare messaggi LinkedIn, nickname di gruppo mutuati da videogiochi e cultura pop. Dalla stessa telemetria si capisce che ogni giorno centinaia di bid vengono lanciati su piattaforme freelance, con tassi di conversione bassi ma sufficienti, dato il costo del lavoro interno, a generare margini significativi anche con progetti da qualche centinaio di dollari l’uno.

Synthetic workforce: persona engineering tra GitHub, AI e FaceSwap


Se c’è un’area in cui la componente “nerd” del fenomeno emerge con forza è la costruzione delle identità. L’identità digitale del worker è un prodotto, e viene trattata come tale: progettazione, prototipazione, validazione, cicli di iterazione basati su feedback del mercato (recruiter, hiring manager, piattaforme). Tutto parte da generatori di nomi e profili, in grado di produrre identità coerenti con l’area geografica target, collegati a università e aziende credibili nel contesto locale. Per la parte visiva vengono scaricate foto stock e poi modificate con editor AI per evitare reverse image search, oppure si parte da scatti reali e si manipola lo sfondo o i tratti fino a renderli irriconoscibili.

Negli ultimi mesi, secondo OFAC e analisi indipendenti, questo arsenale si è arricchito di strumenti più aggressivi: applicazioni di face‑swapping usate per inserire volti di worker in passaporti rubati o documenti d’identità sintetici, e tool generativi per produrre headshot “LinkedIn‑ready” e persino interi siti aziendali fittizi che fungono da base per referenze e shell company. Una delle indagini raccontate da GitHub parla di un singolo team nordcoreano che ha creato almeno 135 identità sintetiche, automatizzando la creazione di email, account professionali e portfolio tecnici e riuscendo a ottenere accesso a decine di codebase private.

GitHub, in questo ecosistema, è una vetrina ma anche un tool operativo. I profili “di facciata” sono pieni di repository boilerplate, fork, badge e grafica, spesso con commit history artificiale, costruita seguendo guide trovate via Google tipo “how to create fake commit activity on GitHub”. La qualità del codice nei repo pubblici conta relativamente: l’obiettivo è tecnicamente convincere un recruiter umano o automatizzato che la persona dietro l’account sia “uno dei tanti” developer mid‑senior in un mercato saturo.

Molto più interessanti, dal punto di vista della sicurezza, sono i profili “operativi”, quelli usati per lavorare sui repository privati delle aziende target. In questi casi il profilo GitHub è minimalista, spesso quasi vuoto, perché la sua unica funzione è ospitare branch e pull request su codebase proprietarie. È qui che l’identità fittizia smette di essere un problema HR e diventa un rischio di sicurezza: accesso a codice, pipeline CI/CD, segreti, infrastrutture cloud, dataset di clienti.

Vita (molto) quotidiana di un IT worker nordcoreano


La vita lavorativa dell’IT worker medio, per come emerge dai log di Google Translate, dalle cronologie browser e dai documenti interni analizzati, è quasi banale proprio perché profondamente simile a quella di un developer qualsiasi, solo con più stratagemmi intorno. Il worker inizia la giornata collegandosi via VPN commerciale, spesso Astrill, per ottenere un IP coerente con la sua presunta residenza (Stati Uniti, Europa, Asia‑Pacific), oltre al tunnel verso la rete DPRK tramite NetKey/OConnect.

Le task arrivano via Jira, Slack, Teams o sistemi analoghi; ogni descrizione di ticket viene incollata in Google Translate, tradotta e spezzata in query per Google e ChatGPT. ChatGPT viene usato come copilota per generare snippet, debug, spiegazioni di stack non pienamente padroneggiati; le risposte vengono ricontrollate traducendo dall’inglese al coreano per essere sicuri di aver compreso senso e sfumature prima di inviare qualcosa al team. Interessante è il pattern di utilizzo di Google Translate: quando il worker scrive in inglese, l’URL della pagina di traduzione viene aggiornato a ogni lettera, producendo lunghi “trail” nella cronologia, un marcatore comportamentale che tradisce la scrittura lenta e controllata del messaggio.

