The Pirate Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

EY Notifies Clients After Breach of IT Support Platform Exposes Tax Documents
#CyberSecurity
securebulletin.com/ey-notifies…
The Pirate Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

CISA Confirms Active Exploitation of Critical SharePoint Deserialization Flaw
#CyberSecurity
securebulletin.com/cisa-confir…
The Pirate Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Coca-Cola’s Fairlife Brand Halts US Production After Ransomware Hits Manufacturing Systems
#CyberSecurity
securebulletin.com/coca-colas-…
The Pirate Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Unpatched LegacyHive Bug Lets Standard Windows Users Hijack Admin Accounts
#CyberSecurity
securebulletin.com/unpatched-l…
The Pirate Post ha ricondiviso questo.

"Eine Chance hat das Vertrauen in die #Meinungsfreiheit nur dann, wenn es gelingt, klare Kommunikationsregeln zu installieren – Regeln, die nicht provokante Inhalte, aber manipulative Kommunikation, Hass und Hetze eindämmen. Unser zentrales Problem liegt dabei heute in der Eigenlogik der Netzkommunikation und ihrer Manipulationsanfälligkeit. Es wird alles darauf ankommen, dass solche Regeln auch im Netz Wirksamkeit entfalten."


Das Grundgesetz gewährt Meinungsfreiheit, auch für beunruhigende Meinungen. Die Geistesfreiheit ist inhaltlich unbeschränkt und gerichtlich durchsetzbar. Doch Meinungsstreit schützt nicht vor Widerspruch, Protest und Empörung. Wir brauchen klare Regeln gegen Hass und Hetze – gerade im Netz. Gastbeitrag von Johannes Masing:

netzpolitik.org/2026/meinungsf…


The Pirate Post ha ricondiviso questo.

☕ CYBERBRIEFING MATTUTINO — Sabato 18 luglio 2026

👉 Leggi tutti gli aggiornamenti delle ultime 24 ore:
ilpuntocyber.rfeed.it/article.…

#newsletter #cybersecurity
@informatica

The Pirate Post ha ricondiviso questo.

Ein Rückblick auf die Woche von @annskaja über Misstrauen und Zusammenhalt:

netzpolitik.org/2026/kw-29-die…

The Pirate Post ha ricondiviso questo.

Das Grundgesetz gewährt Meinungsfreiheit, auch für beunruhigende Meinungen. Die Geistesfreiheit ist inhaltlich unbeschränkt und gerichtlich durchsetzbar. Doch Meinungsstreit schützt nicht vor Widerspruch, Protest und Empörung. Wir brauchen klare Regeln gegen Hass und Hetze – gerade im Netz. Gastbeitrag von Johannes Masing:

netzpolitik.org/2026/meinungsf…

The Pirate Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

La VPN che hai pagato finanzia davvero i valori in cui credi? Il caso Mullvad e la crisi dell’etica digitale
#tech
spcnet.it/la-vpn-che-hai-pagat…
@informatica


La VPN che hai pagato finanzia davvero i valori in cui credi? Il caso Mullvad e la crisi dell’etica digitale


Per molti anni il mondo della privacy digitale ha goduto di una sorta di immunità morale. Mentre i grandi colossi della tecnologia venivano criticati per il capitalismo della sorveglianza, per la raccolta indiscriminata di dati personali e per modelli di business fondati sulla profilazione degli utenti, una parte dell’ecosistema open source è riuscita a costruirsi un’immagine quasi opposta. Scegliere una VPN indipendente, utilizzare software libero o affidarsi a servizi come Proton e Mullvad è diventato, per molti utenti, molto più di una decisione tecnica: è stata una scelta culturale e, in alcuni casi, persino politica.

Non è difficile comprenderne le ragioni. La comunità che ruota attorno al software libero ha spesso condiviso valori come la trasparenza, il diritto alla riservatezza, la decentralizzazione del potere tecnologico e la difesa delle libertà civili. Sebbene nessuno abbia mai sostenuto ufficialmente che queste realtà appartenessero a una precisa area politica, nell’immaginario collettivo si è consolidata l’idea che rappresentassero un’alternativa etica alle grandi multinazionali del digitale. In altre parole, pagando un abbonamento a questi servizi si aveva la sensazione non soltanto di acquistare un prodotto migliore, ma anche di sostenere un diverso modo di concepire Internet.

È proprio questa percezione che negli ultimi giorni è stata improvvisamente messa in discussione.

Secondo quanto riportato dal quotidiano svedese Flamman, Daniel Berntsson, fondatore e comproprietario di Mullvad VPN, ha effettuato una donazione di cinque milioni di corone svedesi a Örebropartiet, un partito locale che negli ultimi mesi ha attirato l’attenzione della stampa per posizioni considerate vicine al concetto di “remigrazione”, tema frequentemente associato alla nuova destra identitaria europea. Berntsson ha confermato la donazione, precisando che si tratta di una scelta esclusivamente personale e non riconducibile all’azienda.

Dal punto di vista giuridico la questione potrebbe anche chiudersi qui. In una democrazia liberale ogni cittadino ha il diritto di sostenere economicamente il partito che ritiene più vicino alle proprie convinzioni, e sarebbe profondamente sbagliato mettere in discussione questo principio.

La questione, tuttavia, cambia radicalmente se la si osserva da una prospettiva etica.

