redmount.xyz

Immagina di chiedere a ChatGPT di scriverti una lettera d’amore o di aiutarti con un documento delicato di lavoro. Tutto fila liscio, le parole scorrono veloci, le risposte arrivano senza attese. Questo è possibile grazie a un trucco chiamato KV-cache, una sorta di memoria a breve termine che conserva informazioni sui token già elaborati, così il modello non deve rifare tutti i calcoli ogni volta che genera una nuova parola. È come se il modello tenesse aperto un taccuino con gli appunti della conversazione per consultarlo al volo. Ma come tutti i taccuini lasciati aperti, qualcuno potrebbe sbirciarci dentro. È proprio qui che entra in scena il lavoro dei ricercatori Zhifan Luo, Shuo Shao, Su Zhang, Lijing Zhou, Yuke Hu, Chenxu Zhao, Zhihao Liu e Zhan Qin, che hanno analizzato i rischi nascosti in questa cache temporanea. Hanno scoperto che, se non protetta, la KV-cache può diventare una fonte di dati sensibili: non solo frammenti di testo che avete inserito, ma anche informazioni deri...

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...

Nel corso del conflitto informatico in corso tra Ucraina e attori antagonisti statali, il gruppo noto come UAC‑0099 è tornato alla ribalta con una campagna di cyber‑spionaggio aggiornata e ampliata che vede le sue vittime principali costituite da enti governativi ucraini, organizzazioni di difesa, media ed aziende collegate al complesso industriale della difesa, con attacchi mirati realizzati mediante email di phishing sofisticate che sorprendono l’utente attraverso l’uso di lenti accorgimenti come link abbreviati o archivi doppi (double‑zip) contenenti file HTA o shortcut LNK con estensioni camuffate per ingannare l’esecuzione. Secondo CERT‑UA, l’allerta rilasciata il 6 agosto 2025 descrive un’operazione in cui le email inviate da indirizzi tipo ukr.net reclamano una "convocazione in tribunale" e contengono un link abbreviato (tipicamente tramite Cuttly) che punta a un archivio estratto due volte contenente un file HTA; l’user apre il file HTA, che contiene un VBScript offus...

Negli ultimi anni, l'evoluzione delle minacce ransomware ha seguito una traiettoria prevedibile quanto allarmante: da attacchi opportunistici a colpi chirurgici, mirati, capaci di bloccare intere infrastrutture critiche in pochi minuti. A questa corsa all’armamento offensivo non è seguita un’adeguata accelerazione sul fronte della difesa in tempo reale, perché identificare un attacco ransomware nel momento esatto in cui si innesca, e fermarlo prima che abbia criptato anche solo un decimo dei dati, è ancora un’impresa per pochi. Il lavoro presentato nel paper "ranDecepter: Real-time Identification and Deterrence of Ransomware Attacks", pubblicato il 1° agosto 2025 su arXiv, propone un approccio tecnico concreto e, soprattutto, scalabile, per affrontare questo problema alla radice: riconoscere l’attacco mentre è in atto e rispondere con una deterrenza immediata, attiva, ma non distruttiva. La logica di ranDecepter si distanzia dai soliti sistemi di detection ex post, che no...

Negli ultimi anni si è diffusa la voce secondo cui sarebbe possibile subire un furto semplicemente passando accanto a un malintenzionato dotato di POS portatile contactless. Il principio sembra semplice: un terminale NFC viene avvicinato alla tasca o alla borsa della vittima e, grazie alla tecnologia contactless, sottrae una somma di denaro senza bisogno di autorizzazioni visibili. Ma la realtà tecnica di questo scenario è più complessa, e merita un'analisi approfondita. Il protocollo EMV utilizzato dalle carte contactless integra meccanismi di sicurezza robusti basati su crittografia a chiave pubblica. Ogni transazione genera un cryptogram unico, firmato digitalmente, che rende l'operazione non riutilizzabile e impedisce efficacemente attacchi di replay. In modalità legittima, una transazione contactless prevede l’inserimento di un importo sul terminale, l’attivazione per un breve intervallo (tipicamente inferiore ai 30 secondi), e la comunicazione tra carta e POS a pochi cent...