In parallelo mantiene la copertura: aggiornamenti di stand‑up giornalieri, battute “da open space”, richieste di chiarimenti tecnici costruite in maniera credibile rispetto al ruolo. Tutto questo sotto la minaccia costante della performance: i log contengono messaggi di manager frustrati da problemi banali con i branch Git, dal calo di qualità delle consegne rispetto alle aspettative del CV, fino a piani di miglioramento e, in molti casi, lettere di licenziamento. Quando l’epilogo arriva, scatta il protocollo di dismissione: coordinarsi con il collaboratore occidentale per spedire il laptop, chiudere l’account, incassare l’ultima busta paga e passare alla prossima identità.

La comunicazione interna tra worker e tra team avviene spesso tramite IP Messenger (IPMsg), un’app di messaging serverless che vive su LAN, con gruppi identificati da nickname come “Jockey”, “Viper”, “KasperSky”, “Superman” e così via. Qui circolano slide con statistiche su CV che performano meglio, consigli di dorking per cercare offerte di lavoro per paese, link a versioni “pulite” di OConnect e IPMsg da RB Site quando compaiono campagne malware che ne sfruttano i binari. Questo layer “peer‑to‑peer” dipinge l’immagine di un ambiente ibrido tra una software house e un collegio, con competizione interna, ranking e pressione sociale per chi è in fondo alla classifica di ore lavorate.

Dal falso dipendente all’insider: cosa stanno facendo davvero


La narrativa ufficiale spiega l’IT worker principalmente come strumento di generazione di revenue, e le cifre supportano questa lettura: singoli worker possono guadagnare fino a 300.000 dollari l’anno, fondi che in gran parte vengono incanalati verso i programmi di armamento e missilistici del regime. Ma ridurre il fenomeno a “developer che lavorano in nero per finanziare Pyongyang” è fuorviante. Alcune delle indagini più recenti mostrano come questi ruoli si sovrappongano sempre più con attività classiche di cybercrime e spionaggio.

Nelle accuse rese pubbliche nel 2025, il Dipartimento di Giustizia ha descritto casi in cui team di IT worker, una volta ottenuto un posto come developer remoto presso aziende americane, hanno sottratto criptovalute per quasi un milione di dollari, violato policy ITAR accedendo a codice sensibile di un contractor della difesa e scaricato dati proprietari da più organizzazioni. In parallelo OFAC e Treasury hanno sanzionato entità come Amnokgang Technology Department Company e altre strutture che gestiscono squadre di worker, accusandole non solo di frode identitaria, ma anche di aver introdotto malware su reti aziendali per esfiltrare informazioni.

Sul fronte cripto, provider come Chainalysis tracciano un uso sistematico di exchange, swap, mixer e bridge multi‑chain per ripulire salari e proventi illeciti, collegando indirizzi collegati all’IT worker scheme a milioni di dollari in asset digitali riciclati. In questo senso il “developer remoto” è un punto di ingresso ideale per l’abuso di segreti, wallet interni, infrastrutture DevOps poco presidiate e chiavi API, soprattutto in organizzazioni che non hanno una chiara segregazione tra ambienti di sviluppo, test e produzione.


E’ la componente umana, la più difficile da automatizzare ma probabilmente la più efficace. Il report Flare sottolinea come i worker tendano a evitare ambienti dove è richiesta alta interazione faccia a faccia, videochiamate frequenti, incontri in presenza per il ritiro dei laptop o per l’onboarding. Un’organizzazione che investe in rapporti stretti tra manager e dipendenti, che insiste su colloqui video approfonditi, che verifica indirizzi e disponibilità fisica quando il ruolo lo consente, rende la vita molto più difficile a chi cerca di gestire un’identità da migliaia di chilometri di distanza attraverso un collaboratore.

