(in)sicurezza digitale

2026-05-23 06:55:44

Showboat e JFMBackdoor: il gruppo cinese Calypso spia le telecomunicazioni del Medio Oriente con malware Linux e Windows

I ricercatori di Lumen Technologies Black Lotus Labs hanno pubblicato il 21 maggio 2026 un’analisi dettagliata di due nuovi strumenti malevoli — Showboat (Linux) e JFMBackdoor (Windows) — impiegati in campagne di cyberspionaggio attribuite con moderata confidenza al gruppo cinese Calypso, noto anche come Red Lamassu. I bersagli: operatori di telecomunicazioni nel Medio Oriente, nell’Asia Pacifica e, più recentemente, entità negli Stati Uniti e in Ucraina.

Chi è Calypso / Red Lamassu

Calypso è un gruppo APT di matrice cinese attivo almeno dal 2018, storicamente orientato allo spionaggio su governi, settore energetico e telecomunicazioni in Asia Centrale e Medio Oriente. Il gruppo condivide infrastrutture e tooling con altri cluster affiliati alla Cina, in linea con il modello del cosiddetto digital quartermaster: una struttura centralizzata che rifornisce più gruppi APT di strumenti comuni come PlugX, ShadowPad e, ora, Showboat. Questa logica di condivisione complica l’attribuzione e amplifica la portata operativa.

Showboat: un framework post-exploitation modulare per Linux

Il punto di partenza dell’indagine è stato un binario ELF caricato su VirusTotal nel maggio 2025, inizialmente classificato come backdoor Linux sofisticato con capacità rootkit (Kaspersky lo traccia come EvaRAT). Showboat è progettato per sistemi Linux con un insieme di capacità modulari orientate alla persistenza silenziosa e al movimento laterale: shell remota per l’esecuzione di comandi arbitrari, trasferimento file bidirezionale, proxy SOCKS5 per il tunneling verso sistemi interni non esposti su internet, raccolta di informazioni di sistema, nascondimento dei processi dalla lista dei processi attivi, e recupero di payload da Pastebin (paste creato l’11 gennaio 2022) — tecnica che frammenta la kill chain su piattaforme legittime per eludere il rilevamento.

Il malware comunica con il server C2 trasmettendo informazioni di sistema in un campo PNG come stringa cifrata in Base64. La funzione proxy SOCKS5 è particolarmente significativa: consente agli attaccanti di interagire con macchine raggiungibili solo via LAN, espandendo silenziosamente il perimetro di compromissione verso asset interni critici.

JFMBackdoor: un impianto Windows a pieno spettro

A fianco di Showboat, i ricercatori hanno identificato JFMBackdoor, un impianto Windows distribuito tramite DLL side-loading. Si tratta di un RAT completo con accesso shell remoto, operazioni su file (upload, download, eliminazione), network proxying, cattura di screenshot e auto-rimozione (self-removal) per cancellare le tracce post-operazione. Il vettore DLL side-loading è un classico dei toolkit cinesi: consente di agganciare un processo legittimo per l’esecuzione del codice malevolo, riducendo la visibilità per le soluzioni EDR.

Vittime identificate e infrastruttura C2

L’analisi infrastrutturale ha rilevato le seguenti compromissioni: un provider di telecomunicazioni nel Medio Oriente (vittima principale, bersagliata almeno dal 2022), un ISP in Afghanistan, un’entità in Azerbaigian, due possibili compromissioni negli Stati Uniti e una in Ucraina, identificate tramite un cluster C2 secondario che condivide certificati X.509 con quello primario.

I nodi C2 mostrano correlazioni geografiche con indirizzi IP geolocalizzati a Chengdu, capoluogo della provincia del Sichuan — area già associata ad operazioni APT cinesi come quelle di APT41. La presenza di infrastruttura condivisa con altri cluster cinesi, tramite certificati e pattern C2 analoghi, rinforza l’ipotesi del digital quartermaster. Il gruppo ha registrato domini tematici che impersonano operatori telecom per rendere il traffico C2 meno sospetto.

Perché le telco sono obiettivi privilegiati dello spionaggio cinese

Le infrastrutture di telecomunicazione rappresentano un obiettivo di primaria importanza per le operazioni di intelligence offensiva. Il controllo, anche parziale, di un operatore telecom offre accesso a metadati di traffico, possibilità di intercettazioni mirate, informazioni su clienti governativi e aziendali, e capacità di prepararsi per operazioni disruptive in scenari di escalation geopolitica. Non è un caso che Showboat sia progettato specificatamente per Linux: i sistemi basati su questo OS costituiscono il backbone infrastrutturale della maggior parte delle telco mondiali. La funzione SOCKS5 rispecchia un obiettivo preciso: muoversi lateralmente e silenziosamente all’interno di reti segmentate, raggiungendo asset normalmente inaccessibili dall’esterno.

