(in)sicurezza digitale

2026-04-18 17:18:42

Operation PowerOFF: 21 paesi coordinati smantellano 53 piattaforme DDoS-for-hire e identificano 75.000 cyberattaccanti

Ventuno paesi hanno coordinato la più vasta azione globale mai condotta contro le piattaforme DDoS-for-hire: Operation PowerOFF, culminata il 13 aprile 2026 con il sequestro di 53 domini, l’arresto di 4 amministratori, l’emissione di 25 mandati di perquisizione e l’invio di comunicazioni di allerta a oltre 75.000 utenti identificati come clienti di servizi “booter”. Europol ha coordinato l’operazione insieme all’FBI, all’NCFTA e alle forze di polizia di Europa, America e Asia-Pacifico, acquisendo accesso a database con oltre 3 milioni di account criminali.

L’ecosistema dei booter: DDoS come servizio a 10 euro al mese

I servizi booter — chiamati anche stresser nel gergo del mercato underground — sono piattaforme commerciali che vendono potenza di fuoco DDoS a chiunque sia disposto a pagare una quota mensile, tipicamente tra i 10 e i 200 dollari. Il modello di business è quello di un SaaS criminale: interfacce web con dashboard intuitive, piani tariffari differenziati per banda e durata dell’attacco, e assistenza clienti. Le vittime sono target eterogenei — siti di e-commerce, server di gaming, infrastrutture governative locali, concorrenti aziendali — il denominatore comune è la disponibilità del pagante a causare interruzioni di servizio per denaro o vendetta.

Tecnicamente, i booter operano sfruttando due modelli di amplificazione: botnet di dispositivi IoT compromessi (router SOHO, telecamere IP, NAS) e reflection amplification tramite protocolli UDP vulnerabili — DNS, NTP, SSDP, memcached — che consentono di amplificare il traffico di attacco fino a 50.000x rispetto al volume inviato. La decentralizzazione e il frequente ricorso a frontend anonimi dietro CDN rendevano queste piattaforme particolarmente resilienti ai tentativi di takedown tradizionali.

Operazione PowerOFF: storia di un’escalation investigativa

PowerOFF non è nata il 13 aprile: è il risultato di anni di indagini parallele che Europol ha progressivamente coordinato in un’unica architettura operativa. La prima fase significativa risale al dicembre 2024, quando l’operazione aveva già portato al sequestro di 27 piattaforme — tra cui zdstresser.net, orbitalstress.net e starkstresser.net — con 3 arresti e l’identificazione di oltre 300 utenti. La seconda ondata, coordinata nell’aprile 2026, ha esteso la portata dell’operazione a livello globale, coinvolgendo per la prima volta paesi come Brasile, Thailandia e Giappone.

L’elemento innovativo della fase 2026 è stata l’approccio preventivo parallelo all’enforcement: mentre gli investigatori sequestravano server e domìni, un team specializzato lanciava una campagna di awareness mirata, rimuovendo oltre 100 URL pubblicitari dai risultati dei motori di ricerca che promuovevano servizi booter, e inviando messaggi di allerta direttamente sulle blockchain delle transazioni in criptovaluta usate per pagare i servizi — una tecnica nuova che segnala un’evoluzione nell’approccio investigativo alle piattaforme crypto-monetizzate.

75.000 allerte: la strategia della deterrenza scalabile

La novità più significativa di Operation PowerOFF 2026 non è il numero di domini sequestrati, ma la scelta strategica di non arrestare la stragrande maggioranza degli utenti identificati. Le autorità hanno inviato 75.000 comunicazioni personalizzate via email e posta ordinaria agli utenti dei servizi booter — molti dei quali sono giovani che non si percepiscono come criminali — spiegando le implicazioni legali delle loro azioni e le sanzioni previste. Questa strategia di deterrenza scalabile mira a modificare il comportamento prima che si consolidi in attività criminale conclamata.

