(in)sicurezza digitale

2026-04-26 10:03:13

Operation Level Up: DoJ smantella il compound Shunda Park in Myanmar e sanziona il senatore cambogiano Kok An

Il Dipartimento di Giustizia degli Stati Uniti ha sferrato un attacco coordinato contro uno dei nodi più oscuri del cybercrimine organizzato in Asia sudorientale: lo Scam Center Strike Force ha incriminato due cittadini cinesi per aver gestito il compound Shunda Park in Myanmar, mentre l’OFAC ha sanzionato il senatore cambogiano Kok An e 28 entità collegate. L’operazione ha portato al sequestro di 503 siti web falsi di investimento in criptovalute e al recupero di oltre 562 milioni di dollari.

Lo Scam Center Strike Force e l’operazione Level Up

L’operazione è stata condotta nell’ambito di due iniziative parallele: Operation Level Up, focalizzata sul contrasto delle truffe di crypto-investimento, e lo Scam Center Strike Force, task force interagenziale del DoJ dedicata allo smantellamento dei compound criminali del Sudest asiatico. Complessivamente, le azioni coordinate hanno interrotto circa 9.000 casi di frode con criptovalute e bloccato oltre 700 milioni di dollari in asset digitali legati al riciclaggio di denaro.

I due imputati principali, Huang Xingshan e Jiang Wen Jie, sono stati incriminati per cospirazione in frode telematica. Huang Xingshan avrebbe supervisionato il controllo coercitivo sui lavoratori trafficked nel compound, mentre Jiang Wen Jie dirigeva direttamente le operazioni di scam. Entrambi si trovano attualmente in custodia in Thailandia, dove erano stati arrestati all’inizio del 2026 per violazioni delle leggi sull’immigrazione nel tentativo di rientrare in Myanmar.

Shunda Park: anatomia di un compound criminale

Il compound Shunda Park si trovava nel villaggio di Min Let Pan, nello Stato del Karen (Myanmar), in una zona controllata da milizie locali nella regione di confine con la Thailandia. Ha operato da almeno gennaio 2025 fino a novembre 2025, quando è stato sequestrato dal Karen National Liberation Army (KNLA). Questa dinamica rivela un dato significativo: i compound criminali del Sudest asiatico operano spesso in zone dove l’autorità statale è frammentata o assente, appoggiandosi a milizie e strutture paramilitari.

Secondo la documentazione del DoJ, le vittime dei reclutatori venivano attratte con offerte di lavoro ben retribuito in Thailandia nel settore tecnologico. Una volta giunte nella zona, i documenti d’identità venivano confiscati e i soggetti venivano trafficati in Myanmar e costretti a lavorare sotto minaccia di violenza. Le testimonianze raccolte dall’FBI descrivono condizioni di lavoro forzato in un’operazione industriale di frode.

Il meccanismo del “pig butchering”

Le truffe perpetrate da Shunda Park seguivano il classico schema del pig butchering (in cinese: 杀猪盘, shā zhū pán): i truffatori stabilivano relazioni personali con le vittime attraverso piattaforme di social networking e app di dating, costruendo nel tempo un rapporto di fiducia. Una volta guadagnata la fiducia della vittima, la conversazione veniva progressivamente indirizzata verso presunte opportunità di investimento in criptovalute su piattaforme false create ad hoc. Le vittime venivano incoraggiate a depositare somme crescenti, con la promessa di rendimenti straordinari visualizzati su dashboard manipolate, fino a quando i truffatori sparivano con i fondi.

Questa tecnica è particolarmente efficace perché i criminali dedicano settimane o mesi alla costruzione del rapporto, rendendo le vittime emotivamente investite prima di introdurre il componente finanziario. Le perdite individuali documentate nei casi americani raggiungono spesso centinaia di migliaia di dollari.

La rete di Kok An: senatore, casinò e human trafficking

Parallelamente alle incriminazioni penali, l’OFAC (Office of Foreign Assets Control) ha designato il senatore cambogiano Kok An, assieme al suo impero di affari, 28 individui e entità correlate — tra cui casinò, società di facciata e una banca cambogiana. Le designazioni documentano il ruolo di Kok An nel fornire infrastrutture fisiche e finanziarie ai network di human trafficking e frode cyber-enabled in Cambogia e nella regione.

L’inclusione di un senatore in carica tra i soggetti sanzionati rappresenta una mossa diplomaticamente significativa, segnalando la disponibilità dell’amministrazione americana a colpire direttamente figure politiche regionali che proteggono o facilitano queste operazioni. Esperti del settore avvertono tuttavia che i compound criminali, già dimostratasi resiliente, probabilmente si rilocalizzeranno piuttosto che cessare le operazioni.

Infrastruttura digitale sequestrata

Sul fronte digitale, l’operazione ha portato a risultati tangibili: sequestro di 503 siti web di investimento fake in criptovalute, abbattimento di un canale Telegram con oltre 6.000 follower usato per reclutare lavoratori forzati in Cambogia, blocco di oltre 700 milioni di dollari in criptovalute legate al riciclaggio. Questi numeri evidenziano la scala industriale dell’operazione: non si tratta di piccoli gruppi criminali, ma di organizzazioni con infrastrutture tecnologiche, risorse umane forzate, e strutture finanziarie sofisticate.

Il contesto geopolitico: Asia sudorientale come hub del cybercrimine

I compound criminali di Myanmar, Cambogia, Laos e Filippine sono emersi negli ultimi anni come il principale hub globale delle truffe online. Secondo le stime delle Nazioni Unite, centinaia di migliaia di persone sono vittime di trafficking forzato in questi compound. La particolarità di questa criminalità organizzata è la sua doppia natura: è contemporaneamente una crisi di human trafficking e una minaccia di cybercrimine sofisticato, con vittime sia tra i lavoratori forzati che tra le persone truffate.

Le azioni dell’amministrazione americana vanno lette anche in chiave geopolitica: la presenza di criminali cinesi alla guida di operazioni in Myanmar, unita alla complicità di figure politiche cambogiane, configura una rete di illegalità che attraversa le sfere di influenza della regione. La risposta americana con sanzioni OFAC e incriminazioni penali tenta di esercitare pressione su attori che operano fuori dalla giurisdizione diretta degli Stati Uniti.