Mullvad non vende soltanto una VPN. Da anni vende fiducia. Vende l’idea di essere un soggetto indipendente, rispettoso della privacy, lontano dalle logiche speculative delle grandi corporation e profondamente radicato in una cultura della trasparenza che ha contribuito a renderla uno dei nomi più rispettati dell’intero settore. Quando un’azienda costruisce il proprio patrimonio economico su un capitale reputazionale così forte, è inevitabile che anche i comportamenti pubblici dei suoi proprietari assumano un significato diverso rispetto a quelli di un qualsiasi cittadino.

Sostenere che la donazione sia “personale” è corretto dal punto di vista formale, ma rischia di essere insufficiente dal punto di vista sostanziale. I dividendi distribuiti da una società entrano nel patrimonio personale dei soci e, una volta disponibili, possono essere destinati a qualsiasi finalità, comprese iniziative politiche. Chi sceglie di acquistare un servizio proprio perché ritiene di sostenere un certo sistema di valori potrebbe quindi legittimamente chiedersi se quella fiducia non stia indirettamente contribuendo anche ad alimentare progetti politici che non condivide.

Naturalmente nessuno può pretendere di controllare le convinzioni personali di un imprenditore. Sarebbe una deriva tanto pericolosa quanto incompatibile con i principi di una società libera. Esiste però una differenza sostanziale tra il diritto di avere idee politiche e la pretesa che tali idee rimangano irrilevanti rispetto all’immagine pubblica dell’azienda di cui si è fondatori.

Un imprenditore non smette di rappresentare la propria impresa quando esce dall’ufficio. Questo principio vale quotidianamente per amministratori delegati, dirigenti e figure pubbliche di qualsiasi settore. Una dichiarazione controversa, una presa di posizione politica o un comportamento ritenuto incompatibile con i valori dell’azienda producono inevitabilmente conseguenze reputazionali che ricadono sull’intera organizzazione e, spesso, anche sugli altri soci che condividono quel progetto imprenditoriale.

Per questo motivo appare difficile sostenere che la vicenda riguardi esclusivamente la sfera privata di Berntsson. Non perché Mullvad abbia finanziato direttamente un partito politico — affermazione che non troverebbe riscontro nei fatti — ma perché la reputazione dell’azienda è ormai inscindibile da quella delle persone che l’hanno costruita. Quando il prodotto venduto è la fiducia, anche la credibilità personale dei fondatori diventa parte integrante di quel prodotto.

Una riflessione analoga è emersa anche all’interno della comunità di Proton. Negli ultimi giorni numerosi utenti hanno chiesto chiarimenti riguardo ad alcune scelte comunicative dell’azienda e ai rapporti con figure considerate politicamente divisive. Anche in questo caso il dibattito non nasce da dubbi sulla qualità tecnica dei servizi offerti, che continua a essere ampiamente riconosciuta, bensì dalla crescente consapevolezza che chi acquista strumenti per la tutela della privacy non sta semplicemente scegliendo un software, ma spesso decide di sostenere economicamente una determinata organizzazione.

Questo aspetto merita una riflessione più ampia, soprattutto all’interno della comunità open source. Per anni si è diffusa l’idea, spesso implicita, che il software libero fosse quasi naturalmente associato a una cultura progressista, libertaria o comunque orientata alla difesa dei diritti civili. È stata una semplificazione che oggi mostra tutti i suoi limiti. Gli sviluppatori, gli imprenditori e gli investitori che operano in questo settore appartengono alle più diverse sensibilità politiche, esattamente come accade in qualsiasi altro ambito economico. L’apertura del codice non implica automaticamente una determinata visione della società.

Eppure proprio questa consapevolezza rende ancora più importante il tema della trasparenza. Se un’azienda decide di costruire la propria identità commerciale attorno a concetti come etica, fiducia, indipendenza e libertà, deve accettare che il pubblico valuti anche la coerenza tra quei principi e i comportamenti delle persone che la guidano. Non si tratta di pretendere un’impossibile neutralità politica, ma di riconoscere che, nel momento in cui un’impresa vende valori oltre che servizi, i suoi fondatori non possono realisticamente rivendicare una netta separazione tra la dimensione privata e quella pubblica.

Forse la vera lezione di questa vicenda non riguarda soltanto Mullvad. Riguarda tutti noi. Per anni abbiamo creduto che bastasse scegliere un servizio open source o una VPN rispettosa della privacy per sentirci automaticamente partecipi di un ecosistema eticamente migliore rispetto a quello delle Big Tech. Oggi scopriamo che la realtà è molto più complessa. Le aziende possono sviluppare ottimi prodotti, sottoporli ad audit indipendenti e difendere concretamente la privacy degli utenti, senza che questo dica nulla sulle convinzioni personali di chi ne possiede le quote.

La domanda è se, nell’economia digitale contemporanea, sia ancora possibile separare completamente il valore tecnico di un servizio dal destino economico e politico delle persone che, grazie a quel servizio, costruiscono il proprio patrimonio. È una domanda scomoda, destinata probabilmente a dividere la comunità della privacy. Ma proprio per questo merita di essere posta.


The Pirate Post ha ricondiviso questo.