L’accesso ai database con 3 milioni di account — ottenuto tramite le operazioni di sequestro dell’infrastruttura — ha permesso alle autorità di costruire un profilo dettagliato dell’ecosistema: età media degli utenti, distribuzione geografica, modelli di pagamento, target preferiti. Questi dati alimenteranno future indagini mirate sui soggetti recidivi o con profili di rischio elevato.

Paesi partecipanti e coordinamento internazionale

L’operazione ha visto la partecipazione di: Australia, Austria, Belgio, Brasile, Bulgaria, Danimarca, Estonia, Finlandia, Germania, Giappone, Lettonia, Lituania, Lussemburgo, Paesi Bassi, Polonia, Portogallo, Svezia, Thailandia, Regno Unito e Stati Uniti. Il coordinamento tecnico è stato gestito dall’EC3 di Europol (European Cybercrime Centre), con supporto dell’Eurojust per gli aspetti giuridizionali delle richieste di mutua assistenza internazionale (MLA). Per la prima volta, paesi tradizionalmente assenti da operazioni cyber-enforcement come Brasile e Thailandia hanno contribuito con azioni di sequestro locali — segnale di una maturazione del quadro normativo e investigativo globale.

Piattaforme disrupted: infrastruttura tecnica

# Tipologie di servizi smantellati
- Booter/stresser con interfaccia web (SaaS DDoS-for-hire)
- Layer 4 flood: UDP amplification (DNS, NTP, SSDP, memcached)
- Layer 7 HTTP flood su infrastruttura botnet IoT
- Servizi di anonimizzazione del pagamento (crypto mixer integration)

# Esempi di piattaforme sequestrate in operazioni precedenti
zdstresser.net
orbitalstress.net  
starkstresser.net

# Indicatori da monitorare
- Traffico UDP anomalo su porte 53, 123, 1900, 11211
- Elevato numero di SYN senza ACK su range IP distribuiti
- Picchi di amplification ratio >100x in NetFlow/IPFIX
- Query DNS flood con domain randomization (NXDOMAIN storm)

Implicazioni per i difensori e gli operatori di rete

Il takedown di 53 piattaforme non risolve strutturalmente il problema — nuovi servizi emergeranno, spesso ospitati in giurisdizioni meno cooperative. La risposta efficace per chi gestisce infrastrutture è combinare scrubbing center upstream con BGP blackholing d’emergenza e accordi preventivi con il proprio upstream provider per la gestione di volumetric attack. La vera svolta di PowerOFF è l’approccio sistemico: colpire non solo le piattaforme, ma anche la domanda (gli utenti) e il canale di acquisizione (pubblicità sui motori di ricerca). Se l’ecosistema booter viene reso meno accessibile e percepito come più rischioso, la domanda si riduce — e con essa la viabilità economica dei servizi stessi. Per le organizzazioni esposte ad attacchi DDoS frequenti, il momento è propizio per negoziare con i provider uplink accordi di DDoS Protection Service Level Agreement, mentre il mercato dei booter attraversa una fase di disruption e riorganizzazione.

slowforward

2026-02-21 07:31:00

oggi, 21 febbraio, a palazzo collicola (spoleto): “vita minore”, a cura di gianni e giuseppe garrera

a PALAZZO COLLICOLA
Spoleto, piazza Collicola 1

Vita minore. San Francesco
e la santità dell’arte contemporanea

mostra collettiva a cura di Gianni e Giuseppe Garrera
dal 21 febbraio al 2 giugno 2026

Inaugurazione oggi, sabato 21 febbraio 2026, ore 11:00
Piazza Collicola 1, Spoleto
palazzocollicola.it/schdMostra…

Vita minore. San Francesco e la santità dell’arte contemporanea è il titolo della mostra collettiva realizzata in occasione dell’ottavo centenario della morte di San Francesco d’Assisi.
A cura di Gianni e Giuseppe Garrera, il progetto propone una rilettura in chiave contemporanea della figura del Santo, profondamente legato al territorio umbro e spoletino: Francesco scelse infatti Monteluco, la montagna che s’innalza di fronte a Spoleto, come luogo di preghiera e contemplazione e, secondo la tradizione, pronunciò la celebre frase «Nihil jucundius vidi valle mea spoletana» – «Non vidi mai nulla di più gioioso della mia valle spoletana» – che ancora oggi testimonia il suo rapporto privilegiato con il contesto.