La crittografia post-quantistica è uno degli argomenti più cruciali per il futuro della sicurezza informatica, perché la comparsa dei computer quantistici potrebbe mettere in crisi tutti i sistemi crittografici attualmente utilizzati, dai protocolli di comunicazione sicura ai sistemi di firma digitale. Tra i tanti schemi proposti negli ultimi anni per proteggere i dati anche dall’attacco di macchine quantistiche, uno dei più studiati è stato il sistema BIKE, acronimo di Binary Key Encapsulation. BIKE è stato uno dei candidati selezionati per la quarta fase del prestigioso concorso lanciato dal NIST, l’ente americano che si occupa di definire standard di sicurezza, ma alla fine non è stato scelto come standard definitivo. Tuttavia, la sua struttura interna e le sue potenziali vulnerabilità rimangono un tema di studio fondamentale per capire meglio come funzionano i sistemi post-quantistici e quali rischi possono nascondere. In un lavoro recente pubblicato su arXiv, Michael Schaller prop...

Una settimana fa avevo parlato della falla critica che ha colpito SharePoint e dell'escalation preoccupante degli attacchi rilevati nella seconda settimana di luglio. A distanza di pochi giorni, il panorama delle minacce ha continuato ad evolversi, mostrando quanto sia urgente un cambio di passo nella gestione delle patch e nella sicurezza delle infrastrutture esposte. In questo approfondimento raccolgo i principali zero-day di fine luglio 2025, con tutti i dettagli tecnici, lo stato delle patch, e le implicazioni per chi gestisce ambienti vulnerabili. Il caso SharePoint merita una ripresa aggiornata. Parliamo delle vulnerabilità CVE-2025-53770 e CVE-2025-53771, classificate con un punteggio CVSS pari a 9.8. Gli attaccanti sfruttano un caricamento di script ASPX (tipicamente denominato "spinstall0.aspx") per esfiltrare le chiavi ASP.NET MachineKey dai server SharePoint non patchati. Ciò consente di generare token di autenticazione validi e mantenere accessi persistenti a...

Nel corso del 2025, gli SVG stanno rapidamente diventando uno dei formati più sfruttati per veicolare attacchi di phishing e malware in modo furtivo e sempre più sofisticato. Tradizionalmente percepiti come semplici immagini vettoriali, gli SVG — in quanto basati su XML — possono contenere script, redirect, codice JavaScript e collegamenti dinamici, sfruttando le stesse capacità che li rendono potenti strumenti di grafica. È proprio questa flessibilità a renderli oggi una vera e propria tela per l’attaccante. I gruppi criminali informatici hanno iniziato a includere allegati .svg nei messaggi email al fine di eludere i controlli antispam tradizionali. Il contenuto di questi file viene spesso offuscato usando encoding Base64 o rappresentazioni esadecimali, combinati con tecniche di evasione DOM come MutationObserver, setTimeout, eval e document.write. Alcuni SVG si presentano all’apparenza come semplici loghi o icone, ma una volta aperti nel browser — anche con un clic accidentale da we...

Quando parliamo di attacchi informatici a infrastrutture critiche, spesso li immaginiamo in un futuro distopico o nei racconti sensazionalistici dei telegiornali. Ma quello che è successo ad Aeroflot il 28 luglio 2025 non è fiction, è cronaca. Ed è un caso che va letto riga per riga, perché fotografa alla perfezione la vulnerabilità di un’intera nazione – e non solo – quando tecnologia, arroganza e guerra si intrecciano. Due gruppi, Silent Crow e Cyber Partisans BY, hanno rivendicato l’azione. Non due nomi usciti dal nulla, ma due entità note per operazioni ben pianificate in ambito cyber contro obiettivi russi, spesso legati alla macchina statale o militare. La ricostruzione che propongono è dettagliata, quasi chirurgica. Parlano di accesso ottenuto oltre un anno fa, mantenuto silenziosamente per mesi. Nessun ransomware, nessuna estorsione: solo penetrazione silenziosa, osservazione, raccolta, e poi distruzione sistematica. Hanno avuto tempo. Tempo per capire come era strutturata la r...