Indicatori di compromissione (IoC)

# Showboat - ELF binary (VirusTotal, maggio 2025)
SHA256: d6a4fad5448838dbc8cc6b33f1dbfbdc7a2fad36de58ff6a66dce96f729f7011
# Kaspersky classification: EvaRAT
# C2 infrastructure: IP geolocati a Chengdu (Sichuan, CN)
# Certificati X.509 condivisi tra cluster C2 primario e secondario
# Domini: pattern telecom-themed (impersonazione operatori target)
# Pastebin paste ID: creato 2022-01-11 (autoconcealment snippet)

Due righe per i difensori

Per le organizzazioni del settore telecomunicazioni e infrastrutture critiche, i ricercatori di Black Lotus Labs raccomandano: monitorare il traffico in uscita verso Pastebin e piattaforme di condivisione testo per rilevare scaricamenti di payload; analizzare le connessioni SOCKS5 anomale verso host interni non esposti; verificare l’integrità dei processi su sistemi Linux alla ricerca di tecniche di process hiding; implementare threat hunting specifico per DLL side-loading su endpoint Windows; correlare i certificati X.509 dei server C2 con quelli osservati da Black Lotus Labs. Come ha sottolineato il ricercatore Danny Adamitis: “La presenza di tali minacce dovrebbe essere interpretata come un segnale d’allarme precoce, indicativo di problemi di sicurezza potenzialmente più gravi e diffusi all’interno delle reti compromesse.”

Spcnet.it

2026-05-23 06:08:01

Microsoft Identity Manager 2016 SP3: supporto SQL Server 2022, Azure SQL con Managed Identity e AD FS SSO

MIM 2016 SP3: finalmente disponibile, con un percorso travagliato

Microsoft Identity Manager (MIM) 2016 Service Pack 3 è diventato generalmente disponibile il 14 maggio 2026, dopo una storia piuttosto movimentata: una prima versione era stata rilasciata a fine marzo 2026 ma Microsoft l’aveva silenziosa ritirata senza spiegazioni pubbliche. SP3 si posiziona come un aggiornamento di compatibilità di piattaforma più che una rivisitazione architetturale del prodotto, ma include alcune novità tecnicamente significative per gli scenari ibridi e cloud.

Per chi gestisce ambienti enterprise con Active Directory e sincronizzazione delle identità, MIM rimane un componente critico in molte organizzazioni. Con l’estensione del supporto fino al 9 gennaio 2029 (la data originale era gennaio 2026), Microsoft ha chiarito che il prodotto ha ancora vita davanti a sé, almeno come soluzione di transizione verso Entra ID Governance.

Principali aggiornamenti di compatibilità di piattaforma

SP3 estende la compatibilità ufficiale con le versioni più recenti degli stack Microsoft on-premise e cloud. I componenti aggiornati includono:

• SQL Server 2022 — supporto completo per il database di MIM Service e MIM Synchronization Service
• SharePoint Server Subscription Edition (SE) — il portale MIM può essere ospitato su SharePoint SE
• Exchange Server Subscription Edition (SE) — supporto per la gestione delle cassette postali Exchange tramite MIM
• System Center Service Manager DW 2022 — compatibilità aggiornata per gli scenari di data warehouse
• Windows Server 2025 — supporto per il sistema operativo host aggiornato

Questi aggiornamenti sono fondamentali per le organizzazioni che hanno già migrato i propri server on-premise alle versioni più recenti e si trovavano a gestire MIM su stack non ufficialmente supportati, una situazione rischiosa dal punto di vista del supporto Microsoft.

Azure SQL Database per MIM Synchronization: la novità più rilevante

La novità tecnicamente più interessante di SP3 è il supporto nativo per Azure SQL Database come backend del MIM Synchronization Service, con autenticazione tramite managed identity. Questa funzionalità apre un nuovo scenario di deployment ibrido dove il motore di sincronizzazione di MIM può connettersi a un database gestito nel cloud senza dover gestire credenziali SQL esplicite in chiaro.

System-assigned vs User-assigned Managed Identity

SP3 supporta entrambe le varianti di managed identity per l’autenticazione verso Azure SQL:

• System-assigned managed identity — legata al ciclo di vita del server MIM Sync, viene creata e dismessa automaticamente con la macchina virtuale. Più semplice da configurare, ma meno flessibile in scenari di disaster recovery o migrazione del server.
• User-assigned managed identity — un’identità indipendente che può essere assegnata a più risorse e sopravvive alla VM. Preferita negli ambienti enterprise per la flessibilità e la possibilità di condividere le autorizzazioni tra più istanze server.