La mostra, allestita al piano terra di Palazzo Collicola, ripercorre l’esempio radicale e impraticabile di San Francesco – dell’avventura e della parabola del Santo – attraverso frammenti luminosi rintracciabili in opere d’arte contemporanea. Immaginando l’impossibilità di fatto di poter avere un contatto diretto con San Francesco, se ne rinvengono solo le schegge, come di un vaso infranto e da ricomporre, incastonate in momenti speciali e autentici della ricerca contemporanea. Il percorso espositivo, concepito come uno scambio di segni tra memoria storica e sensibilità contemporanea, si fonda su prestiti dalle collezioni private dei curatori, frutto di attenta raccolta e selezione nel corso degli ultimi vent’anni, arricchita da prestiti nazionali e internazionali e da opere site-specific realizzate per gli spazi storici del palazzo.

La mostra, a partire dal concetto di “minorità”, intesa come sfida alla società e rifiuto di tutti i suoi principi per “farsi minori” e mettersi al servizio del prossimo, tenta di evocare e reinterpretare i valori fondamentali di San Francesco – povertà assoluta, farsi minori, corporeità e nudità, abdicazione dell’umano di fronte agli animali, amore per le creature – non attraverso immagini della tradizione, ma mediante l’“esempio” di pratiche artistiche contemporanee articolate in sezioni dedicate ai diversi temi: la presenza esclusiva del Vangelo; la condanna radicale di ogni aspetto della ricchezza; il linguaggio come strumento di controllo e potere da demolire; la sottomissione alla natura e al creato fino alla gloria della fraternità con la morte. Il percorso si sofferma, inoltre, con particolare dedizione, sulla santità attiva, fondata dai miracoli, e sul privilegio femminile, con riferimenti a Santa Chiara e alla clausura come scelta di introspezione e resistenza.

Artisti storicizzati come Alberto Burri, Gino De Dominicis, Jimmie Durham, Leoncillo, Yoko Ono, Giulio Paolini, Salvo, Anna Torelli, insieme ad altri di generazioni successive come Luca Bertolo, Antonio Del Donno, Matteo Fato, Flavio Favelli, Cesare Pietroiusti, Tomas Saraceno, Luca Vitone, per citarne solo alcuni, offrono al visitatore interpretazioni inedite e suggestive del pensiero francescano, trasformando Palazzo Collicola in uno spazio in cui la storia dialoga con il contemporaneo.

Ogni sala diventa così luogo di esercizio spirituale, di meditazione, contemplazione e stupore, dove l’eredità estetica di San Francesco si intreccia con la sensibilità artistica contemporanea, offrendo un’esperienza che rinnova la percezione del sacro e del vivere nel mondo contro il mondo stesso.