Negli ultimi anni ho imparato a guardare con sospetto tutto ciò che sembra troppo semplice, soprattutto quando si parla di autenticazione e sicurezza degli account. Il phishing è una minaccia costante, ma ciò che mi spaventa davvero non sono tanto i soliti link truffaldini con l’url sbagliato e la grafica raffazzonata, quanto gli attacchi più sofisticati, quelli in grado di bypassare l’autenticazione a più fattori, sfruttando il comportamento umano e la fiducia cieca che spesso riponiamo nei processi automatizzati. Evilginx2 è una delle tecniche che oggi rappresenta una delle minacce più concrete e subdole in questo senso. E non parliamo di teoria, ma di attacchi reali a danno di amministrazioni, aziende e utenti comuni. L’esempio raccontato da Simone Fratus , in cui viene compromesso un account Microsoft 365 protetto da MFA, è solo la punta dell’iceberg. Mi ha fatto riflettere su quanto ancora, nel 2025, la sicurezza sia legata più al livello di consapevolezza che non alla tecnologia....

L'attacco che ha colpito Microsoft SharePoint nel luglio 2025 rappresenta uno degli episodi più rilevanti dell'anno nel panorama della sicurezza informatica. Come spesso accade, tutto è iniziato nel silenzio: nei primi giorni del mese, alcuni server SharePoint on-premises hanno cominciato a manifestare comportamenti anomali. Solo più tardi si è compreso che si trattava dell'inizio di una campagna di attacchi mirati che avrebbe coinvolto almeno tre gruppi di hacker collegati allo Stato cinese: Linen Typhoon, Violet Typhoon e Storm-2603. Microsoft ha pubblicato una prima comunicazione tecnica l'8 luglio, accompagnata da una patch per due vulnerabilità note, CVE-2025-49704 e CVE-2025-49706, inizialmente ritenute sufficienti. Tuttavia, già dal 7 luglio erano stati osservati exploit attivi contro versioni vulnerabili di SharePoint installate in locale, e nei giorni successivi è emerso che le patch non coprivano nuove varianti dell'attacco che sfruttavano ulteriori falle ...

Nel mondo della sicurezza informatica siamo abituati a cercare le minacce nei luoghi più ovvi: allegati email, file eseguibili, script obfuscati nei siti web. Ma pochi si fermano a pensare che anche una semplice favicon – quella piccola icona che appare accanto al titolo di una scheda nel browser – possa diventare un cavallo di Troia perfettamente funzionante. Ed è proprio questo il cuore della ricerca pubblicata su arXiv da David Noever e Forrest McKee nel luglio 2025: dimostra come sia possibile sfruttare il canale alfa di un file .ico per nascondere codice JavaScript eseguibile, creando un vettore d’attacco invisibile all’occhio umano. La tecnica si basa su un uso creativo (e malevolo) della steganografia: invece di nascondere messaggi cifrati all’interno dei pixel visibili, i ricercatori nascondono il payload sfruttando il canale della trasparenza dell’immagine, ovvero quei valori alfa che regolano l’opacità di ogni pixel. Agendo sui bit meno significativi (LSB) di questi valori, r...