Implicazioni per i difensori e indicatori di allerta

Per i professionisti della sicurezza, l’operazione Level Up offre spunti operativi utili. Le piattaforme di investimento in criptovalute false utilizzate nei pig butchering scam mostrano pattern infrastrutturali ricorrenti: domini registrati di recente con nomi che imitano exchange legittimi, certificati TLS validi ma hosting su provider offshore, assenza di registrazioni presso autorità di regolamentazione finanziaria, e dashboard di investimento con rendimenti manipolati in tempo reale.

Pattern infrastrutturali dei siti fake sequestrati:
- Registrazione dominio: <90 giorni prima del sequestro
- Hosting: provider offshore (generalmente Asia/Est Europa)
- TLD comuni usati: .vip, .top, .xyz, .pro
- Pattern nome dominio: [exchange-legittimo]-[suffisso] (es. coinbase-pro-vip[.]com)
- Assenza di registrazione SEC/FCA/CONSOB

Indicatori di una truffa pig butchering:
- Contatto non sollecitato via app di dating o social
- Proposta di investimento in crypto dopo periodo di "amicizia"
- Piattaforma di trading non verificabile su registri ufficiali
- Richiesta di deposit in crypto (irreversibile)
- "Rendimenti" visibili ma impossibilità di prelevare fondi

L’operazione Level Up dimostra che le forze dell’ordine internazionali stanno affinando le capacità di tracking delle criptovalute per seguire il flusso di fondi anche attraverso mixer e chain-hopping. La collaborazione tra FBI, OFAC e forze locali regionali rappresenta il modello operativo necessario per contrastare criminalità che, per definizione, ignora i confini nazionali.

slowforward

2025-09-11 10:43:36

elementi sparsi sull’uccisione deliberata di bambini palestinesi da parte di israele

In una discussione su fb non molto tempo fa, sono state messe in dubbio le numerosissime uccisioni di (e in particolare il cecchinaggio su) bambini palestinesi da parte dell’esercito genocida di israele. Qui di seguito la trascrizione di alcuni commenti in risposta:

Renata Morresi risponde a ***:

la fonte sono le interviste agli stessi (alcuni) soldati israeliani o gli americani impiegati nella GHF, i medici volontari europei, gli organi indipendenti che riescono a mantenere un piede a Gaza, le corrispondenze dei testimoni sul posto, le evidenze fotografiche di teste sfracellate, due anni di flusso sempre più indebolito ma mai davvero interrotto (esistono i telefoni), i testimoni, non solo palestinesi ma anche ebrei, che sanno bene poi cosa accade in Cisgiordania (dove non ci sono ostaggi), come si legge anche sui nostri quotidiani, basta anche solo leggere Il Sole 24 Ore, di certo non finanziato da Hamas. Mi dispiace che si confonda richiesta di giustizia con questo script su di una equidistanza che sul campo è inesistente, a fronte di una disparità di potere incomparabile: Gaza è un posto senza scampo e sotto assedio, neanche le acque internazionali davanti la striscia sono praticabili, i palestinesi non possono neanche entrare in acqua, le riprese satellitari ci dicono di una regione dove metà dell’abitato è distrutto, le infrastrutture civili danneggiate deliberatamente, la popolazione è forzata al continuo sfollamento, in un luogo dove sono state usate armi proibite e dall’impatto distruttivo (sugli umani e sull’ambiente) in una quantità senza precedenti, e per cui i ministri del governo di un criminale di guerra invocano la distruzione definitiva e la pulizia etnica. Gli ebrei della diaspora stanno scrivendo e protestando in tutto il mondo contro questo progetto furioso. Quello che più mi sconcerta è che in nome della paura dell’antisemitismo si propaga del vero antisemitismo, che non sta tanto nell’uso, a volte, certo, provocatorio, di un certo lessico, ma nel continuo screditare i testimoni, e la cultura della testimonianza tutta, su cui le conquiste più importanti (civili, umane) del secondo dopoguerra occidentale si sono poggiate. Non rendersi conto che definire “montatura” o “esagerazione” quel che accade sotto i nostri occhi in Palestina, persino ammantandosi di un presunta posizione razionale superiore, è un atto ideologico che avalla il paradigma negazionista. È stato detto da persone e studiosi molto più influenti e strutturate di me, e migliaia di ebrei della diaspora, ma anche a Tel Aviv, protestano e si fanno arrestare in nome della fine dello sterminio e del ritorno a processi di negoziazione della pace. Per me, francamente, i veri antisemiti sono quegli europei (vedi cancelliere tedesco) che ringraziano i criminali di guerra israeliani per il “lavoro sporco”. Dobbiamo vergognarci, e oramai per sempre.

MG risponde a ***:

se fai un salto su google maps e butti un occhio alla Palestina, ti resteranno pochi dubbi sulla sorte non dei soli bambini.
in ogni caso, da due anni raccolgo materiali. mi dispiace confermare non solo che la macelleria (e il cecchinaggio) intenzionale dei bambini ha fondamento (pensiamo solo al caso di Hind Rajab, più di 300 proiettili di mitragliatrice di tank sparati a una bambina di sei anni), ma che è abbondantemente comprovata degli ordini e dagli incitamenti dei quadri militari, dei politici, dei conduttori televisivi, degli influencer, delle personalità religiose e laiche israeliane (t.ly/uP23L). sostanzialmente stanno esortando attivamente, almeno dall’ottobre 2023, a cancellare l’intera popolazione palestinese, assolutamente inclusi i bambini e le donne.
non vedo come questo possa essere negato, se fa parte oltretutto di dossier e documentazioni di praticamente tutte le associazioni umanitarie, oltre che delle corti di giustizia. (consideriamo solo Amnesty, per brevità: slowforward.net/2025/02/06/gen…).
le prove ammontano ormai a qualche centinaia di migliaia di materiali. (purtroppo).

qualche link, veramente una briciola, qui di seguito, in ordine non cronologico.