Vita minore. San Francesco e la santità dell’arte contemporanea include opere, documenti e testi di: Vincenzo Accame, Mirella Bentivoglio, Luca Bertolo, Alain Bornain, Paolo Bufalini, Alberto Burri, John Cage, Cristina Campo, Ugo Carrega, Gea Casolaro, Ugo Celada da Virgilio, Laura Cingolani, Claudio Costa, Gino De Dominicis, Antonio Del Donno, Jimmie Durham, Matteo Fato, Flavio Favelli, Albino Galvano, Alessandro Gamba, Augusto Garau, Fabio Giorgi Alberti, Marco Giovenale, Francesco Gioacchini, Elisabetta Gut, Jannis Kounellis, Giovanni Korompay, Fabio Lapiana, Leoncillo, Jochen Lemberg, Carla Lonzi, Claude Maillard, Miltos Manetas, Cristina Maulini, Olivier Messiaen, Elisa Montessori, Elsa Morante, Magdalo Mussio, Maurizio Nannucci, Gualtiero Nativi, Richard Nonas, Giancarlo Norese, Martino Oberto, Yoko Ono, Anna Maria Ortese, Giulio Paolini, Pier Paolo Pasolini, Luca Maria Patella, Cesare Pietroiusti, Lamberto Pignotti, Juha-Matti Pitkanen, Fabrizio Prevedello, Giustina Prestento, Giuseppe Pulvirenti, Domenico Purificato, Antonietta Raphäel Mafai, Mauro Reggiani, Max Renkel, Salvo, Tomas Saraceno, Alba Savoi, Greta Schödl, Augusto Strindberg, Alfonso Talotta, Michele Tocca, Mario Tozzi, Luca Trevisani, Luca Vitone, Alberto Ziveri.

---

[…]

III. Elogio dell’analfabetismo

La Regula prima di San Francesco vieta di imparare a leggere e scrivere. La povertà assoluta è riconoscere che non è necessario saper leggere e scrivere. Demilitarizzare il linguaggio. La deculturalizzazione. Contro l’ortografia, contro la sintassi, contro la scrittura. Desacralizzare la grammatica. Ogni forma di linguaggio costituito è esercizio di potere. Tutte le informazioni del mondo sono ordini del mondo. Unico libro ammesso da San Francesco è il Vangelo (che però va dato via, se serve per soccorrere i poveri). I libri costano cari e sono contrari alla povertà. Contro i libri e contro la presunzione del sapere.
La sala è concepita come una sala di amanuensi speciali, dediti alla distruzione della scrittura e dell’ortografia del mondo (Vincenzo Accame, Matteo Fato, Elisabetta Gut, Marco Giovenale, Magdalo Mussio, Francesco Gioacchini, Fabio Giorgi Alberti, Alba Savoi, ecc.) accompagnati dal canto liturgico di John Cage (Empty Words).
Amanuensi contemporanei per una pratica quotidiana di distruzione e disintegrazione della dittatura della scrittura come significato e ordine del significato. In un lato della sala anche matite, contro la scrittura, di Gea Casolaro e Maurizio Nannucci. Unico testo ufficiale ammesso e come modello: il quaderno della prima elementare di Luca Maria Patella con il disegno della predica agli uccelli di San Francesco compiuto dall’artista quando aveva 6 anni.

Giuseppe Garrera, descrizione della terza sala della mostra

[…]

§

[youtube=youtube.com/watch?v=w5U4Z3Z5ff…]

John Cage performs a 90 minute excerpt from Empty Words at the 1991 Subtropics Music Festival in Miami, Florida. The Subtropics website: subtropics.org

Subtropics also has a youtube channel:
youtube.com/user/isawsubtropic…

Special thanks to:
The John Cage Trust – Laura Kuhn, Director – johncage.org
Subtropics Music Festival, Gustavo Matamoros, Director
John Kramel & Mary Luft – Tigertail Productions, Miami
South Florida Composers Alliance
Miami-Dade Community College, Wolfson Campus
WLRN-TV