Questa voce è stata modificata (3 mesi fa)

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciata Fedora Asahi Remix 43: la distribuzione GNU/Linux per Apple Silicon con KDE Plasma 6.6


Fedora Asahi Remix è una distribuzione GNU/Linux progettata specificamente per i dispositivi Apple dotati di processori Apple Silicon, cioè i chip delle serie M1, M2 e successive basati sull’architettura ARM64 (Advanced RISC Machine a...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Secondo Reuters, EQT sta preparando la vendita di SUSE per 6 miliardi dollari e sì, c’entra l’AI


Si tratta ancora di rumors, ma sono sussurri abbastanza espliciti quelli che riguardano SUSE ed il gruppo svedese EQT che al momento ne detiene la proprietà: secondo Reuters, che millanta una fonte interna che al momento rimane anonima, SUSE starebbe per essere messa in vendita per una cifra intorno ai 6 miliardi di dollari. Come...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

TUXEDO Gemini 17 Gen4: il notebook GNU/Linux con AMD Ryzen 9 9955HX per professionisti e giocatori


Il TUXEDO Gemini 17 Gen4 è l’ultima proposta di TUXEDO Computers, azienda tedesca specializzata in hardware ottimizzato per sistemi GNU/Linux. Questo notebook, lanciato a dicembre 2025 nella versione con processore Intel Core i9-14900HX, è...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato Blender 5.1: Novità e Miglioramenti nella Grafica 3D Open Source


Blender è un software libero e open source dedicato alla grafica 3D, nato nel 1994 come progetto interno dello studio di animazione olandese NeoGeo. Inizialmente sviluppato come strumento proprietario, nel 2002 è stato rilasciato...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

FSFE si rifiuta di dare i dati dei sostenitori al fornitore dei servizi di pagamento, che sospende le donazioni


Le comunicazioni che sono arrivate nell’ultima settimana via mail a tutti i sostenitori della FSFE (Free Software Foundation Europe) lasciano tra lo sbigottito e il perplesso, e dimostra ancora una volta il vecchio detto popolare che recita “neanche il cane scodinzola per niente“. Per capire quale sia il problema ed a cosa si riferisca basta...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato FFmpeg 8.1 “Hoare”: novità e miglioramenti per il framework multimediale open source


FFmpeg è uno dei più celebri e potenti strumenti open source per la manipolazione di file multimediali, in grado di registrare, convertire e trasmettere audio e video in tempo reale. Nato nel 2000 come progetto guidato da...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciata SparkyLinux 2026.03 “Tiamat”: Novità e Caratteristiche della Distribuzione Basata su Debian 14


SparkyLinux è una distribuzione GNU/Linux che adotta un modello particolare che prevede 2 rami principali: il ramo semi‑rolling, basato su Debian Testing, e il ramo stabile, basato su Debian Stable. Questa architettura di sviluppo consente agli utenti di scegliere se...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

La verifica sull’età imposta da alcuni stati USA è un problema per le distribuzioni Linux e l’open-source


All’inizio di questo mese di marzo è arrivata una notizia dagli Stati Uniti che, visto il complicato momento storico, avrebbe tranquillamente potuto passare inosservata, ma che in realtà ha scatenato una vera e propria mobilitazione nelle community open-source e specificamente presso quanti si occupano di distribuzioni Linux. La questione è ben riassunta da questo articolo...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Manjaro 2.0: il manifesto che potrebbe cambiare il futuro della distribuzione


Nel forum ufficiale di Manjaro Linux è apparso un documento destinato a far discutere: il “Manjaro 2.0 Manifesto”, una proposta che mira a ridefinire profondamente la struttura organizzativa del progetto e il suo rapporto con la comunità.
L'articolo Manjaro 2.0: il manifesto che potrebbe cambiare il futuro della distribuzione proviene da Marco's Box.

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato il driver OpenRazer 3.12: Supporto Esteso per le Periferiche Razer su GNU/Linux


OpenRazer è un driver accompagnato da un demone, cioè un servizio in background, progettato per lo spazio utente e pensato per offrire agli utenti delle distribuzioni GNU/Linux un controllo completo sulle periferiche Razer. Il...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Parliamo del fronte cyber Iran-USA: Handala contro Stryker


E' da un po' che non riuscivo a prendere del tempo per aggiornare questo blog e, visti gli avvenimenti che hanno determinato e stanno determinando la sicurezza nelle ultime settimane, riapro con un post sull'Iran. L’11 marzo 2026 Stryker, uno dei colossi mondiali della tecnologia medicale, ha scoperto cosa significa avere l’intero ambiente Microsoft trasformato in un kill‑switch remoto, azionato da un gruppo hacktivista filo‑iraniano che si firma Handala Hack e che l’intelligence […]
The media in this post is not displayed to visitors. To view it, please go to the original post.