British surgeon Nizam Mamode break down briefly while testifying to the UK Parliament about how Israeli “quadcopters” killing drones would systematically arrive at the scene of airstrikes in Gaza to “shoot” the injured, including children while they were laying on the floor. Respect to Sarah Champion
threads.net/@alhelou.y/post/DC…

shooting children in the head is wrong but israel seems not to understand that
slowforward.net/2025/01/25/sho…
(nel post qui sopra si cita il medico ebreo americano Mark Perlmutter: instagram.com/reel/DDu05pRycza…)

Unicef: più di 130 bambini uccisi in un solo giorno
slowforward.net/2025/03/19/uni…

amputazioni
instagram.com/p/DDOkzyHsDeQ/

giugno 2025 e i soli primi cinque giorni di luglio
slowforward.net/2025/07/05/gen…
e slowforward.net/2025/07/03/har…

netanyahu’s willing executioners
slowforward.net/2024/08/06/net…

injured children and the forced displacement of the indonesian hospital’s patients
mega.nz/file/6pExQYJS#0rwSqVTA…

video: little child trying to escape from the fire an israeli airstrike set on the school she and her family chose as a shelter
slowforward.net/2025/05/26/vid…

israeli army snipers shot 9-year-old Alaa Abu Aasi in the back as she played near her tent.
Let’s repeat: a 9-year-old girl was shot in the back.
x.com/Daline_Dee_99/status/182…
e mega.nz/file/f5dEGaIT#wz6HdaMy…

10 years old, shot in the head by an israeli quadcopter drone while she was playing in her tent
slowforward.net/2025/06/09/10-…

another headless child
x.com/RyanRozbiani/status/1811…
and other children
instagram.com/reel/C9ViElCtxAc… +
instagram.com/reel/C9XdtunpYIw…

israeli soldiers set an attack dog loose on a 3 years old child
instagram.com/reel/DCFmbGQRNNU…

child under the rubble (one of the many thousand)
x.com/vikingwarior20/status/18…

Middle East Monitor (video seen on Aug. 25, 2024): Hebron, israeli soldier throwing a stun grenade into a car with two children inside
instagram.com/reel/C_DYqDaI7LF…
= mega.nz/file/Pls0iSjR#FOq4kTdv…

a girl under the age of six, almost killed by an israeli airstrike
slowforward.net/2025/06/30/a-g…

aggiungo qualche altro link, a partire da questo: slowforward.net/2025/08/01/the…

e poi (sempre in ordine non cronologico):
slowforward.net/2025/06/04/isr…

slowforward.net/2025/03/31/ins…

slowforward.net/2024/02/14/lin…

slowforward.net/2025/06/30/aft…

slowforward.net/2025/05/20/vid…

il 7 ottobre è stato attivamente voluto dalla dirigenza fascista israeliana, per poter portare a termine il progetto genocida su cui israele di fatto si fonda.
è giustissimo quando si dice che “you can’t become a genocide overnight”: instagram.com/reel/DM0TpWKu_ax…

19 marzo 2025:
Un bambino di Gaza ha visto sua madre bruciare viva. Poi è morto anche lui.
Mentre la guerra genocida di Israele riprende a Gaza, intere famiglie vengono sterminate dai bombardamenti e le case familiari diventano tombe di famiglia. I sopravvissuti raccontano a Mondoweiss che la maggior parte dei morti sono donne e bambini.
Con profonda tristezza, Muhammad Hamidi racconta a Mondoweiss che nei suoi ultimi istanti di vita, il nipote di tre anni ha guardato la madre e il fratello bruciare. “Il bambino era indifeso”, ha detto.
Quando sua madre è stata bruciata viva mentre cullava il figlio di un anno, portava anche un feto nel grembo. Tutte e tre le vite sono state stroncate.
[…] continua qui:
slowforward.net/2025/03/21/la-…

Fonti: UN, OCHA, MSF, Al Jazeera, Mondoweiss, Haaretz, UNICEF, Amnesty Int., Reuters, Human Rights Watch, Palestinian Red Crescent Society, Croce Rossa Int., Euro-med Human Rights, Save the children, Unrwa, Defence for children

*

diciamo che la Direttiva Hannibal ci ha messo lo zampino, nel 7 ottobre? o per niente? diciamo che anche Gabor Matè nega recisamente che ci siano stati stupri il 7 ottobre? diciamo che da tempo netaneccetera era stato ben informato dai servizi segreti egiziani di quel che bolliva in pentola? lo diciamo che i finanziamenti ad Hamas sono stati una delle voci di spesa del bilancio sionista, non solo al fine di dividere le rappresentanze politiche palestinesi ma soprattutto per tagliare fuori qualsiasi ipotesi di esistenza di uno Stato palestinese?

hamas nasce dopo 40 anni di pulizia etnica effettiva. Questa storia che Hamas è il Male e Israele il bene grida vendetta da prima del 1948.
Senza contare le differenze tra lo statuto di Hamas prima e dopo il 2017.
Ma poi faccio un’altra osservazione: se uno Stato commette un genocidio, fa fuori oltre 60mila civili innocenti (altre stime, non di hamas, parlano di oltre 350mila morti su 2,2 milioni; e si escludono i dispersi, i feriti e i mutilati a vita), e se questo Stato distrugge più di 900 famiglie completamente, 36 ospedali, sedi Onu, oltre 220 giornalisti, e rade al suolo chiese, moschee, rifugi, … non continuo l’elenco, sarebbe di decine di altre ‘voci’; se uno stato, dicevo, fa questo, oltre a rubare terre a valanga in Cisgiordania, e milioni di metricubi di gas naturale al largo delle coste di Gaza, … insomma, se uno stato, quale che sia (islamista, sionista, cristiano, scientologico, induista, marziano), fa robe del genere, ***, glielo vogliamo mettere in dubbio il diritto di avere qualsiasi voce in capitolo a livello internazionale? vogliamo metterlo un punto interrogativo sulla sua esistenza, >>> nella forma che dimostra di attuare <<<, ossia SE PER ESISTERE *DEVE* DI FATTO ESSERE GENOCIDA?