Empty Words – Writings ’73-’78, by John Cage is
published by the CF-Peters Corporation
Video: 1991 © DavidOlive
#AlainBornain #AlbaSavoi #AlbertoBurri #AlbertoZiveri #AlbinoGalvano #AlessandroGamba #AlfonsoTalotta #AnnaMariaOrtese #AnnaTorelli #AntoniettaRaphäelMafai #AntonioDelDonno #art #arte #arteContemporanea #asemic #asemicWriting #audiovideo #AugustoGarau #AugustoStrindberg #breviariAsemici #CarlaLonzi #CesarePietroiusti #CFPetersCorporation #ClaudeMaillard #ClaudioCosta #CollezioneGarrera #contemporaryArt #CristinaCampo #CristinaMaulini #DavidOlive #DavidOliveVideo #DavidOliveYoutubeChannel #distruzioneDellOrtografia #dittaturaDellaScritturaComeSignificato #DomenicoPurificato #ElisaMontessori #ElisabettaGut #ElsaMorante #EmptyWords #excerptFromEmptyWords #fabioGiorgiAlberti #FabioLapiana #FabrizioPrevedello #FlavioFavelli #FrancescoGioacchini #GeaCasolaro #GiancarloNorese #GianniGarrera #GinoDeDominicis #GiovanniKorompay #GiulioPaolini #GiuseppeGarrera #GiuseppePulvirenti #GiustinaPrestento #GretaSchödl #GualtieroNativi #GustavoMatamoros #JannisKounellis #JimmieDurham #JochenLemberg #JohnCage #JohnKramel #JuhaMattiPitkanen #LambertoPignotti #LauraCingolani #LauraKuhn #Leoncillo #LucaBertolo #LucaMariaPatella #LucaTrevisani #LucaVitone #MagdaloMussio #MarcoGiovenale #MarioTozzi #MartinoOberto #MaryLuft #MatteoFato #MaurizioNannucci #MauroReggiani #MaxRenkel #MiamiDadeCommunityCollege #micheleTocca #MiltosManetas #minorità #MirellaBentivoglio #mostra #mostraCollettiva #music #musicA #OlivierMessiaen #PalazzoCollicola #PaoloBufalini #PierPaoloPasolini #preghiereAsemiche #RichardNonas #rifiutoDelPotere #Salvo #SanFrancesco #SanFrancescoELaSantitàDellArteContemporanea #scritturaAsemica #SouthFloridaComposersAlliance #Spoleto #Subtropics #SubtropicsMusicFestival #TigertailProductions #TomasSaraceno #UgoCarrega #UgoCeladaDaVirgilio #video #VincenzoAccame #VitaMinore #WLRNTV #WolfsonCampus #YokoOno #youtube

Vita minore. San Francesco e la santità dell’arte contemporanea

Vita minore. San Francesco e la santità dell’arte contemporanea è il titolo della mostra collettiva realizzata in occasione dell’ottavo centenario della morte di San Francesco d’Assisi.

^{www.palazzocollicola.it}

Spcnet.it

2026-04-18 12:17:19

Visual Studio Code 1.117: agenti più potenti, permessi configurabili e nuove funzioni per gli sviluppatori

Visual Studio Code continua la sua evoluzione rapida e la versione 1.117, rilasciata ad aprile 2026, porta con sé una serie di miglioramenti significativi soprattutto per chi lavora con agenti AI, gestisce sessioni di sviluppo automatizzato o vuole un controllo più fine sui permessi degli strumenti agentico. Ecco una panoramica tecnica di tutto ciò che cambia.

Agenti e strumenti AI: più controllo e precisione

La funzionalità Run VS Code Command Agent Tool è stata aggiornata con il supporto per l’allowlisting di comandi specifici. Questo significa che è ora possibile definire una lista esplicita di comandi che un agente è autorizzato ad eseguire, riducendo la superficie di rischio nelle automazioni. Le approvazioni sono ora più granulari: invece di dare un via libera generico all’agente, l’operatore può specificare esattamente cosa è consentito.

Anche la Agent Sessions View ha ricevuto attenzione: le sessioni possono ora essere ordinate per data di creazione o di aggiornamento. Chi gestisce molte sessioni parallele troverà questa funzione molto utile per navigare tra sessioni attive e recenti.

Un’altra aggiunta pratica riguarda i messaggi in coda nella chat: è ora possibile modificare un messaggio già accodato prima che venga elaborato, tramite una nuova voce “Edit” nel menu contestuale. Questo evita di dover annullare l’intera sequenza per correggere un messaggio inviato per errore.