[PROPOSTA] Linee guida per una mobilitazione comune: salviamo la crittografia

Ciao a tutti! Vorrei lanciare sul tavolo una proposta di strategia collettiva per i prossimi mesi. Ci aspetta un autunno decisivo per il destino della nostra privacy e sicurezza digitale in Europa, con due scadenze cruciali che rischiano di passare sotto silenzio: SETTEMBRE 2026 (Fronte Chat Contr...

forum.ransomfeed.it/d/5173

The Pirate Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Critical 7-Zip Flaw Lets Booby-Trapped Archives Hijack Your System
#CyberSecurity
securebulletin.com/critical-7-…
The Pirate Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Scattered Spider Duo Sentenced Over £29 Million Transport for London Cyberattack
#CyberSecurity
securebulletin.com/scattered-s…
The Pirate Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

CISA Sounds Alarm as Attackers Exploit Critical FortiSandbox Command Injection Flaws
#CyberSecurity
securebulletin.com/cisa-sounds…
The Pirate Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

SonicWall SMA1000 Zero-Days Under Active Attack: Perfect-10 Flaw Chained for Root Access
#CyberSecurity
securebulletin.com/sonicwall-s…
The Pirate Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

The media in this post is not displayed to visitors. To view it, please go to the original post.

✨ OkoBot: il framework che si inietta in Ledger Live e Trezor Suite per rubare le seed phrase
#CyberSecurity
insicurezzadigitale.com/okobot…

@informatica


OkoBot: il framework che si inietta in Ledger Live e Trezor Suite per rubare le seed phrase


Immaginate di collegare il vostro Ledger o Trezor per una transazione di routine, digitare il PIN, e vedere comparire sullo schermo del wallet una richiesta di “recovery” della seed phrase — identica, pixel per pixel, a quella che l’app mostrerebbe in caso di reale malfunzionamento. Solo che non è l’app a parlare: è OkoBot, un framework modulare scoperto dal team GReAT di Kaspersky, che si inietta direttamente nel processo Electron di Ledger Live e Trezor Suite per mostrare pagine di phishing hard-coded e rubare la frase di recupero da dentro l’applicazione legittima.

Un framework, non un semplice trojan


Attivo almeno da aprile 2025 e ancora operativo, OkoBot non è un singolo malware ma un’infrastruttura modulare che conta oltre venti payload e impianti diversi, orchestrati tramite un tunnel SSH verso un server controllato dagli attaccanti. Tra le funzioni disponibili: raccolta di file locali, esecuzione di comandi remoti, download di estensioni browser arbitrarie, furto di wallet crypto, keylogging, registrazione video della finestra attiva e, ovviamente, furto di seed phrase. Kaspersky rileva i vari componenti con firme distinte — Trojan-Downloader.Win32.TookPS, Trojan.Win64.BypassUAC, Trojan-Banker.Script.Agent.gen, Backdoor.Win32.TeviRat, Trojan-PSW.Win64.Stealer, Trojan-Spy.Win64.Keylogger — segno che si tratta di un ecosistema criminale maturo e in continua evoluzione, non di un singolo eseguibile.

La catena di infezione: da TookPS al tunnel SSH


Tutto parte da TookPS, un downloader PowerShell che i ricercatori Kaspersky avevano già documentato in campagne precedenti mascherato da software popolare (UltraViewer, AutoCAD, Ableton). TookPS installa un client SSH sulla macchina della vittima, apre una connessione verso un server controllato dagli attaccanti e inoltra la porta del demone SSH locale. Dopo un intervallo di attesa, un bot SSH automatizzato si collega alla porta inoltrata, raccoglie informazioni di base sul sistema — nome utente, antivirus installato, indirizzo IP, versione del sistema operativo — e in base al profilo della vittima decide quali dei venti moduli successivi distribuire. È una catena a quattro stadi pensata per essere modulare e selettiva: non tutte le vittime ricevono lo stesso payload, riducendo il rumore e la superficie di rilevamento generica.

SeedHunter e OkoSpyware: il cuore del furto


Il modulo più insidioso per chi possiede crypto è SeedHunter. Monitora costantemente i processi attivi in cerca di Trezor Suite, Ledger Wallet o Ledger Live; quando li trova, si inietta nel processo e aggancia (“hook”) le funzioni interne Electron dell’applicazione. Alla connessione di un wallet hardware Trezor o Ledger, SeedHunter attiva le funzioni agganciate per mostrare una pagina di phishing hard-coded per il “recupero” della seed phrase — con un layout diverso e specifico per ciascun tipo di wallet, per massimizzare la credibilità. La vittima crede di interagire con la propria app di sempre; in realtà sta digitando le 12 o 24 parole della propria frase di recupero direttamente nelle mani degli attaccanti.

Accanto a SeedHunter opera OkoSpyware, un modulo più recente che cattura keystroke e stream video della finestra dell’applicazione target — utile sia per rubare credenziali digitate manualmente sia per raccogliere materiale di intelligence sulla vittima (abitudini, saldi, altre app finanziarie in uso).

I vettori: ClickFix e repository GitHub trojanizzati


L’infezione iniziale avviene per due strade parallele. La prima è un classico attacco ClickFix: la vittima trova un sito o un annuncio che simula un errore di sistema e la invita a “risolverlo” copiando e incollando un comando in una finestra di esecuzione (di solito PowerShell aperto tramite il prompt “Esegui” di Windows) — un pattern di social engineering che sta esplodendo in popolarità perché elude molti controlli antivirus basati su file, dato che non c’è alcun eseguibile scaricato in un primo momento.