Negli ultimi mesi, il settore dei semiconduttori a Taiwan è stato oggetto di un’intensa attività di cyber‑spionaggio orchestrata da almeno tre gruppi di hacker presumibilmente legati allo stato cinese. Tra marzo e giugno 2025, campagne di spear‑phishing altamente mirate hanno preso di mira non soltanto le aziende coinvolte nella produzione, nel design e nei test di circuiti integrati e semiconduttori, ma anche l’intero ecosistema di fornitori di attrezzature, servizi correlati e persino analisti finanziari specializzati nel mercato dei chip taiwanesi. Questi attacchi hanno dimostrato un’elevata sofisticazione: gli aggressori hanno utilizzato profili contattando risorse umane o dipartimenti di recruiting fingendosi neo‑laureati alla ricerca di opportunità di lavoro. Nei messaggi venivano allegati presunti curriculum in formato PDF che, in realtà, nascondevano file LNK contenenti payload malware. Aprendo il documento, la vittima veniva condotta lungo una catena di attacco multipla che co...

L’operazione internazionale contro il gruppo filorusso Noname057(16), annunciata ieri, segna un passaggio importante nella storia recente della cyber-sicurezza europea. Si parla di cinque mandati d’arresto, centinaia di server smantellati, coordinamento tra Europol, Eurojust e diverse forze di polizia europee. Un evento che, per chi lavora in sicurezza informatica, non rappresenta solo una notizia da condividere, ma un’occasione per fermarsi a riflettere su come stiamo evolvendo come società digitale e come Paese. Il gruppo Noname057(16) non è nuovo alle cronache italiane. Attivo da almeno tre anni, ha costruito la sua reputazione attorno ad attacchi DDoS coordinati su larga scala, rivolti contro enti pubblici, aeroporti, porti, banche, media e infrastrutture critiche. La loro logica è semplice nella forma ma insidiosa nella sostanza: bloccare temporaneamente i servizi, provocare disagio, colpire l’immagine di efficienza e sicurezza di uno Stato. L'Italia è stata bersaglio privileg...

Non è la prima volta che mi trovo a parlare di attacchi DDoS mostruosi, ma i numeri della seconda metà del 2025 segnano un salto qualitativo drammatico: abbiamo sfondato il muro dei 7 terabit al secondo. Cloudflare ha annunciato di aver mitigato un attacco DDoS “iper‑volumetrico” che ha toccato il picco di 7,3 Tbps e 4,8 miliardi di pacchetti al secondo, concentrati in appena 45 secondi. È incredibile pensare che in meno di un minuto siano stati riversati 37,4 terabyte di traffico verso un singolo IP bersaglio — un volume pari a più di 9.300 film HD. E se questo attacco fa notizia, ciò che davvero mi inquieta è il contesto in cui avviene: nei primi sei mesi del 2025 Cloudflare ha già bloccato 27,8 milioni di attacchi DDoS, superando di gran lunga ogni statistica del 2024 . Cosa significa tutto ciò per chi come me lavora nel settore? Significa che la minaccia non si limita più a interruzioni occasionali: stiamo parlando di attacchi brevi ma potentissimi, sempre più frequenti e sofistica...

Ieri, senza alcun preavviso, il mondo DeFi si è svegliato con la notizia di un exploit da 2,2 milioni di USDC ai danni di Texture Finance — una perdita non indifferente, pare. Ma non temere: non si è trattato del solito aggressore con intenti malvagi in modalità “rubare e fuggire”, bensì di una figura inaspettata, un po’ hacker, un po’ Robin Hood della blockchain. Il team di Texture ha risposto prontamente, disabilitando i prelievi e allestendo una “war room” con auditor e sviluppatori, ma la vera mossa da manuale è stata l’offerta pubblica: restituisci il 90 % dei fondi e tieni il restante 10 % come premio, peccato che se avessi fatto il furbo oltre il limite, potevamo anche procedere per vie legali. E sotto natale, o meglio, verso mezzogiorno UTC del 10 luglio 2025, l’hacker – apparentemente dotato di un codice morale da greyhat e non di un cuore nero – ha fatto marcia indietro: ha spedito indietro i fondi e incassato la sua taglia del 10 %. Il team ha applaudito pubblicamente, dichi...