Miglioramenti al terminale e all’output automatico

VS Code 1.117 introduce un cambiamento interessante nel modo in cui vengono gestiti i comandi terminale in background. Il completamento di un comando eseguito in background viene ora notificato come notifica di sistema, invece di apparire solo come testo inline nell’interfaccia. Questo migliora l’accessibilità e rende più evidenti i completamenti che avvengono mentre si lavora in altre finestre.

Un’altra miglioria riguarda l’integrazione agente-terminale: quando un agente invia input a un terminale, l’output del terminale viene ora incluso automaticamente nel risultato dopo un breve ritardo. In pratica, l’agente non ha più bisogno di un turno aggiuntivo per “leggere” l’output del comando — lo riceve direttamente nel flusso di risposta. Questo riduce il numero di round-trip necessari nei workflow automatizzati.

VS Code ora riconosce anche Copilot CLI, Claude Code e Gemini CLI come tipi di shell nativi, migliorando l’integrazione e il rilevamento automatico per chi utilizza questi strumenti nel terminale integrato.

Gestione dei permessi: tre modalità di auto-approvazione

Uno degli aggiornamenti più rilevanti per i team che usano VS Code in ambienti agentico è il nuovo sistema di gestione dei permessi. Vengono introdotte tre modalità di auto-approvazione nell’Agent Host:

• Default Approvals: il comportamento standard, con richiesta esplicita di approvazione per ogni azione sensibile.
• Bypass Approvals: le approvazioni vengono saltate per azioni considerate sicure nel contesto attuale.
• Autopilot (Preview): modalità completamente automatica in cui l’agente opera senza interruzioni per l’approvazione.

La modalità Autopilot persiste tra le sessioni e può essere configurata come default tramite l’impostazione chat.permissions.default. Questa flessibilità permette agli sviluppatori di scegliere il livello di supervisione appropriato in base al contesto — più controllo in produzione, più automazione in ambienti di sviluppo controllati.

Supporto per sottoagenti e team di agenti

Il protocollo Agent Host ora supporta ufficialmente sottoagenti e team di agenti. Questo apre la strada a workflow multi-agente direttamente in VS Code, dove un agente orchestratore può delegare compiti specifici ad agenti specializzati. La funzionalità si integra con le sessioni worktree e git isolation a livello di sessione, garantendo che ogni sottoagente lavori in un ambiente isolato e riproducibile.

Copilot CLI aggiunge anche la generazione di nomi di branch significativi basati sul prompt dell’utente quando crea worktree per sessioni in background. Questo rende molto più semplice identificare a cosa corrisponde ogni branch nei workflow automatizzati.

Miglioramenti all’editor: JSDoc con immagini e hover su package.json

Sul lato editor, due aggiunte migliorano sensibilmente l’esperienza per gli sviluppatori JavaScript e TypeScript:

Le immagini nei commenti JSDoc, inclusi i tag HTML <img>, vengono ora renderizzate correttamente negli hover, nei dettagli di completamento e nell’aiuto alla firma. Chi documenta componenti con screenshot o diagrammi nei commenti apprezzerà questa miglioria.

Gli hover sulle dipendenze in package.json mostrano ora sia la versione attualmente installata che l’ultima versione pubblicata su npm. Questo rende immediato capire se un pacchetto è aggiornato senza dover uscire dall’editor.

Aggiornamenti per macOS

Su macOS, l’app Agents può ora aggiornarsi autonomamente (self-update), eliminando la necessità di intervento manuale per i rilasci futuri.

Conclusioni

VS Code 1.117 consolida e affina il modello di sviluppo agentico introdotto nelle versioni precedenti. Le novità più importanti riguardano la gestione granulare dei permessi, il supporto per team di agenti e i miglioramenti al flusso terminale, tutti elementi che migliorano la produttività nei workflow automatizzati. Se state usando VS Code come ambiente per sviluppo assistito da AI, questo aggiornamento è decisamente consigliato.