*

children have become the main target of Israeli snipers
youtube.com/watch?v=uo4vRCNtbG…

a proposito della chiesa della Sacra Famiglia a Gaza, questa non è la notizia più recente (che ha, alla buon’ora, indignato i panzer al governo in italia), è di un anno fa:
Israeli sniper ‘shot in cold blood’ mother and daughter in Gaza church
youtube.com/watch?v=Otw-1JQsP2…

15 feb. 2024:
youtube.com/watch?v=OJr_bHcvIb…

theconversation.com/israels-wa…

theguardian.com/world/2024/apr…

corriere.it/esteri/25_maggio_1…

corriere.it/esteri/25_luglio_1…

questo articolo: truthout.org/articles/israeli-… rimanda a queste (atroci) immagini: x.com/MahaGaza/status/18814184…

“Ci vogliono oltre otto ore di lettura, senza pause, per scorrere con gli occhi l’interminabile lista di nomi dei 18.500 bambini palestinesi uccisi da Israele. Un’iniziativa editoriale senza precedenti li ha raccolti tutti, almeno quelli che conosciamo, in un articolo del Washington Post. Quasi un terzo delle oltre 60mila vittime delle bombe e dei proiettili di Tel Aviv erano minori. I nomi sono in ordine di età. Circa mille non avevano ancora compiuto un anno”.
ilfattoquotidiano.it/2025/07/3…

(18.500 è ovviamente una stima che purtroppo andrà a crescere enormemente, quando si accumuleranno ulteriori dati)

(per esempio: )
unicef.it/media/striscia-di-ga…
juancole.com/2024/07/shredding…

insisto sulla testimonianza di Mark Perlmutter (“No toddler gets shot twice by mistake”)
scnr.com/article/u-s-doctors-r…

*

la differenza che su questo pianeta si sta delineando, anzi che si è di fatto delineata marcatamente, soprattutto ma non esclusivamente negli ultimi due anni, è tra chi ha seguito le fasi del genocidio attraverso testimonianze, lettere, video, foto, dirette social, conversazioni, documentari, articoli, podcast, report sanitari, materiali giuridici e risultanze di indagini, e chi no.
questa differenza credo dica qualcosa sul tipo di bivio davanti a cui è messa la specie umana da quando il martirio della Palestina è iniziato (ovvero da ben prima del 2023).

in questo senso bisogna meditare attentamente su quello che Caitlin Johnstone scriveva poco tempo fa: slowforward.net/2025/07/25/e-u…

#bambini #children #colonialism #Gaza #genocide #genocidio #IDF #invasion #IOF #israelcriminalstate #israelestatocriminale #israelterroriststate #izrahell #Palestina #Palestine #sionismo #sionisti #starvingcivilians #starvingpeople #warcrimes #zionism

U.S. Doctors Report IDF Snipers Intentionally Targeting Children In Gaza

‘No toddler gets shot twice by mistake by the “world's best sniper.” And they're dead-center shots.’

^{Adrian Norman (SCNR)}

Spcnet.it

2026-04-25 19:12:54

.NET 10 su Ubuntu 26.04 “Resolute Raccoon”: installazione, container e Native AOT

Ubuntu 26.04 LTS, nome in codice Resolute Raccoon, è disponibile e porta con sé una delle novità più attese per gli sviluppatori .NET su Linux: .NET 10 è il runtime ufficiale incluso nel repository standard. In questo articolo esploriamo come installare .NET 10, come aggiornare le immagini container esistenti e come sfruttare Native AOT per ottenere binari ultra-compatti con avvio in pochi millisecondi.

Perché .NET e Ubuntu insieme

La collaborazione tra Microsoft e Canonical non è nuova: ogni nuovo Ubuntu LTS porta con sé l’ultimo .NET LTS come toolchain ufficialmente supportata. Ubuntu 26.04 non fa eccezione: .NET 10 è direttamente installabile via APT senza configurare PPA aggiuntive. Per chi lavora in ambienti enterprise o vuole un’infrastruttura stabile e aggiornabile tramite il gestore pacchetti di sistema, questo è un vantaggio non trascurabile.

È comunque possibile installare anche .NET 8 e .NET 9 tramite PPA dedicata, per chi ha applicazioni su versioni precedenti.

Installazione rapida

L’installazione di .NET 10 su Ubuntu 26.04 è immediata:

sudo apt update
sudo apt install dotnet-sdk-10.0

Nessun repository aggiuntivo, nessuna chiave GPG da configurare manualmente. Il package manager si occupa di tutto. Per verificare la versione installata:

dotnet --version
# 10.0.105

Eseguire C# direttamente da stdin

Una delle funzionalità meno note ma molto utile per script e automazione è la possibilità di passare codice C# direttamente a dotnet run via stdin, usando i file-based apps:

dotnet run - << 'EOF'
using System.Runtime.InteropServices;
Console.WriteLine($"Hello {RuntimeInformation.OSDescription} from .NET {RuntimeInformation.FrameworkDescription}");
EOF
# Hello Ubuntu Resolute Raccoon from .NET .NET 10.0.5

Questo pattern è particolarmente utile negli script di sistema e nei workflow CI/CD dove si vuole eseguire logica .NET senza creare un progetto completo.

Novità rilevanti di Ubuntu 26.04 per .NET

Ubuntu 26.04 introduce tre cambiamenti che impattano direttamente gli stack .NET in produzione:

• Linux 7.0: il team .NET avvierà test su questo kernel non appena disponibili VM nel laboratorio. Le prime build sono già in CI.
• Post-Quantum Cryptography: Ubuntu 26.04 spinge su questo fronte e .NET 10 include già il supporto agli algoritmi post-quantum, quindi la compatibilità è garantita.
• Rimozione di cgroup v1: nessun problema per .NET, che supporta cgroup v2 da diversi anni. Tuttavia, chi usa container con immagini molto datate o configurazioni cgroup v1 dovrà verificare la compatibilità.

Container: aggiornare da noble a resolute

Le immagini ufficiali per .NET 10 sono già disponibili con il tag resolute. Aggiornare un Dockerfile esistente è questione di un semplice sed:

sed -i "s/noble/resolute/g" Dockerfile.chiseled

Esempio di build e avvio con limiti di risorse:

docker build --pull -t aspnetapp -f Dockerfile.chiseled .
docker run --rm -it -p 8000:8080 -m 50mb --cpus .5 aspnetapp

Le varianti Chiseled (immagini minimali senza shell e strumenti non necessari) sono disponibili anche per resolute, con le stesse caratteristiche di sicurezza della versione noble.

Nota importante: i container ereditano il kernel dell’host. Un container resolute su un host Ubuntu 24.04 userà il kernel 6.x dell’host, non Linux 7.0. Tenere presente questa distinzione in fase di planning.