In entrambi i casi, la managed identity deve essere configurata come External provider nel database Azure SQL e deve avere il ruolo db_owner (o i permessi minimi necessari) sullo schema MIM. La configurazione lato MIM avviene nel file di configurazione del Synchronization Service, specificando il tipo di autenticazione ActiveDirectoryManagedIdentity nella stringa di connessione.

Considerazioni pratiche sul deployment

Portare il database di MIM Sync su Azure SQL offre vantaggi concreti: alta disponibilità integrata, backup automatici, scaling elastico e riduzione del carico operativo sulla DBA. Tuttavia, le latenze di rete tra il server MIM Sync on-premise e Azure SQL devono essere valutate con attenzione. Cicli di sincronizzazione su connector con milioni di oggetti — come un Full Import su Active Directory con 200.000+ account — potrebbero risentire della latenza aggiuntiva rispetto a un SQL Server locale.

È consigliabile testare questa configurazione in ambiente di staging misurando i tempi dei management agent profile più pesanti (Full Import, Full Sync) prima di portarla in produzione.

AD FS SSO per il portale MIM: claims-based authentication

SP3 introduce il supporto per Active Directory Federation Services (AD FS) con autenticazione SSO basata su claims per il portale MIM. In precedenza, il portale si basava esclusivamente sull’autenticazione Windows integrata (Kerberos/NTLM). Con SP3, gli utenti possono autenticarsi al portale tramite AD FS, il che apre alcune possibilità interessanti:

• Supporto per scenari in cui i client non sono domain-joined (utenti che accedono dall’esterno tramite Web Application Proxy)
• Possibilità di applicare policy di autenticazione più granulari tramite AD FS, inclusi MFA e device compliance
• Percorso di transizione verso Entra ID per organizzazioni che già federano le identità tramite AD FS

La configurazione richiede la registrazione del portale MIM come Relying Party Trust in AD FS e la corretta configurazione delle claim rules per mappare gli attributi utente alle autorizzazioni MIM. Microsoft ha aggiornato la documentazione ufficiale su Microsoft Learn con le istruzioni dettagliate per questo scenario.

Estensione del supporto: una boccata d’aria per i team IT

Forse la notizia più impattante per molte organizzazioni non è tecnica, ma temporale. La data di fine supporto di MIM 2016 è stata estesa dal 13 gennaio 2026 al 9 gennaio 2029 — tre anni in più. Per i team IT che stavano affrontando una corsa contro il tempo per migrare a Entra ID Governance, questa estensione offre una finestra più ampia per pianificare la transizione con la dovuta attenzione.

È comunque importante non interpretare questa estensione come un segnale che MIM riceverà nuove funzionalità significative. Microsoft è chiara: il percorso raccomandato per la gestione del ciclo di vita delle identità punta a Microsoft Entra ID Governance. MIM è in maintenance mode.

Come pianificare l’upgrade a SP3

Per chi gestisce MIM 2016, ecco i passi raccomandati:

1. Verifica la versione corrente — la build di SP3 è 4.7.6.0. Controlla la versione installata tramite Programmi e Funzionalità o il registro di sistema.
2. Consulta la matrice di compatibilità ufficiale su Microsoft Learn per identificare eventuali combinazioni di piattaforma non più supportate.
3. Testa in staging prima della produzione, verificando la compatibilità con management agent personalizzati e regole di sincronizzazione custom.
4. Valuta Azure SQL con managed identity se vuoi ridurre il debito operativo del database on-premise.
5. Pianifica la migrazione a lungo termine verso Entra ID Governance, usando questo upgrade come occasione per documentare i processi attuali.

Conclusione

MIM 2016 SP3 è un aggiornamento pragmatico e necessario per le organizzazioni enterprise che ancora dipendono da questo strumento. L’aggiunta del supporto per Azure SQL con managed identity è la novità più rilevante dal punto di vista architetturale, mentre il supporto AD FS SSO colma una lacuna significativa per i deployment con accesso esterno al portale. L’estensione del supporto al 2029 completa il quadro, dando ai team IT il tempo necessario per una migrazione pianificata e non forzata verso le soluzioni cloud-native di Microsoft.

---

Fonti: 4sysops — MIM 2016 SP3 | Microsoft Learn — MIM 2016 news and updates | Identity Manager version history

Supported software platforms

Find the products and versions that are compatible with each of the MIM 2016 components

^{learn.microsoft.com}

Lorenzo Franceschi-Bicchierai

2026-05-22 16:41:18

NEW: Bad week for MAGA's business ventures.