---

Fonte originale: Visual Studio Code 1.117 Release Notes (Visual Studio Code Team)

Visual Studio Code 1.117

Learn what's new in Visual Studio Code 1.117 (Insiders)

^{code.visualstudio.com}

(in)sicurezza digitale

2026-04-18 08:53:59

Operation Masquerade: l’FBI smantella la rete di router compromessi dall’intelligence militare russa APT28 per il furto di credenziali Microsoft 365

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato lo smantellamento di una vasta rete di router domestici e aziendali compromessi dall’Unità 26165 del GRU russo — il gruppo noto come APT28, Forest Blizzard e Fancy Bear. L’operazione, denominata Operation Masquerade, ha neutralizzato un’infrastruttura che al picco contava oltre 18.000 indirizzi IP distribuiti in 120 paesi, utilizzata per intercettare credenziali Microsoft 365 di obiettivi militari, governativi e infrastrutture critiche.

Chi è APT28: l’unità fantasma del GRU

APT28 — conosciuto anche come Forest Blizzard, Fancy Bear, Sofacy Group, Pawn Storm e Sednit — è il braccio cyber dell’85° Centro Principale dei Servizi Speciali del GRU (sigla interna: 85th GTsSS), identificato dai servizi di intelligence occidentali come Unità 26165. Attivo almeno dal 2004, il gruppo ha condotto alcune delle campagne di cyberspionaggio più audaci della storia recente: dall’interferenza nelle elezioni presidenziali statunitensi del 2016 all’attacco al Bundestag tedesco, dal DNC all’Olimpiade invernale di Pyeongchang. La caratteristica distintiva di APT28 è la capacità di operare “below the radar”, sfruttando infrastrutture di terzi per rendere l’attribuzione più complessa.

La campagna: come APT28 ha trasformato router domestici in armi di spionaggio

La campagna documentata nell’advisory FBI (PSA260407) si articola in tre fasi distinte. Il punto di ingresso iniziale ha sfruttato una botnet criminale preesistente chiamata MooBot, già attiva su centinaia di router Ubiquiti EdgeRouter con credenziali di fabbrica predefinite (ubnt/ubnt). Successivamente, nel 2025, la campagna si è espansa verso i router TP-Link attraverso lo sfruttamento della vulnerabilità CVE-2023-50224. Nella fase di picco — dicembre 2025 — oltre 18.000 indirizzi IP unici in 120 paesi comunicavano attivamente con l’infrastruttura APT28.

Fase 1: Compromissione del router

Una volta ottenuto accesso ai dispositivi — tramite credenziali predefinite o vulnerabilità note — gli operatori di APT28 installavano un malware persistente capace di sopravvivere ai riavvii del dispositivo (richiedendo un factory reset completo per la rimozione). Il router compromesso veniva quindi arruolato come nodo proxy nell’infrastruttura C2 del gruppo.

Fase 2: DNS Hijacking e Adversary-in-the-Middle

Il cuore tecnico della campagna è il DNS hijacking a livello di router — una tecnica che opera al di sotto del layer applicativo, dove gli strumenti di endpoint security tipicamente non possono intervenire. APT28 modificava le impostazioni DHCP/DNS dei router compromessi, reindirizzando le query DNS verso resolver controllati dagli attori. Un sistema di filtraggio automatizzato analizzava le richieste DNS in transito: per i target di interesse, il resolver GRU restituiva record DNS fraudolenti — in particolare per domini che emulano Microsoft Outlook Web Access — equipaggiati con certificati SSL validi per non triggerare warning nel browser della vittima.

Fase 3: Furto di credenziali M365 e NTLMv2

Le vittime che tentavano di autenticarsi su Microsoft 365 venivano reindirizzate su pagine di phishing ad alta fedeltà. Script Python personalizzati sui router compromessi validavano le credenziali in tempo reale contro i server Microsoft. Il gruppo raccoglieva password in chiaro, token di autenticazione e NTLMv2 digest — particolarmente preziosi per attacchi di pass-the-hash e relay. Parallelamente, APT28 sfruttava anche CVE-2023-23397 (vulnerabilità di Outlook per la divulgazione di hash NTLM) contro obiettivi selezionati.