Li ho visti anche quest’anno, quei ragazzi seduti davanti a un terminale, occhi fissi sullo schermo, cuffie calate sulle orecchie, dita che volano sulla tastiera mentre il tempo scorre impietoso. Li ho guardati mentre combattevano, senza alzare la voce, senza confondere mai concentrazione e frenesia. E non posso fare a meno di pensare a quanto siano bravi, a quanto talento ci sia dietro a quella calma apparente. CyberChallenge.IT, per chi non lo sapesse, è una di quelle cose che ti fanno venire voglia di credere nel futuro. Un’iniziativa nata per trovare i giovani più promettenti nella sicurezza informatica in Italia, quelli tra i 16 e i 24 anni che invece di passare i pomeriggi a scrollare feed infiniti, scelgono di imparare a difendere sistemi, a ragionare come attaccanti per diventare difensori migliori, a studiare crittografia, reverse engineering, reti, exploit, malware. Roba che normalmente impari dopo anni in azienda o in ambienti militari, e invece loro la masticano prima dei v...

In un’Italia che troppo spesso ignora le metamorfosi silenziose del crimine, Prato è diventata la scena di una guerra tra clan cinesi per il controllo della logistica e del denaro. Un conflitto che parla la lingua del fuoco, delle grucce incendiate, dei pestaggi notturni e degli omicidi ordinati con una freddezza industriale. Ma cosa accadrebbe se questo sistema, radicato nel tessuto economico locale, iniziasse a mutare forma? Se la stessa organizzazione che domina la filiera tessile del pronto moda decidesse di estendere il controllo anche ai circuiti digitali, fino a diventare un attore nel cybercrime globale? Oggi le notizie ci raccontano di cellulari criptati, trasferimenti di denaro occulti tramite circuiti paralleli come il “fei ch’ien”, imprese apri-e-chiudi che spariscono come ombre dopo aver drenato fondi in Europa e Asia. È lo stesso ecosistema, con minime variazioni, su cui si muovono gruppi cybercriminali transnazionali: server offshore, criptovalute, tracciamenti offuscati...

Il gruppo hacker filo-iraniano noto come Handala, conosciuto anche con altri alias come Banished Kitten o Hanzala, ha rivendicato la completa violazione dei sistemi di Iran International, emittente con sede a Londra che trasmette in lingua persiana contenuti fortemente critici nei confronti della Repubblica Islamica, e secondo diverse fonti tra cui Kurdistan24, ISNA e altre testate indipendenti e governative, sarebbe riuscito ad accedere non solo ai server e all’infrastruttura tecnica dell’organizzazione ma anche a dati estremamente sensibili come le informazioni personali di oltre 71.000 contatti che utilizzavano il canale "Secure Line" per comunicazioni riservate con i giornalisti, comprese fonti anonime all’interno dell’Iran, oltre a documentazione finanziaria interna e alla posta elettronica privata di numerosi dipendenti, un'operazione che, se confermata nei dettagli, rappresenta un punto di svolta per la guerra informatica condotta a colpi di malware, intimidazioni ...

Il 3 luglio scorso le autorità italiane hanno arrestato all’aeroporto di Milano Malpensa un cittadino cinese di 33 anni, Xu Zewei, ricercato dagli Stati Uniti per una lunga serie di reati informatici legati ad attività di cyber-spionaggio. Xu sarebbe, secondo le accuse americane, coinvolto in una campagna condotta dal gruppo APT noto come Silk Typhoon (noto in passato anche come Hafnium), ritenuto affiliato allo Stato cinese. Questo gruppo è già noto da anni per aver preso di mira obiettivi sensibili in ambito sanitario, governativo e accademico, con operazioni che includono il furto di proprietà intellettuale e di informazioni classificate. La notizia è stata confermata da diverse fonti attendibili, tra cui il Dipartimento di Giustizia degli Stati Uniti, l’agenzia stampa ANSA e testate specializzate come BleepingComputer e Decode39. Secondo l’atto d’accusa, tra il 2020 e il 2021 Xu avrebbe partecipato a una campagna di intrusione su larga scala che ha colpito istituzioni accademiche s...