La seconda strada è più insidiosa per un pubblico tecnico: repository GitHub che spacciano software legittimo. In un caso documentato da Kaspersky, un repository pubblicizzato come “SQL Server Management Studio” distribuiva in realtà una copia ricompilata di Audacity, il noto editor audio open source, con un impianto malevolo incorporato in una delle sue librerie. Il repository è rimasto attivo da fine marzo 2025 a giugno, tempo sufficiente per infettare sviluppatori e power user che scaricano software direttamente da GitHub confidando (a torto) nella reputazione della piattaforma come garanzia di autenticità del codice.

I numeri della campagna


Ad oggi OkoBot ha colpito centinaia di vittime in oltre 25 paesi, con la concentrazione più alta in Brasile, Vietnam, Canada, Messico e Turchia — una geografia coerente con altre campagne di crimeware finanziario che privilegiano mercati con adozione crypto retail elevata e risposta delle forze dell’ordine relativamente più lenta rispetto a USA ed Europa occidentale. La campagna, secondo Kaspersky, è tuttora attiva al momento della pubblicazione della ricerca.

Due righe per i difensori


  • Diffidare sistematicamente da qualsiasi istruzione che chieda di copiare e incollare comandi in PowerShell o nel prompt “Esegui” per “risolvere un errore”: è la firma comportamentale di ClickFix, indipendentemente dal sito che la propone.
  • Scaricare software critico (wallet manager, tool di sviluppo) esclusivamente dai domini ufficiali dei vendor, verificando hash e firme digitali dei pacchetti anche quando la fonte sembra GitHub o un repository con molte stelle.
  • Trattare qualunque richiesta di inserimento della seed phrase come un evento anomalo per definizione: né Ledger né Trezor la richiedono mai via software per operazioni di routine. La seed phrase va scritta solo su supporto fisico, mai digitata su un computer connesso.
  • Monitorare, lato endpoint, connessioni SSH in uscita non autorizzate e port-forwarding anomali verso IP esterni, dato che l’intera catena OkoBot dipende da un tunnel SSH stabilito dal downloader iniziale.
  • Applicare application allow-listing sugli endpoint che gestiscono wallet crypto, impedendo l’iniezione di codice in processi Electron non firmati o modificati rispetto al binario ufficiale.


Indicatori di compromissione

# Firme di rilevamento Kaspersky associate alla campagna OkoBot
Trojan-Downloader.Win32.TookPS.*
Trojan.Win64.BypassUAC.*
Trojan-Banker.Script.Agent.gen
Trojan.Win32.Dllhijack.*
Backdoor.Win32.TeviRat.*
Trojan-PSW.Win64.Stealer.*
Trojan-Spy.Win64.Keylogger.*
Trojan-Spy.Win64.Agent.*
Trojan.Win64.Agent.*
# Comportamenti da monitorare (EDR/SOC)
- Esecuzione PowerShell innescata da clipboard / dialogo "Esegui" (pattern ClickFix)
- Installazione non richiesta di client SSH (es. OpenSSH) seguita da
  port-forwarding verso host esterno sconosciuto
- Iniezione di codice in processi Ledger Live / Trezor Suite (Electron)
- Hook di funzioni Electron in processi di wallet manager
- Traffico SSH persistente in uscita su porte non standard verso
  infrastruttura non aziendale
# Vettori di distribuzione noti
- Repository GitHub che spacciano software legittimo (es. build
  trojanizzate di Audacity presentate come "SQL Server Management Studio")
- Siti/annunci ClickFix che simulano errori di sistema o CAPTCHA falliti
Fonte tecnica completa e IoC estesi: Securelist (Kaspersky GReAT)

Il caso OkoBot conferma una tendenza che i team di threat intelligence osservano da tempo: i criminali informatici stanno spostando lo sforzo ingegneristico dal furto di credenziali generiche all’attacco mirato ai flussi applicativi di prodotti di sicurezza specifici — in questo caso i wallet hardware, pensati proprio per essere “air-gapped” e immuni al malware sul computer host. Iniettarsi nell’app companion anziché nel dispositivo fisico è un modo elegante per aggirare quella barriera senza doverla rompere davvero.

The Pirate Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

The media in this post is not displayed to visitors. To view it, please go to the original post.

✨ GoSerpent: la backdoor Go che spia governi e diplomazie del Sud-Est asiatico
#CyberSecurity
insicurezzadigitale.com/goserp…

@informatica


GoSerpent: la backdoor Go che spia governi e diplomazie del Sud-Est asiatico


Un backdoor scritto in Go, un catalogo di tool integrati con precisione chirurgica e un bersaglio che non lascia dubbi sulle intenzioni: enti governativi e diplomatici del Sud-Est asiatico. Il gruppo GReAT di Kaspersky ha appena pubblicato l’analisi di una campagna di cyberspionaggio che si distingue non tanto per la novità delle tecniche, quanto per la disciplina operativa con cui sono state orchestrate: raccolta dati silenziosa per settimane, poi un secondo strumento, mesi dopo, che arriva a prelevare esattamente ciò che il primo aveva già impacchettato e nascosto.

Una campagna che dura da anni, ma si è affinata nel 2026


Il ricercatore Noushin Shabab di Kaspersky racconta di aver individuato, a febbraio 2026, un insieme di attività malevole in corso almeno dalla fine del 2025 contro enti governativi e diplomatici del Sud-Est asiatico. Al centro dell’operazione c’è GoSerpent, un RAT scritto in Go con capacità di proxying, in circolazione — in versioni via via più semplici — almeno dal 2021. È la firma di un attore che non si limita a colpire e sparire, ma torna, aggiorna il proprio arsenale e lo integra in una catena di attacco sempre più coerente.