The website of Kash Patel's clothing brand was taken offline after reports that it had been hijacked and was serving malware to visitors.

techcrunch.com/2026/05/22/kash…

Kash Patel's clothing brand website shut down after reports it was hacked | TechCrunch

According to users on X, the website was hijacked by hackers in an attempt to trick visitors into installing malware.

^{Lorenzo Franceschi-Bicchierai (TechCrunch)}

(in)sicurezza digitale

2026-05-22 20:24:33

L’uscita di Tulsi Gabbard dall’intelligence USA e gli scenari di sicurezza nazionale

Le dimissioni di Tulsi Gabbard dalla guida dell’intelligence americana non sono più soltanto indiscrezioni filtrate da ambienti politici di Washington. Dopo ore di speculazioni, la conferma è arrivata direttamente tramite Fox News e successive dichiarazioni ufficiali della Casa Bianca: Gabbard lascerà il ruolo di Director of National Intelligence il 30 giugno 2026.

Nella lettera inviata al presidente Donald Trump, Gabbard ha motivato la decisione con il peggioramento delle condizioni di salute del marito, Abraham Williams, recentemente diagnosticato con una rara forma di tumore osseo. La direttrice dell’intelligence ha scritto di non poter “in coscienza” lasciarlo affrontare da solo la malattia mentre continua a ricoprire un incarico tanto invasivo e operativo.

Formalmente, quindi, la narrativa ufficiale parla di una scelta personale e familiare. Ma le fonti interne all’amministrazione raccontano uno scenario molto più complesso. Diversi insider citati dalla stampa americana sostengono infatti che Gabbard fosse ormai considerata politicamente isolata all’interno dell’apparato Trump e che la Casa Bianca stesse già valutando da tempo una sua sostituzione.

Secondo le ricostruzioni emerse nelle ultime settimane, il rapporto con Trump si sarebbe deteriorato progressivamente dopo una serie di contrasti su Iran, operazioni di sicurezza nazionale e gestione delle valutazioni intelligence. Uno degli episodi più delicati riguarda proprio le analisi sull’Iran: Gabbard aveva dichiarato davanti al Senato che non esistevano prove concrete di una ripresa del programma nucleare iraniano, entrando indirettamente in collisione con la linea più aggressiva sostenuta dall’amministrazione.

Da quel momento, il suo peso operativo sarebbe diminuito rapidamente. Secondo varie fonti, Gabbard sarebbe stata esclusa da alcuni briefing strategici sensibili e marginalizzata nelle decisioni relative alle operazioni internazionali. Parallelamente, all’interno della Casa Bianca cresceva la convinzione che il DNI non fosse più pienamente allineato alla postura politica dell’amministrazione Trump.

La dinamica con cui la notizia è emersa è particolarmente significativa. Prima ancora dell’annuncio ufficiale, numerosi leak avevano iniziato a circolare verso media statunitensi vicini agli ambienti governativi, descrivendo Gabbard come una figura in uscita già da settimane. In ambienti intelligence questo tipo di comunicazione viene spesso interpretato come una pressione politica indiretta: rendere pubblica una possibile sostituzione serve a indebolire ulteriormente il funzionario interessato e preparare il terreno alla transizione.

Trump ha pubblicamente elogiato il lavoro di Gabbard, definendola una figura che ha svolto “un grande lavoro” alla guida dell’intelligence americana, ma contemporaneamente ha annunciato immediatamente il nome del sostituto ad interim: Aaron Lukas.

Ed è proprio questo passaggio a essere particolarmente rilevante per chi osserva il settore intelligence e cybersecurity. Aaron Lukas non arriva dall’esterno ma dall’apparato interno dell’ODNI, dove ricopriva il ruolo di Principal Deputy Director of National Intelligence dal 2025. La scelta di una figura già integrata nella struttura suggerisce la volontà della Casa Bianca di evitare ulteriori scossoni in una fase estremamente delicata sul piano geopolitico e cyber.

La successione avviene infatti mentre gli Stati Uniti stanno affrontando una delle fasi più aggressive degli ultimi anni sul fronte cyber-intelligence: campagne APT attribuite a Cina, operazioni ibride riconducibili a Iran, tensioni crescenti con Russia e un ecosistema ransomware sempre più vicino a logiche di destabilizzazione geopolitica.

In questo contesto, il problema non è soltanto il cambio di leadership. Il vero nodo riguarda ciò che emerge dietro le dimissioni: una frattura sempre più evidente tra vertice politico e comunità intelligence americana. E quando questo accade negli Stati Uniti, le conseguenze raramente restano interne a Washington.