E’ da un po’ che non riuscivo a prendere del tempo per aggiornare questo blog e, visti gli avvenimenti che hanno determinato e stanno determinando la sicurezza nelle ultime settimane, riapro con un post sull’Iran.

L’11 marzo 2026 Stryker, uno dei colossi mondiali della tecnologia medicale, ha scoperto cosa significa avere l’intero ambiente Microsoft trasformato in un kill‑switch remoto, azionato da un gruppo hacktivista filo‑iraniano che si firma Handala Hack e che l’intelligence occidentale riconduce alla costellazione iraniana Yellow Phobos / Void Manticore / Red Sandstorm. Nel giro di minuti, migliaia di endpoint aziendali – dai server Windows alle workstation fino agli smartphone con profili corporate – sono stati resettati o wipati, i portali di login hanno iniziato a mostrare il logo di Handala e la supply chain sanitaria globale ha avuto un assaggio molto concreto di cosa significhi un attacco distruttivo contro un fornitore critico.​

La narrazione ufficiale dell’azienda, almeno nelle prime ore, è stata prudente: “network disruption”, incidente circoscritto al “Microsoft environment”, nessuna evidenza pubblica di ransomware o malware tradizionale, nessun riferimento esplicito a wiper nel comunicato ai clienti. Eppure le evidenze raccolte nei report di threat intelligence e le testimonianze interne vanno in tutt’altra direzione, parlando di cancellazione massiva di dati, factory reset orchestrati da remoto e indisponibilità diffusa dei dispositivi in decine di sedi nel mondo. Il punto interessante, per una community nerd e tecnica, non è solo il “chi” ma soprattutto il “come”: invece di far leva su un ennesimo payload custom, Handala avrebbe scelto un approccio quasi “living off the SaaS”, abusando di Microsoft Intune per distribuire comandi di remote wipe perfettamente legittimi ma usati con finalità distruttive.

Per capire perché questo incidente pesa più di altri sul piano strategico bisogna partire dal contesto geopolitico. Handala rivendica l’operazione come ritorsione per l’attacco contro la scuola di Minab in Iran, incastonandola in un ciclo di escalation che vede Stati Uniti e Israele da un lato e Teheran dall’altro, con il cyber come teatro operativo ormai pienamente integrato in quello cinetico. Sullo sfondo c’è il ruolo del Corpo delle Guardie Rivoluzionarie Islamiche (IRGC), che tramite media di Stato come l’agenzia Tasnim ha iniziato a pubblicare liste di “obiettivi legittimi” tra le big tech occidentali, indicando strutture di Google, Microsoft, Nvidia, IBM, Oracle, Palantir e Amazon in Israele e nel Golfo come possibili target di future azioni di “infrastructure warfare”. In questo schema, colpire un fornitore medicale come Stryker non è solo un’operazione di sabotaggio episodica, ma un messaggio: l’Iran‑verse cyber non si limita più a entità governative o utility regionali, può aggredire nodi sistemici della sanità globale e disarticolare la capacità operativa degli ospedali occidentali senza toccare direttamente i loro sistemi clinici.

Dal punto di vista tecnico, il quadro che emerge secondo diverse fonti di cyber intelligence è quello di un’operazione costruita intorno a un wiper, o comunque a un effetto wiper‑like, con un’architettura pensata per massimizzare la distruzione più che l’estorsione. A differenza del classico schema ransomware – cifratura, nota di riscatto, canale di negoziazione – qui il focus è la cancellazione irreversibile dei dati sui sistemi aziendali, l’arresto forzato della produzione, il lock‑out degli utenti dalle applicazioni critiche. Nelle prime ore Stryker ha parlato di impatto confinato all’ecosistema Microsoft, ma i report descrivono un effetto domino su più regioni, dal quartier generale europeo in Irlanda agli stabilimenti di produzione in Nord America e Asia, con shutdown degli ambienti industriali, perdita dei canali di comunicazione interna e cancellazione remota degli endpoint gestiti via MDM.