Il dettaglio più interessante non è il singolo malware, ma l’architettura in due fasi con cui il gruppo ha condotto l’operazione più recente. Nella prima fase, tra la fine del 2025 e i primi mesi del 2026, gli attaccanti hanno usato GoSerpent per distribuire strumenti di raccolta dati e furto di credenziali, lasciandoli lavorare in silenzio per settimane. Solo a maggio 2026 sono tornati con un secondo set di strumenti — Stowaway e la coppia TmcLoader/TmcPayload — dedicato esclusivamente all’esfiltrazione di ciò che era stato accumulato nei mesi precedenti.

Come funziona GoSerpent


GoSerpent riceve argomenti a riga di comando cifrati e codificati in base64, contenenti l’indirizzo del server C2 e una password di comunicazione. La decifratura avviene in AES-CBC con IV fisso, mentre le comunicazioni verso il C2 sono protette con ChaCha20, usando come chiave l’hash SHA256 della password stessa. Il backdoor supporta un set di comandi identificati da codici esadecimali (ad esempio 9BA8 per avviare un proxy SOCKS5, 6BA5 per aprire una shell remota, 7BA6/8BA7 per upload e download di file) e può incatenare più nodi compromessi in una catena di proxy, mascherando l’origine reale del traffico.

Accanto a GoSerpent, gli analisti hanno trovato McMx, una variante più semplice dello stesso strumento — probabilmente compilata da un repository GitHub diverso — che riceve i parametri da file di testo in chiaro invece che da argomenti cifrati. La configurazione viene generata tramite file batch manipolati con comandi echo, una tecnica rudimentale ma efficace per evitare di lasciare tracce dirette nei parametri di esecuzione.

Raccolta dati e furto di credenziali


Il vero motore della raccolta dati è ThumbcacheService, una DLL malevola registrata come servizio Windows. Usa una XOR a singolo byte (0x13) per offuscare le stringhe e crea un database, thumbcache_605a.db, nella cartella C:\Users\Public\, dove archivia documenti con estensione .doc, .docx, .pdf, .xls e .xlsx — compresi quelli cancellati e ancora presenti nel Cestino. I file raccolti vengono compressi con 7-Zip, protetti da una password fissa e limitati a 20MB per archivio, evidentemente per restare sotto la soglia di allerta di eventuali sistemi di monitoraggio del traffico.

In parallelo, GoSerpent distribuisce Mimikatz per il dump della memoria LSASS e QuarksDumpLocalHash per l’estrazione degli hash delle password locali dalla SAM, garantendo agli attaccanti le credenziali necessarie per il passaggio successivo: l’esfiltrazione via share di rete.

La seconda fase: Stowaway e TmcLoader


A maggio 2026 il gruppo è tornato con Stowaway, un tool di proxy e accesso remoto basato su un framework open source personalizzato, capace di tunneling SSH, proxy SOCKS5, reverse tunneling e comunicazioni su TCP, HTTP o WebSocket cifrate con AES-256-GCM o TLS. Stowaway consegna alla macchina compromessa due file: TmcLoader, con un payload incorporato, e un file di configurazione cifrato.

TmcLoader è un loader in C++ registrato come servizio Windows che decifra ed esegue TmcPayload direttamente nello spazio di memoria del processo svchost.exe, per persistenza e occultamento. Usa risoluzione dinamica delle API tramite XOR circolare combinata con Base64 per nascondere i nomi delle funzioni chiamate. TmcPayload, una volta attivo, cerca il file di configurazione in C:\Users\Public\Libraries\, legge le credenziali di rete cifrate al suo interno e trasferisce — via share condivisa — esattamente il database thumbcache_605a.db creato da ThumbcacheService mesi prima. È questa integrazione a orario differito, tra raccolta ed esfiltrazione, il tratto distintivo dell’intera operazione.

Infrastruttura e possibile attribuzione


Gli operatori si appoggiano a provider di hosting legittimi, tra cui Alibaba Cloud e UCLOUD HK, per il proprio C2 — una scelta che complica il rilevamento basato su reputazione IP. Curiosamente, sia GoSerpent sia Stowaway usano nomi di dominio legittimi come “chiavi segrete” operative: www.microsoft.com e www.spacex.com per il primo, github.code per il secondo — un dettaglio che suggerisce una metodologia operativa standardizzata all’interno del gruppo.

Kaspersky non attribuisce con certezza la campagna, ma segnala somiglianze nel targeting, nelle capacità tecniche e nella metodologia operativa con TetrisPhantom, un threat actor già noto per operazioni contro entità governative nella regione. Il collegamento resta da confermare con ulteriori indagini.

Due righe per i difensori


Per i team di sicurezza di enti governativi e diplomatici, GoSerpent è un promemoria di quanto sia difficile distinguere la raccolta silenziosa dall’esfiltrazione quando i due momenti sono separati da settimane o mesi. Alcune raccomandazioni pratiche:

  • Monitorare la creazione di file .db anomali in C:\Users\Public\ e sottocartelle, specialmente se seguiti da compressione 7-Zip con password.
  • Allertare su servizi Windows di nuova registrazione con nomi che imitano processi di sistema (es. varianti di “lsass.exe” o “updates.exe”).
  • Monitorare l’injection di codice nello spazio di memoria di svchost.exe e l’uso non autorizzato di condivisioni di rete per trasferimenti di dati verso host esterni.
  • Bloccare o ispezionare traffico SOCKS5 non autorizzato originato da endpoint interni.
  • Cercare l’uso di Mimikatz e QuarksDumpLocalHash nei log EDR, anche in assenza di alert di esecuzione diretta.