Native AOT: binari compatti e avvio in 3ms

Native AOT (NAOT) è una delle funzionalità più potenti di .NET 10 per scenari server e CLI. Su Ubuntu 26.04, il pacchetto dedicato è dotnet-sdk-aot-10.0:

apt install -y dotnet-sdk-aot-10.0 clang

Pubblicando una semplice applicazione console come NAOT si ottiene un binario da circa 1.4 MB, pronto all’esecuzione senza runtime installato:

dotnet publish app.cs
du -h artifacts/app/*
# 1.4M  artifacts/app/app
# 3.0M  artifacts/app/app.dbg

Le performance di avvio sono notevoli:

time ./artifacts/app/app
# real 0m0.003s

3 millisecondi. Per confronto, un’applicazione .NET classica JIT può richiedere 100-500ms di warm-up in scenari tipici. Native AOT è la scelta ideale per CLI tools, Lambda functions, microservizi ad avvio freddo e sidecar container.

Per applicazioni web, lo stesso approccio funziona con <PublishAot>true</PublishAot> nel .csproj:

dotnet publish
# Produce: releasesapi (13MB) + releasesapi.dbg (32MB)

Considerazioni pratiche per il team di sviluppo

Per chi gestisce pipeline CI/CD con Ubuntu, questo rilascio semplifica notevolmente la gestione delle dipendenze: non è più necessario configurare feed Microsoft o repository aggiuntivi per .NET 10. L’intero stack è aggiornabile tramite apt upgrade come qualsiasi altro pacchetto di sistema.

Per i team che usano container come base di sviluppo standardizzata, aggiornare il tag da -noble a -resolute nei Dockerfile è sufficiente per passare alla nuova LTS. È comunque raccomandato verificare la compatibilità con la propria configurazione cgroup se si usano orchestratori come Kubernetes con configurazioni custom.

Conclusione

Ubuntu 26.04 LTS consolida ulteriormente la posizione di Linux come piattaforma di prima classe per .NET. L’integrazione diretta nel repository APT, il supporto alle immagini Chiseled, la compatibilità post-quantum e le performance eccezionali di Native AOT fanno di questo rilascio un upgrade significativo per chiunque sviluppi o distribuisca applicazioni .NET su Linux.

Fonte: What’s new for .NET in Ubuntu 26.04 – Richard Lander, Microsoft .NET Blog

What's new for .NET in Ubuntu 26.04 - .NET Blog

Ubuntu 26.04 (Resolute Raccoon) ships today with .NET 10. Here's how to install .NET 10 from the archive, use the new -resolute container tags, build Native AOT apps, and install .NET 8 and 9 from the dotnet-backports PPA.

^{Richard Lander (.NET Blog)}

Spcnet.it

2026-04-25 12:31:12

File RDP non fidati dopo la patch Windows di Aprile 2026: come firmarli con PowerShell

Chi gestisce ambienti Windows aziendali potrebbe aver notato, nelle ultime settimane, che i propri utenti si trovano davanti a finestre di avviso insolite quando aprono i file .rdp. Non si tratta di un malfunzionamento: è una modifica intenzionale introdotta da Microsoft con le patch cumulative di aprile 2026, in risposta a una vulnerabilità di sicurezza sfruttata attivamente.

In questo articolo analizziamo cosa è cambiato, perché è cambiato e soprattutto come adeguare i propri ambienti per continuare a usare i file RDP in modo fluido e sicuro.

La vulnerabilità alla base del cambiamento: CVE-2026-26151

Le patch cumulative KB5083769 (Windows 11) e KB5082200 (Windows 10) introducono nuove protezioni per i file di connessione Remote Desktop (.rdp). La motivazione è la CVE-2026-26151, una vulnerabilità di spoofing RDP sfruttata attivamente in ambienti reali.

Il gruppo russo APT29 (noto anche come Cozy Bear), legato all’SVR (servizio di intelligence estero russo), ha distribuito file .rdp malevoli tramite campagne di phishing mirate. Questi file, apparentemente innocui, erano in grado di:

• Redirigere unità locali e periferiche verso sistemi remoti controllati dagli attaccanti
• Modificare silenziosamente le impostazioni di connessione
• Ingannare gli utenti inducendoli a connettersi a sistemi non previsti
• Esfiltrare credenziali e dati locali

I file RDP sono da sempre un vettore di attacco sottovalutato: non sono eseguibili nel senso tradizionale del termine, quindi gli utenti tendono a fidarsi di essi, ma possono comunque influenzare in modo significativo il comportamento di una sessione remota.

Cosa cambia concretamente

Con le nuove patch, Windows tratta i file .rdp non firmati digitalmente come non attendibili per impostazione predefinita. Le conseguenze pratiche sono:

• La prima volta che si apre un file .rdp dopo l’aggiornamento, compare un “educational dialog” che spiega i rischi dei file RDP e del phishing
• Aprendo un file non firmato, appare un avviso con banner “Caution: Unknown remote connection” e il campo Publisher impostato a “Unknown publisher”
• Alcune funzionalità (come la redirezione degli appunti o delle unità locali) possono essere bloccate o richiedono conferma esplicita ad ogni uso

Nota importante: queste restrizioni si applicano solo ai file .rdp. Chi si connette digitando manualmente l’hostname nel client mstsc.exe o tramite riga di comando con mstsc /v:hostname non vedrà alcun avviso aggiuntivo.

Come risolvere: la firma digitale dei file RDP

La soluzione raccomandata da Microsoft è firmare digitalmente i file .rdp con un certificato di code signing attendibile. Una volta firmato, Windows può verificare l’autenticità e l’integrità del file, eliminando gli avvisi e ripristinando le funzionalità complete.

Lo strumento nativo per la firma è rdpsign.exe, incluso in Windows. Il comando base è:

rdpsign.exe /sha256 <thumbprint_certificato> <percorso_file.rdp>

Esempio pratico:

rdpsign.exe /sha256 A1B2C3D4E5F6... "C:\RDP\ServerAziendale.rdp"

Qualsiasi modifica al file dopo la firma invalida la firma stessa, garantendo l’integrità del documento.

Quale certificato usare?