Target colpiti: militare, governo, infrastrutture critiche

Secondo le agenzie di intelligence coinvolte nell’advisory congiunto — FBI, NSA, NCSC britannico e omologhi europei — i settori primariamente presi di mira includono organizzazioni governative, militari, contractor della difesa e aziende tecnologiche. I paesi con obiettivi confermati includono Repubblica Ceca, Italia, Lituania, Polonia, Ucraina, Emirati Arabi Uniti e Stati Uniti. La presenza dell’Italia nella lista conferma l’interesse persistente del GRU verso obiettivi NATO nell’Europa meridionale.

Operation Masquerade: la risposta dell’FBI

Il Dipartimento di Giustizia ha ottenuto un’autorizzazione giudiziaria (court order) per condurre un’operazione tecnica sui router compromessi negli Stati Uniti. L’FBI ha sviluppato una serie di comandi inviati direttamente ai dispositivi per: raccogliere evidenze forensi sull’attività GRU, reimpostare le configurazioni DNS ai valori legittimi, e disabilitare i meccanismi di accesso non autorizzato. Si tratta di una delle poche operazioni di law enforcement in cui l’FBI ha utilizzato autorizzazioni legali per accedere attivamente a dispositivi privati compromessi — una strategia già impiegata nella disruption di Volt Typhoon e della botnet Qakbot.

Indicatori di Compromissione (IoC)

# Vulnerabilità sfruttate
CVE-2023-50224  - TP-Link Router - Arbitrary Code Execution
CVE-2023-23397  - Microsoft Outlook - NTLM Hash Disclosure

# Hardware primariamente compromesso
- Ubiquiti EdgeRouter (credenziali default: ubnt/ubnt)
- TP-Link SOHO Routers (vari modelli)

# Indicatori comportamentali
- Modifiche DNS/DHCP non autorizzate sulle interfacce LAN
- Traffico DNS verso resolver non configurati dall'utente
- Certificati SSL unexpected per domini M365/OWA
- Connessioni NTLMv2 verso IP non aziendali
- Presenza di script Python su filesystem router (via SSH/Telnet)

# Tecniche MITRE ATT&CK
T1584.001  - Compromise Infrastructure: Domains
T1557.003  - Adversary-in-the-Middle: DHCP Spoofing  
T1040     - Network Sniffing
T1110.001  - Brute Force: Password Guessing
T1566.002  - Phishing: Spearphishing Link

Cosa devono fare i difensori

La natura della minaccia — che opera a livello di infrastruttura di rete anziché su endpoint — la rende particolarmente insidiosa per le organizzazioni che non monitorano attivamente il traffico DNS. Le contromisure prioritarie includono: aggiornare il firmware di tutti i dispositivi SOHO, cambiare immediatamente le credenziali predefinite, disabilitare la gestione remota esposta a Internet, e implementare il DNS-over-HTTPS (DoH) o DNSSEC per resistere a manomissioni DNS. Per le organizzazioni con accesso remoto, è fondamentale imporre MFA phishing-resistant (FIDO2/passkey) su tutti i servizi M365, poiché token e password rubati tramite AitM diventano inutilizzabili senza il secondo fattore hardware. Il monitoraggio di anomalie NTLM — in particolare tentativi di autenticazione verso IP esterni — dovrebbe essere prioritario nei SIEM aziendali.

Martin Michaelis (he/him)

2026-04-18 08:26:40

Perhaps, regulating #SocialMedia access should be considered for the old rather than for the young? Would be legally more complicated though... #democracy

theguardian.com/lifeandstyle/2…

‘I feel like I’m losing her’: the families torn apart by older relatives going far right

It starts with a ‘back in my day’ nostalgic meme – then suddenly your elders are sharing AI-generated ‘boomerslop’ and repeating conspiracy theories …

^{Simon Usborne (the Guardian)}