Indicatori di compromissione

File hashes (formato originale Kaspersky)
GoSerpent: EBFFD5A76AAA690BCDB922F82E0BACC, 5DC506FF7BB72735444FB3703A6BEE6D8
McMx: D6E86BF8A90E9B632ADD5FA495F97FBC
ThumbcacheService: CB6C4C70A3B171FA3404B8E1A338211, 664E9D1950E42BC98486DFD9919463D1C
Stowaway: CBBB6D483737EA3566726E51752DFF40, 7F223EE0716CE2AD56F55D3744419449, 19F8BEFCB035F52BF70094E6B4F5779A, 846EF7C1C7323849B2A778C5E4CDA162
TmcLoader: D08A059E8B815E3B891505BC8777FC28, 93A1569D5D5AB2C4761FEDF84F83709E
C2 IP addresses:
152.32.160[.]239
8.220.194[.]108
8.220.214[.]132
8.220.209[.]155
8.220.193[.]189
101.36.104[.]87
144.48.6[.]46
103.138.13[.]30
47.80.22[.]58
152.32.222[.]113
43.106.30[.]226
File/servizi correlati:
C:\Users\Public\thumbcache_605a.db
C:\Users\Public\Libraries\{BBF061R2-BE25-4F6D-8B2D-1A6A39C3FSA2}.db

Fonte primaria: Kaspersky GReAT — Securelist.

The Pirate Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

🎙️ Kristian Bygnes, one of noyb's former legal trainees, takes a look back at his time in Vienna.

💼 Interested in a traineeship? Learn more via noyb.eu/en/traineeship

#privacy #law #dataprotection #europe #opportunity #trainee #eu #throwback

The Pirate Post ha ricondiviso questo.

Ihre Forderung nach #Alterskontrollen für alle stützt Ursula von der Leyen (CDU) auf einen Expert*innen-Bericht. Ich habe mir den dahingehend genau angeschaut und erhebliche Mängel festgestellt.

Auf Anfrage verteidigt der Co-Vorsitzende Jörg Fegert den Bericht als „wissenschaftsbasiert“. Er gibt an, dass die EU-Kommission ihn und seine Co-Vorsitzende „auch inhaltlich unterstützt“ habe.

Lest hier meine Analyse für @netzpolitik_feed

netzpolitik.org/2026/bericht-m…

The Pirate Post ha ricondiviso questo.

Im Namen des Jugendschutzes sollen alle im Netz ihr Alter nachweisen, das will EU-Kommissionspräsidentin Ursula von der Leyen (CDU). Die Forderung stützt sie auf einen Expert*innen-Bericht, der bei #Alterskontrollen erhebliche Mängel aufweist, analysiert @sebmeineck

netzpolitik.org/2026/bericht-m…

in reply to netzpolitik.org

Wenn man schon seit Beginn des Internets schon im Netz aktiv ist und nun plötzlich das Alter nachweisen soll?
Was ist mit alten Plattformen wie z.B. Usenet, First Class Server, etc. die immer noch existieren, dort per Design nicht möglich?
Nicht falsch verstehen, Jugendschutz ist sehr wichtig, das scheint nun in Hornberger Schießen aus zu arten.
Questa voce è stata modificata (1 giorno fa)

Lawsuit fights Ellison-Trump corruption’s harm to news outlets


The media in this post is not displayed to visitors. To view it, please log in.

Dear Friend of Press Freedom:

Paramount’s merger with Warner Bros. Discovery would shortchange shareholders to reward company insiders willing to trade editorial independence for favoritism from the Trump administration. A new lawsuit backed by Freedom of the Press Foundation (FPF) is fighting to stop it. Plus: subpoenas to journalists, censorship of medical journals, and DOGE secrecy.

FPF backs lawsuit to stop Ellison-Trump corruption from tanking news outlets


A new shareholder’s derivative lawsuit against officers and directors of Paramount Skydance Corp. brought by attorneys from FPF and the Public Integrity Project seeks to halt Paramount’s acquisition of Warner Bros. Discovery.

The complaint, brought on behalf of a shareholder against Paramount higher-ups including CEO David Ellison, seeks to prevent Paramount insiders from profiting at shareholders’ expense through breaches of their fiduciary duties to the company by trading editorial independence for favoritism from the Trump administration. Delaware litigator Mary S. Thomas is also on the case.

The complaint points to the well-documented unlawful payments and editorial concessions that surrounded Ellison’s Skydance’s acquisition of Paramount last year, as well as reported promises from Ellison and his centibillionaire father Larry to similarly overhaul CNN.


The Ellisons’ real endgame for Paramount


All that being said, the Ellisons can’t be blowing this many billions just to kiss up to an unpopular lame duck president for a couple years.

FPF Chief of Advocacy Seth Stern wrote for MS NOW that the real agenda may be to enrich Larry’s Oracle — which aspires to run a dystopian global surveillance network — by shaping narratives that scare Americans into giving up their rights. President Donald Trump’s corruption provides them with an opening to buy the influence they need in order to do that.