Esistono tre opzioni principali, ciascuna adatta a scenari diversi:

• Certificato self-signed: gratuito, utile per ambienti di test o reti interne piccole. Deve essere distribuito manualmente su ogni macchina client come certificato attendibile.
• Certificato da Enterprise CA (Active Directory): la scelta ideale per ambienti di dominio. I certificati emessi dalla CA aziendale sono automaticamente attendibili su tutte le macchine domain-joined. Nessun costo aggiuntivo se si dispone già di una PKI interna.
• Certificato commerciale (DigiCert, ecc.): la scelta per ambienti con utenti esterni o macchine non domain-joined. Attendibile di default su tutti i sistemi Windows, ma comporta un costo annuale.

In alternativa, Microsoft Azure offre il servizio Trusted Signing, integrato con Entra ID e RBAC, come soluzione economica e moderna rispetto ai certificati commerciali tradizionali.

Automatizzare la firma con PowerShell: RDPFileSigner.ps1

Michael Morten Sonne ha rilasciato uno script PowerShell open-source chiamato RDPFileSigner.ps1 che automatizza l’intero flusso, dalla creazione del certificato alla firma, verifica e integrazione con Windows Explorer. Lo script è disponibile su GitHub.

Le principali modalità operative:

# Setup iniziale: crea/riusa il certificato, lo installa nei trust store
# e registra il menu contestuale per i file .rdp
.\RDPFileSigner.ps1

# Firmare un singolo file
.\RDPFileSigner.ps1 -Sign -RdpFile "C:\RDP\Server.rdp"

# Firmare tutti i file .rdp in una cartella (incluse sottocartelle)
.\RDPFileSigner.ps1 -Sign -RdpFolder "C:\RDP" -Recurse

# Usare un certificato Enterprise CA
.\RDPFileSigner.ps1 -Setup -CertTemplate "CodeSigning"

# Importare un certificato commerciale da .pfx
.\RDPFileSigner.ps1 -Setup -ImportPfxPath "C:\Certs\commercial.pfx"

# Verificare la firma su tutti i file in una cartella con report CSV
.\RDPFileSigner.ps1 -Verify -RdpFolder "C:\RDP" -ExportCsvPath "C:\Report\rdp-status.csv"


Lo script supporta anche la registrazione di un Scheduled Task che controlla automaticamente una cartella ogni 5 minuti e firma tutti i file .rdp presenti: utile quando i file vengono generati dinamicamente da soluzioni PAM o portali helpdesk:

.\RDPFileSigner.ps1 -TaskRegister -WatchFolder "C:\RDP" -CertThumbprint "A1B2C3..."


La modalità -Verify effettua una verifica crittografica completa: ricostruisce il blob firmato originale, decodifica la firma PKCS#7 incorporata nel file e invoca CheckSignature() per rilevare qualsiasi modifica post-firma. Il codice di uscita 2 in caso di firme non valide lo rende utilizzabile in pipeline CI/CD o script di monitoraggio.

Disabilitare temporaneamente le protezioni (sconsigliato)

Microsoft ha documentato un workaround tramite registro di sistema per disabilitare temporaneamente le nuove protezioni, ma lo sconsiglia esplicitamente e potrebbe rimuovere questo supporto in aggiornamenti futuri:

HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client
Nome: RedirectionWarningDialogVersion
Tipo: REG_DWORD
Valore: 1


Questa opzione non dovrebbe mai essere usata in produzione: bypassa una protezione pensata per contrastare attacchi reali e già sfruttati attivamente.

Raccomandazioni operative

Al di là della firma digitale, è buona pratica cogliere l’occasione per rivedere più in generale la gestione dei file RDP nell’organizzazione:

• Evitare la distribuzione via email: preferire portali interni attendibili o soluzioni di Remote Desktop Gateway
• Ridurre le redirections al minimo necessario: ogni redirezione abilitata è una potenziale superficie di attacco
• Formare gli utenti: spiegare il significato degli avvisi e quando è sicuro procedere evita la “warning fatigue”
• Automatizzare il rinnovo dei certificati: integrare la firma nel processo di generazione dei file RDP per non dover intervenire manualmente a ogni scadenza

Conclusioni

La modifica introdotta con le patch di aprile 2026 non è un bug né una scelta arbitraria: è la risposta di Microsoft a una vulnerabilità concretamente sfruttata da attori di threat intelligence statali. Per i team IT, il percorso più corretto è implementare la firma digitale dei file RDP, scegliendo il tipo di certificato più adatto al proprio ambiente.

Chi gestisce ambienti di dominio troverà probabilmente nella Enterprise CA la soluzione più rapida e senza costi aggiuntivi. Chi ha utenti esterni o macchine non domain-joined dovrebbe valutare Azure Trusted Signing come alternativa economica ai certificati commerciali tradizionali.

Fonte: Your RDP files are now untrusted after the April 2026 Windows Patch – Sign them with PowerShell (Sonne’s Cloud Blog)

Artifact Signing documentation

Artifact Signing is a Microsoft fully managed end-to-end signing solution for partner developers. The service is currently in public preview.

^{learn.microsoft.com}

(in)sicurezza digitale

2026-04-25 12:33:32

StealTok: 130.000 utenti spiati da 12 estensioni browser mascherate da downloader TikTok

Dodici estensioni browser, distribuite su Chrome e Microsoft Edge, si sono rivelate un’infrastruttura di spionaggio sofisticata che ha silenziosamente compromesso oltre 130.000 utenti. La campagna, denominata StealTok dai ricercatori di LayerX Security, ha sfruttato la popolarità dei downloader di video TikTok per introdurre spyware in grado di raccogliere dati ad alta entropia dai dispositivi delle vittime.

Una campagna costruita sulla fiducia

Il meccanismo più insidioso di StealTok non risiede nelle sue capacità tecniche, ma nella sua strategia di infiltrazione. Le estensioni malevole si comportavano esattamente come promesso per i primi 6-12 mesi dalla pubblicazione sugli store ufficiali: scaricavano video TikTok senza watermark in modo impeccabile, alcune guadagnando persino il badge “Featured” nei marketplace di Chrome e Edge. Solo dopo aver accumulato una base utenti significativa e instaurato un rapporto di fiducia, le estensioni attivavano il payload malevolo.

Questa tattica di “dormienza prolungata” rappresenta un’evoluzione significativa rispetto alle tradizionali estensioni malware che manifestano comportamenti sospetti fin dall’installazione. Il periodo di latenza ha permesso agli operatori di StealTok di eludere i controlli automatizzati dei marketplace e le revisioni manuali, che generalmente si concentrano sul comportamento immediatamente successivo all’installazione.