Il passaggio chiave è il controllo dell’infrastruttura di gestione centralizzata. Yellow Phobos è noto per un modus operandi identity‑centric: phishing mirato, furto di credenziali, abuso di account validi, focus su Microsoft Entra ID e Microsoft 365, e pivot sugli strumenti di orchestrazione come Intune, automazioni Azure o Group Policy per scalare rapidamente i privilegi dentro il tenant. Nel caso Stryker, fonti vicine all’indagine hanno raccontato come il gruppo non avrebbe necessariamente spinto un eseguibile wiper classico, ma sfruttato la console Intune per emettere comandi di remote wipe e factory reset verso qualsiasi dispositivo associato al profilo aziendale, inclusi i telefoni personali BYOD con un work profile. Il risultato è un “wiper as a feature”: invece di un malware che sovrascrive i settori del disco, una tempesta di azioni amministrative legittime ma concatenate per ottenere lo stesso esito, con un livello di tracciabilità e attribuzione ancora più insidioso perché si confonde con l’attività di gestione quotidiana.

Questo approccio è perfettamente coerente con le TTP mappate nel framework MITRE ATT&CK per Handala / Yellow Phobos negli ultimi anni. Sul fronte dell’accesso iniziale, il gruppo ha storicamente combinato spear phishing (T1566) con l’exploitation di servizi esposti (T1190) e il riuso di account validi (T1078), spesso attraverso campagne di brand impersonation che mimano attori fidati come provider di sicurezza o vendor IT per indurre l’utente a consegnare credenziali o token. Una volta dentro, la persistenza passa attraverso l’abuso sistematico di account amministrativi compromessi, l’uso estensivo di interpreter di scripting e strumenti nativi (T1059) e l’escalation via exploitation di vulnerabilità note (T1068), con il movimento laterale orchestrato tramite servizi remoti (T1021) e alternate authentication material (T1550) per attraversare velocemente boundary logici e geografici. L’impatto, come dimostra il caso Stryker, è centrato su data destruction (T1485), endpoint DoS (T1499) e defacement (T1491), con i portali di autenticazione brandizzati Handala a sigillare visivamente la presa di controllo dell’infrastruttura.

Un altro elemento non trascurabile è il ruolo delle identità hacktiviste multiple che orbitano intorno a Yellow Phobos. Handala Hack è solo una delle maschere: le cronache degli ultimi anni hanno già visto Homeland Justice rivendicare operazioni distruttive contro il governo albanese, compresa la compromissione dei sistemi email del parlamento con conseguente sospensione dei servizi, mentre Anonymous for Justice ha firmato presunti wiping contro target israeliani nei settori legale, utilities e servizi finanziari. La logica è quella di una franchising strategy ideologica: nomi e logo cambiano a seconda del messaggio politico e del teatro operativo, ma le infrastrutture, le toolchain e il know‑how restano nelle mani dello stesso cluster operativo legato all’apparato di sicurezza iraniano. Per chi difende, questo rende meno utile concentrarsi sulla “sigla” e obbliga a riconoscere pattern tecnici ricorrenti, come l’abuso di provider di cloud occidentali, il riciclo creativo di domini typo‑squatting e un elenco crescente di IoC che spaziano da indirizzi IP a domini come handala‑hack.to, justicehomeland.* e una lunga serie di pseudo‑brand di big tech usati per phishing e comando e controllo.

Sul terreno, l’effetto dell’attacco è stato immediato anche fuori da Stryker. In Australia, ad esempio, le autorità sanitarie hanno messo in stato di allerta gli ospedali che dipendono da dispositivi e impianti Stryker, consapevoli che una disruption prolungata nella catena di fornitura può tradursi in ritardi nelle procedure chirurgiche, difficoltà nella manutenzione e nei richiami di sicurezza dei device. Al di là del singolo caso, il messaggio per il settore healthcare è che la resilienza non può essere pensata solo dentro il perimetro ospedaliero: un wiper‑driven incident su un player di medtech upstream può avere un impatto sistemico paragonabile a un attacco diretto a un grande ospedale universitario o a una centrale elettrica regionale.