Trump subpoenas NYT for reporting his bribe plane is unsafe


The Trump administration subpoenaed New York Times journalists over reporting that the new Air Force One, which was gifted to the president by Qatar and retrofit at a cost of hundreds of millions of taxpayer dollars, was deemed unsafe to fly Trump and those who travel with him — including reporters — back from the NATO summit in Turkey.

We said in a statement that “when the government claims it needs to investigate journalists to protect national security, it really means its own reputational security. This is as clear an example as you can get.”

We’re also encouraging senators to vote against Trump’s nominee for director of national intelligence, Jay Clayton — the prosecutor whose office issued the subpoenas and who refused to answer questions about it at his recent confirmation hearing. You can too: Use our action center to write to members of the Senate Intelligence Committee today.


Censorship of medical journals infects journalism too


Secretary of Health and Human Services Robert F. Kennedy Jr. seems better suited to be the subject of medical research than its arbiter. He’s not an editor or peer reviewer, and he’s definitely (and thankfully) not a judge. So why is he issuing veiled threats to scientific publications that journalists often cite in their reporting?

FPF’s Stern wrote about how Kennedy’s unlawful crackdown on medical literature — and similar tactics from others in the administration — severs journalists from their source materials, much like Kennedy once severed a roadkill raccoon from his manhood.


What happened to DOGE’s records?


The Department of Government Efficiency has quietly ended its formal mission, leaving behind the most transformative restructuring of the federal government in a generation — and little public accounting of its actions.

Our Daniel Ellsberg Chair on Government Secrecy Lauren Harper explained that while DOGE was supposed to produce a public audit to improve accountability, it instead leaves Americans with no clear explanation of what it accomplished and how much it saved, if anything.


What we’re reading


Hegseth announces joint taskforce with DOJ to target and prosecute press leaks

The Guardian
This has nothing to do with national security; it’s about shielding officials from embarrassment and accountability.


Private matters

Columbia Journalism Review
Catherine Herridge, an independent journalist, is standing up for the First Amendment even as she’s being fined $800 a day for refusing to reveal her source. Corporate media outlets should take note.


Judge allows news site to publish school lockdown video but sets limits

The New York Times
“Judge McCloskey was right to narrow his order against New Brunswick Today, but it’s outrageous that he’s extended it to purport to apply to any member of the press who wants to publish or write about this video,” said FPF Senior Advocacy Adviser Caitlin Vogus.


Journalist’s devices seized at U.S. border following Iran reporting

Defending Rights & Dissent
This has no place in a country that claims to protect freedom of the press. If this journalist was targeted because of his reporting or viewpoint, it’s an even more outrageous assault on the First Amendment.


Why big tech wants age verification

The Majority Report
FPF’s Vogus explained how age verification laws undermine everyone’s privacy, risk journalists’ confidential sources, and fail to keep kids safe.


New RSF report: National security as a weapon against journalism

Reporters Without Borders
Until Congress reforms the Espionage Act, it will remain a loaded gun pointed at whistleblowers and the press, as this new report highlights.

Flyer for July 22 online event on presidential memo NSPM-7 with Daniel Boguslaw, Chip Gibbons, and Faiza Patel


freedom.press/issues/lawsuit-f…

reshared this

The Pirate Post ha ricondiviso questo.

Berlin und Bund legen vor, Brandenburg zieht nach. Auch hier plant die Regierung, Informationsfreiheitsrechte zu schwächen. Wieder sollen Sicherheitsbedenken die Intransparenz rechtfertigen. #IFG #AIG

netzpolitik.org/2026/schutz-kr…

#ifg #aig

Talk the Plank! Returns Tonight w/ Jacob Anders


July 17

Talk the Plank! returns tonight at 9pmCT with Special Guest Jacob Anders!

Anders, a historian, author, digital ethics researcher, and community advocate from Tullahoma, TN, is a candidate for Tennessee’s 4th Congressional District, running on a “Humanity First” campaign.

His priorities include universal healthcare, a $1,000 monthly Universal Basic Income, strong climate action, protecting workers and families, ending endless wars, codifying abortion rights, and digital/data rights reforms.

Jacob, in addition to being a guest tonight, will join the United States Pirate Party during our July 26th Pirate National Committee meeting where we will decide whether or not to endorse.

Tune in tonight to get a sneak peek at Jacob Anders campaign and get a first look at the USPP’s next potential endorsement.


uspirates.org/talk-the-plank-r…

Elezioni e Politica 2026 reshared this.

The Pirate Post ha ricondiviso questo.

Unwetter kommen mal aus heiterem Himmel, mal kündigen sie sich lange vorher an. In beiden Fällen hilft es, gut gewappnet zu sein. Dank eures Rückenwindes sind wir das.

Vielen, vielen Dank für eure Unterstützung! ❤️

Unser Transparenzbericht für das zweite Quartal 2026:

netzpolitik.org/2026/transpare…

Questa voce è stata modificata (1 giorno fa)
The Pirate Post ha ricondiviso questo.