Meccanismo di attivazione e infrastruttura C2

Una volta superato il periodo di dormienza, le estensioni stabiliscono connessioni con server di comando e controllo (C2) per scaricare configurazioni dinamiche remote. Questo approccio consente agli attori malevoli di modificare il comportamento delle estensioni in tempo reale, aggiornare le istruzioni di raccolta dati senza richiedere aggiornamenti dello store, e rendere l’analisi forense più complessa poiché il codice malevolo non risiede staticamente nell’estensione stessa.

L’infrastruttura di supporto mostrava segnali chiari di operazione organizzata: molti domini presentavano pattern di typosquatting, come “trafficreqort” invece di “trafficreport” o “tiktak” al posto di “tiktok”, indicando una pianificazione deliberata per evitare blacklist automatiche basate su reputazione del dominio.

Raccolta dati e device fingerprinting

Una volta attivato il modulo spyware, le estensioni avviavano una raccolta sistematica di telemetria del dispositivo. Il profilo costruito su ogni vittima includeva: pattern di navigazione web e contenuti scaricati, impostazioni di sistema come timezone e lingua del browser, dati del dispositivo come lo stato della batteria, informazioni sull’ambiente di esecuzione per rilevare sandbox o ambienti di analisi.

L’utilizzo di dati ad alta entropia — come la combinazione di timezone, lingua, risoluzione dello schermo e stato della batteria — è una tecnica di fingerprinting avanzata in grado di identificare univocamente un dispositivo anche in assenza di cookie o identificatori espliciti. Questa tecnica è tipicamente associata a operatori sofisticati interessati a costruire profili duraturi degli utenti piuttosto che a semplici furti di credenziali.

Le estensioni compromesse

LayerX Security ha identificato almeno 12 estensioni coinvolte nella campagna, con circa 12.500 installazioni ancora attive al momento della scoperta. Le più diffuse erano le seguenti:

• TikTok Video Keeper — ~60.000 installazioni (Chrome)
• Mass TikTok Video Downloader — ~30.000 installazioni
• Video Downloader for TikTok — ~20.000 installazioni
• TikTok Downloader – Save Videos, No Watermark — ~10.000 installazioni

Google ha rimosso le estensioni identificate dal Chrome Web Store. Microsoft Edge Add-ons ha adottato misure analoghe. Tuttavia, gli operatori della campagna hanno dimostrato resilienza, ricreando estensioni con nomi e aspetti leggermente modificati riutilizzando lo stesso codebase condiviso — una tattica che suggerisce un’operazione ben strutturata con capacità di recupero rapido.

Contesto e attribuzioni

La campagna StealTok si inserisce in un trend preoccupante di abuso degli store di estensioni browser come vettore di attacco. A differenza degli attacchi tradizionali che richiedono l’exploit di vulnerabilità, le estensioni malware sfruttano i permessi esplicitamente concessi dall’utente. Un’estensione browser, per sua natura, ha accesso privilegiato al traffico web, ai contenuti delle pagine, e potenzialmente alle credenziali inserite nei form.

La tecnica della dormienza prolungata era già stata osservata in operazioni precedenti legate a broker di dati e reti pubblicitarie opache, ma raramente applicata con questa scala e questa sistematicità. Il fatto che le estensioni abbiano ottenuto badge “Featured” ufficiali evidenzia le limitazioni dei processi di review degli store, che dipendono in parte da segnali comportamentali nel breve periodo.

Indicatori di compromissione (IoC)

Domini C2 identificati (typosquatting pattern):
- trafficreqort[.]com
- tiktak-download[.]com
- tiktok-vid-dl[.]com

Estensioni Chrome rimosse (ID parziali noti):
- TikTok Video Keeper
- Mass TikTok Video Downloader  
- Video Downloader for TikTok
- TikTok Downloader – Save Videos, No Watermark

Comportamenti sospetti da monitorare:
- Connessioni HTTP/HTTPS verso domini non correlati all'uso dichiarato
- Richieste fetch() verso endpoint di configurazione dinamica post-installazione
- Accesso a navigator.getBattery() e navigator.language in estensioni di download video

Consigli per i difensori

Per le organizzazioni, è consigliabile implementare policy di gestione delle estensioni browser tramite soluzioni MDM/EDR che blocchino l’installazione di estensioni non approvate dall’IT, monitorare il traffico di rete generato dai browser verso domini non categorizzati, e adottare strumenti di browser security come quelli offerti da vendor specializzati (LayerX, Island, Talon) in grado di analizzare il comportamento runtime delle estensioni. Per gli utenti individuali, la regola fondamentale rimane quella di limitare al minimo il numero di estensioni installate, privilegiare solo quelle di vendor riconoscibili con track record verificabile, e rivedere periodicamente i permessi concessi.

(in)sicurezza digitale

2026-04-24 18:17:28

GopherWhisper: il nuovo APT cinese che spia il governo mongolo nascondendo il C2 in Slack, Discord e Outlook

ESET Research ha scoperto GopherWhisper, un nuovo gruppo APT allineato alla Cina attivo dal novembre 2023, specializzato nello spionaggio di istituzioni governative in Mongolia. La particolarità operativa che distingue questo attore: utilizza Discord, Slack e le bozze di Microsoft Outlook come canali di command-and-control, rendendo il traffico malevolo praticamente indistinguibile dalle normali comunicazioni aziendali.

Scoperta e attribuzione: 12 sistemi governativi mongoli compromessi

La ricerca pubblicata da ESET il 23 aprile 2026 rivela che GopherWhisper ha compromesso almeno 12 sistemi appartenenti a un’istituzione governativa mongola, con attività iniziata nel novembre 2023. La telemetria raccolta ha permesso ai ricercatori di recuperare migliaia di messaggi degli operatori direttamente dai server Discord e Slack compromessi, grazie al recupero di token API inclusi nel codice dei backdoor.

L’attribuzione alla Cina si basa su più elementi convergenti: l’analisi dei timestamp dei messaggi Slack e Discord mostra che il grosso delle comunicazioni avviene tra le 8:00 e le 17:00, perfettamente allineato con il China Standard Time (UTC+8). I metadati di configurazione dell’utente Slack configurato dagli operatori riportano inoltre il fuso orario cinese. ESET stima che le vittime complessive siano potenzialmente decine, ma non ha informazioni sulla loro geolocalizzazione o settore.