Guardando oltre il perimetro sanitario, l’elenco di minacce diffuse dall’IRGC contro data center e uffici di big tech nel Golfo e in Israele apre un fronte nuovo, in cui i cloud provider e i grandi vendor di AI, storage e analytics non sono più solo infrastrutture di riferimento ma target dichiarati di operazioni di “infrastructure warfare”. Gli episodi recenti che citano attacchi con droni contro data center AWS negli Emirati Arabi Uniti e in Bahrain – ancora da chiarire nei dettagli tecnici – confermano che il confine tra attacco fisico e attacco logico si va sfumando: la stessa facility può finire in un rapporto di intelligence come potenziale obiettivo cinetico e, contemporaneamente, come nodo da degradare via campagne cyber destruttive o di preposizionamento.

All’interno di un’azienda, ente o organizzazione con footprint cloud esteso e dipendenza strutturale da ambienti Microsoft, la lezione del caso Stryker è tanto banale quanto scomoda: la tua superficie d’attacco più critica non è solo l’ennesimo zero‑day, ma il layer di identity e di gestione centralizzata che hai costruito per semplificarti la vita. La strategia di mitigazione descritta – MFA ovunque, soprattutto sugli account privilegiati, principle of least privilege spinto sulle console amministrative, PAM per isolare e tracciare l’uso delle credenziali ad alto impatto, RBAC rigoroso sui sistemi di endpoint management, EDR e SIEM con regole specifiche per rilevare movimenti laterali e azioni massive di wipe/reset – non è più “best practice”, è la baseline minima per sopravvivere a un avversario che ha dimostrato di saper trasformare Intune nel proprio wiper distribuito. L’altro pezzo del puzzle è la preparedness: backup offline e immutabili delle configurazioni critiche, runbook di incident response che contemplino la perdita simultanea di migliaia di endpoint, canali di comunicazione fuori banda pronti per quando la posta e i sistemi di messaggistica aziendale spariscono in un colpo solo.

In prospettiva, il caso Stryker rischia di essere ricordato come uno spartiacque, non tanto per la tecnologia impiegata – nessun exploit miracoloso, nessun malware da collezione – ma per il salto concettuale nell’abuso delle piattaforme di gestione cloud come arma di distruzione su larga scala. È un modello replicabile, economicamente efficiente per l’attaccante e perfettamente allineato a una dottrina in cui il cyber non serve solo a rubare dati o a fare pressione tramite estorsione, ma a erodere la capacità industriale e la fiducia nelle infrastrutture digitali dei Paesi avversari.

Questa voce è stata modificata (3 mesi fa)

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato SuperTux 0.7.0: il classico gioco arcade 2D si rinnova con grafica e livelli completamente ridisegnati


SuperTux è un videogioco platform bidimensionale di origine americana completamente libero e open source, sviluppato per funzionare su più sistemi operativi. Non va confuso con SuperTuxKart, che appartiene a un genere completamente diverso e...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato Cleaner Advanced 2.0: lo script di pulizia per Arch Linux si rinnova


Nel 2024 avevamo già presentato Cleaner Advanced, un piccolo script Bash pensato per concentrare in un unico comando diverse operazioni di manutenzione tipiche della distribuzione GNU/Linux Arch Linux. Per tutti i dettagli operativi e...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Mai più un problema come XZ! Ecco tutti i progetti in campo per supportare gli sviluppatori open-source


Come ricorderanno i lettori del blog, la backdoor XZ che ha investito ormai due anni fa tutti i sistemi Linux che fornivano quel pacchetto, non è stato un caso a sé stante, non ha riguardato unicamente uno strumento open-source contaminato da malintenzionati, bensì l’intero mondo open-source. Perché, al netto del problema in sé, erano state...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

GIMP 3.2: arrivano livelli vettoriali e editing non distruttivo


GIMP 3.2 è disponibile: arrivano livelli vettoriali, editing non distruttivo, nuovi strumenti e miglior compatibilità con PSD e altri formati grafici. Scopri le novità.
L'articolo GIMP 3.2: arrivano livelli vettoriali e editing non distruttivo proviene da Marco's Box.