Die Bundesregierung verrät nicht, ob deutsche Geheimdienste bei Databrokern Daten aus der Werbeindustrie kaufen. Vieles spricht dafür, doch auch die neue Geheimdienst-Reform soll keine klare Rechtsgrundlage schaffen. Kritiker:innen wie die Bundesdatenschutzbeauftragte haben verfassungsrechtliche Bedenken.

netzpolitik.org/2026/aufruestu…

in reply to netzpolitik.org

Dass die Bundesregierung dazu nichts verrät, darf man wohl als klares Ja werten. Andernfalls hätte sie keine Veranlassung, nichts dazu zu sagen.
Dass sie keine Rechtsgrundlage schafft, ist nicht überraschend, denn damit müsste sie diese Praxis entweder einschränken oder immanent offenlegen.
Und das mit der möglichen Verfassungswidrigkeit stört einen am aller wenigsten: Dobrindt.
Ich finde, wir dürfen ihn inzwischen mit Fug und Recht #Stasiminister nennen. (Ältere erinnern sich)
The Pirate Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Reclaim the Tech 2026 si tiene a Genova e riunisce conoscenze e pratiche per la giustizia digitale, sociale, climatica e di genere.

Inizia oggi, 17 luglio. Leggi il programma completo: reclaimthetech.it/

reshared this

The Pirate Post ha ricondiviso questo.

Il bug che gli sviluppatori di @writefreely non hanno ancora corretto, sta creando diversi problemi

Tutte le istanze #Writefreely sono state colpite da una grave e aggressiva campagna di spam che sfrutta una vulnerabilità nota da tre mesi e non ancora corretta.

Ora che il nostro avviso è giunto a tutti gli admin italiani (stiamo cercando di avvisare gli altri e abbiamo informato anche @iftas ), sentiamo di poter pubblicare questo avviso

@fediverso

poliverso.org/display/0477a01e…


⚠️ ATTENZIONE ⚠️ - Il nostro account ripubblica automaticamente i post di alcuni blog Writefreely. Purtroppo c'è stato un attacco di spam ad alcune istanze Writefreely aperte al pubblico in registrazione aperta e noi abbiamo ripubblicato anche lo spam.

EDIT: nel fratempo abbiamo avvisato alcune delle istanze pubbliche italiane basate su #Writefreely che hanno deciso di sospendere temporaneamente il servizio o la semplice visibilità pubblica, in attesa che venga risolta una grave vulnerabilità segnalata ad aprile e ancora non corretta dagli sviluppatori della piattaforma

Ci scusiamo per il disagio arrecato dal nostro account, ma è stato proprio grazie a questo disagio che siamo riusciti ad allertare gli amministratori delle nostre istanze, dal momento che Writefreely non presenta strumenti di amministrazione che consentano agli admin di monitorare puntualmente le attività degli utenti


The Pirate Post ha ricondiviso questo.

☕ CYBERBRIEFING — Venerdì 17 luglio 2026

👉 Leggi tutti gli aggiornamenti delle ultime 24 ore:
ilpuntocyber.rfeed.it/article.…

#newsletter #cybersecurity
@informatica

The Pirate Post ha ricondiviso questo.

Mit einem neuen Kompetenzzentrum will die Bundesagentur für Arbeit effizienter „organisierten Leistungsmissbrauch“ aufdecken. Fachleute zweifeln, ob das Problem existiert, und befürchten: Insbesondere rassistisch diskriminierte Menschen könnten so ins Visier geraten und nicht die Leistungen bekommen, die ihnen zustehen. netzpolitik.org/2026/misstraue…
Questa voce è stata modificata (2 giorni fa)
The Pirate Post ha ricondiviso questo.

Data breach, il Garante privacy sanziona #WindTre per 1,7 milioni di euro

Riscontrate gravi carenze nella sicurezza dei sistemi aziendali, che hanno determinato due accessi abusivi e l’esfiltrazione dei dati personali di oltre 365mila clienti. Per 41.359 di essi, l’esfiltrazione ha riguardato anche le informazioni relative ai metodi di pagamento utilizzati, come il bollettino postale, l’Iban, la carta di credito con il numero parzialmente oscurato e la data di scadenza.

gpdp.it/home/docweb/-/docweb-d…

@privacypride

The Pirate Post ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

1/2 🎉 It's happening - join us for #PrivacyCamp26 on Tuesday, 13 October 🎉

We're inviting proposals for sessions at #PrivacyCamp26 that investigate the theme: ⭐ 'The Origins of Future Technologies: Towards communities of digital self-determination' ⭐

📬 Call for session proposals is now OPEN: privacycamp.eu/privacycamp26-c…

🗓️ Deadline for submitting session proposals is 10 August.

reshared this

in reply to EDRi

The media in this post is not displayed to visitors. To view it, please go to the original post.

2/2 🤩 Even more good news: registrations for #PrivacyCamp26 are also now OPEN! Make sure you secure your spot before logging off for the summer ➡️ crm.edri.org/civicrm/event/reg…

💜 Privacy Camp is organised by in collaboration with our partners: the Research Group on Law, Science, Technology & Society (LSTS) at Vrije Universiteit Brussel, Privacy Salon, Institut d'études européennes - Université Saint-Louis - Bruxelles, and the Racism and Technology Center.

Questa voce è stata modificata (2 giorni fa)

#PrivacyCamp26: Call for sessions


Privacy Camp hosts its 14th edition on 13 October 2026, in Brussels and online. For people living in Europe and across the globe, the impact technology has on our lives becomes ever more acute, ever more heavy and impossible to deny. Digital technologies shape how people work, organise, communicate, access services, cross borders, learn, create and resist. They can support community power and collective care. They can also deepen surveillance, extraction, discrimination, militarisation and environmental harm.

The post #PrivacyCamp26: Call for sessions appeared first on European Digital Rights (EDRi).

Elezioni e Politica 2026 reshared this.