L’arsenale: sette tool, quattro backdoor, un’infrastruttura C2 distribuita

GopherWhisper si distingue per la proliferazione di strumenti personalizzati — sette in totale, quattro dei quali sono backdoor distinte. Questa ridondanza suggerisce un’organizzazione con risorse sufficienti per sviluppare e mantenere un ecosistema malware parallelo, probabilmente con team distinti per componente.

LaxGopher — Backdoor Go via Slack

Backdoor scritta in Go che usa Slack come canale C2. Esegue comandi tramite cmd.exe, pubblica i risultati su un canale Slack configurato e può scaricare payload aggiuntivi. La comunicazione avviene attraverso le API ufficiali di Slack, rendendola quasi impossibile da rilevare a livello di firewall senza ispezione applicativa.

RatGopher — Backdoor Go via Discord

Backdoor analoga a LaxGopher ma che usa Discord come infrastruttura C2. Riceve messaggi da un server Discord privato, esegue comandi, pubblica i risultati sui canali configurati e gestisce upload/download da file[.]io. L’uso di due piattaforme separate (Slack e Discord) per backdoor distinte è probabilmente una strategia di ridondanza operativa.

BoxOfFriends — Backdoor via bozze Outlook

La backdoor più sofisticata dal punto di vista della tradecraft: gestisce il C2 attraverso bozze email di Microsoft 365 Outlook. Le istruzioni vengono scritte come bozze sul server di posta — mai inviate — e recuperate dal backdoor. Questa tecnica sfrutta il fatto che il traffico HTTPS verso i server Microsoft è quasi universalmente consentito e ignorato dagli strumenti di monitoraggio. È una variante della tecnica nota come “draft-based C2”, già osservata in alcuni APT mediorientali.

SSLORDoor — Backdoor C++ con raw socket

Backdoor scritta in C++ che comunica su porta 443 attraverso connessioni raw socket con OpenSSL BIO. A differenza dei backdoor Go che usano servizi cloud legittimi, SSLORDoor comunica direttamente con infrastruttura C2 controllata dall’attaccante. Supporta enumerazione di drive, operazioni su file e esecuzione di comandi via cmd.exe.

CompactGopher — Strumento di esfiltrazione

Tool Go-based di raccolta e esfiltrazione file, deployato da LaxGopher. Filtra i file di interesse per estensione, li comprime in ZIP, li cifra con AES-CFB-128 e li esfiltra su file[.]io. Le estensioni target sono documentali: .doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt, .pptx.

FriendDelivery e JabGopher

FriendDelivery è una DLL malevola che funge da loader e injector per BoxOfFriends. JabGopher è un injector generico del toolkit. Entrambi i componenti svolgono funzioni di supporto nell’ecosistema GopherWhisper, gestendo il deployment e l’iniezione dei backdoor principali.

Living off Trusted Services: la nuova frontiera dell’evasione APT

La scelta di Discord, Slack e Outlook come canali C2 non è casuale: rappresenta l’evoluzione della tecnica “Living off the Land” applicata ai servizi cloud. Invece di abusare di tool di sistema Windows legittimi, GopherWhisper abusa di servizi cloud enterprise affidabili il cui traffico è quasi impossibile da bloccare senza interrompere le operazioni aziendali normali.

L’approccio crea un problema fondamentale per i difensori: bloccare Discord o Slack a livello di firewall è tecnicamente fattibile, ma spesso politicamente impraticabile in organizzazioni che li usano quotidianamente. Rilevare il C2 richiede quindi un’analisi comportamentale del traffico verso questi servizi — pattern anomali di accesso, frequenza, orari e dimensioni dei payload.

Indicatori di compromissione

## GopherWhisper IoC (fonte: ESET Research, aprile 2026)
## IoC completi disponibili su: github.com/eset/malware-ioc

## Strumenti identificati
LaxGopher     - Go backdoor, C2: Slack API
RatGopher     - Go backdoor, C2: Discord API  
BoxOfFriends  - Go backdoor, C2: Microsoft Outlook drafts (M365)
SSLORDoor     - C++ backdoor, C2: raw socket port 443
CompactGopher - Go exfil tool, upload: file[.]io (AES-CFB-128)
FriendDelivery - DLL loader/injector per BoxOfFriends
JabGopher      - Injector generico

## Estensioni file target (CompactGopher)
.doc .docx .jpg .xls .xlsx .txt .pdf .ppt .pptx

## Caratteristiche di attribuzione
- Orari operativi: 08:00-17:00 CST (UTC+8)
- Locale configurato: China Standard Time
- Vittime confermate: istituzione governativa Mongolia (gen 2025)
- Attività iniziale: novembre 2023

Consigli per i difensori

GopherWhisper solleva sfide difensive specifiche legate all’abuso di servizi cloud legittimi:

• Monitoraggio del traffico verso servizi di messaggistica: Implementare analisi comportamentale del traffico verso Discord, Slack e Microsoft 365. Pattern anomali — accessi notturni, frequenza insolita, grandi upload su file.io — possono indicare attività C2.
• Controllo degli accessi alle API di servizi cloud: Gestire e monitorare i token API delle piattaforme aziendali. Un’applicazione non autorizzata che accede alle API Slack o Discord dall’interno della rete è un segnale di allarme.
• Ispezione delle bozze email: La tecnica “draft-based C2” via Outlook è particolarmente insidiosa poiché non genera traffico SMTP. Considerare soluzioni DLP (Data Loss Prevention) in grado di ispezionare le bozze nei sistemi di posta enterprise.
• EDR con visibilità sulle chiamate Go runtime: I backdoor Go presentano pattern di comportamento riconoscibili a livello di runtime. Assicurarsi che le soluzioni EDR abbiano firma e behavioral detection per payload Go-based.
• Blocco dei servizi di file-sharing anonimi: Limitare o monitorare il traffico verso file[.]io e servizi analoghi nelle reti governative e critiche. Questi servizi sono raramente necessari per operazioni aziendali legittime.

Il report completo di ESET Research è disponibile su WeLiveSecurity, con indicatori di compromissione pubblicati nel repository GitHub ufficiale di ESET.