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato GIMP 3.2: Tutte le Novità dell’Editor di Immagini Open Source


GIMP (GNU Image Manipulation Program) è uno dei software di elaborazione grafica più noti e apprezzati al mondo. Si tratta di un programma multi-piattaforma, disponibile per GNU/Linux, macOS e Windows, che offre strumenti professionali per la modifica e la creazione di immagini...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Le notizie minori del mondo GNU/Linux e dintorni della settimana nr 11/2026


Ogni settimana, il mondo del software libero e open source ci offre una moltitudine di aggiornamenti e nuove versioni di software. Anche se non tutti sono di grande rilevanza, molti di questi possono risultare...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Il Parlamento europeo dice stop alla scansione indiscriminata delle chat private: un passo avanti per la privacy digitale


Il Parlamento europeo ha compiuto un passo decisivo nel dibattito sulla tutela della privacy online, votando per porre fine alla scansione indiscriminata delle chat private prevista dalle misure contro gli abusi sessuali sui minori....

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciata Debian 13.4 “Trixie”: disponibile la nuova versione con 111 correzioni e 67 aggiornamenti di sicurezza


Il Progetto Debian ha annunciato ieri 14 marzo 2026 la disponibilità generale di Debian 13.4, 4° aggiornamento della serie Debian 13 “Trixie”. Questa distribuzione, completamente libera e open source, rappresenta uno dei pilastri del...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Il Parlamento europeo blocca Chat Control: stop alla scansione di massa delle chat private


Il Parlamento europeo blocca la scansione di massa delle chat private nel dibattito sul Chat Control, difendendo privacy e crittografia end-to-end.
L'articolo Il Parlamento europeo blocca Chat Control: stop alla scansione di massa delle chat private proviene da Marco's Box.

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato KDE Frameworks 6.24: Miglioramenti per Plasma e Applicazioni Basate su Kirigami


KDE Frameworks è una raccolta di oltre settanta librerie software libere (attualmente 72) basate su Qt, il noto toolkit multipiattaforma per lo sviluppo di interfacce grafiche. Queste librerie forniscono API stabili e coerenti (le API sono insiemi di funzioni e componenti pronti...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato Calibre 9.5: introduce uno strumento per rimuovere le immagini non utilizzate e altri miglioramenti


La diffusione degli e‑book, cioè i libri digitali leggibili su dispositivi elettronici come lettori dedicati, computer, smartphone e tablet, ha trasformato profondamente il modo di leggere e organizzare i contenuti. I principali formati oggi in uso, come EPUB (Electronic...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

SUSE potrebbe essere venduta (di nuovo): EQT valuta la cessione del gigante Linux


Il futuro di SUSE, uno dei nomi storici del mondo Linux enterprise, potrebbe presto cambiare ancora una volta. Secondo quanto riportato da Reuters, il fondo di investimento EQT AB starebbe valutando la vendita della società, in un’operazione che potrebbe raggiungere una valutazione di circa 6 miliardi di dollari. Se l’operazione dovesse concretizzarsi, sarebbe l’ennesimo passaggio […]...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciata EndeavourOS Titan: nuova versione con kernel Linux 6.19 e KDE Plasma 6.6


EndeavourOS è una distribuzione GNU/Linux basata su Arch Linux, progettata per offrire un’esperienza accessibile e potente, mantenendo la filosofia di semplicità e leggerezza che caratterizza l’ecosistema Arch Linux. Il progetto nasce nel 2019 come...

🔗 Leggi il post completo

Dario Fadda reshared this.

Dario Fadda ha ricondiviso questo.

Rilasciato OBS Studio 32.1: Nuovo Mixer Audio e altre novità


OBS Studio è un software libero e open source dedicato alla registrazione video e allo streaming in diretta, progettato per offrire un controllo avanzato sulla produzione audiovisiva. Nato nel 2012 come progetto comunitario, si...

🔗 Leggi il post completo

Dario Fadda reshared this.