redmount.xyz

Immagina una stanza blindata, luci basse, grafici e mappe digitali proiettati sulle pareti: in mezzo al tavolo, una decisione da prendere in pochi minuti. È lo scenario che la nuova norma italiana rende possibile, dando al Presidente del Consiglio il potere di autorizzare, dopo consultazione con CISR e Copasir, un contrattacco cibernetico vero e proprio. Non parliamo di alzare firewall o bloccare un IP, ma di operazioni offensive su scala statale, condotte da AISE e AISI, con il coordinamento del DIS e il supporto del Ministero della Difesa. Il quadro è stato reso operativo con il Decreto Sicurezza (DL 48/2025, legge dal 9 giugno), che ha messo nero su bianco procedure, ruoli e condizioni. La norma prevede tre requisiti fondamentali: il bersaglio dev’essere identificabile con alto grado di certezza (ad esempio un gruppo APT o un’infrastruttura C2 specifica), le difese convenzionali devono essersi dimostrate inefficaci e la minaccia deve riguardare la sicurezza nazionale o quella di un...

Nel cuore della conferenza DEF CON 2025 di Las Vegas nasce un’iniziativa che unisce etica hacker, urgenza nazionale e difesa delle infrastrutture critiche. Un gruppo di volontari composto da professionisti della cybersecurity, esperti di sistemi OT, ricercatori universitari, attivisti digitali e membri della community si sta organizzando per offrire supporto diretto e gratuito alle piccole utenze idriche statunitensi. Si tratta di realtà spesso trascurate dai finanziamenti pubblici, prive di risorse per proteggere i propri impianti da attacchi informatici sempre più frequenti. Il progetto, battezzato DEF CON Franklin, nasce come risposta concreta alla recente escalation di offensive cyber contro municipi e impianti rurali. Molti degli attacchi sono stati attribuiti a gruppi APT come i CyberAv3ngers, già noti per sabotaggi contro infrastrutture idriche in Israele e negli Stati Uniti. L’iniziativa prevede un’azione sinergica tra la comunità hacker e organizzazioni come la National Rural ...

Nel corso del conflitto informatico in corso tra Ucraina e attori antagonisti statali, il gruppo noto come UAC‑0099 è tornato alla ribalta con una campagna di cyber‑spionaggio aggiornata e ampliata che vede le sue vittime principali costituite da enti governativi ucraini, organizzazioni di difesa, media ed aziende collegate al complesso industriale della difesa, con attacchi mirati realizzati mediante email di phishing sofisticate che sorprendono l’utente attraverso l’uso di lenti accorgimenti come link abbreviati o archivi doppi (double‑zip) contenenti file HTA o shortcut LNK con estensioni camuffate per ingannare l’esecuzione. Secondo CERT‑UA, l’allerta rilasciata il 6 agosto 2025 descrive un’operazione in cui le email inviate da indirizzi tipo ukr.net reclamano una "convocazione in tribunale" e contengono un link abbreviato (tipicamente tramite Cuttly) che punta a un archivio estratto due volte contenente un file HTA; l’user apre il file HTA, che contiene un VBScript offus...

Il nuovo Vademecum pubblicato dall’Agenzia per la Cybersicurezza Nazionale (ACN), approvato dal Consiglio dei Ministri il 22 luglio 2025, rappresenta un passo essenziale nel rafforzamento della cultura della sicurezza digitale all’interno della Pubblica Amministrazione italiana. Il documento, intitolato “ Buone pratiche di cybersecurity di base per i dipendenti delle Pubbliche Amministrazioni ”, nasce con l’obiettivo di fornire indicazioni semplici, pratiche e accessibili a tutto il personale, anche a chi non ha competenze tecniche specifiche. Nel 2024, gli attacchi informatici rilevati contro le PA sono stati ben 756. Più della metà di questi sono stati causati da errori umani. Basta questo dato per comprendere che la vulnerabilità non è solo tecnologica, ma comportamentale. Phishing, furti di credenziali, uso scorretto di password deboli, clic su allegati dannosi: tutto ciò può trasformare una distrazione quotidiana in un disastro informatico. Ed è proprio su questo che il Vademecu...

Negli ultimi anni ho imparato a guardare con sospetto tutto ciò che sembra troppo semplice, soprattutto quando si parla di autenticazione e sicurezza degli account. Il phishing è una minaccia costante, ma ciò che mi spaventa davvero non sono tanto i soliti link truffaldini con l’url sbagliato e la grafica raffazzonata, quanto gli attacchi più sofisticati, quelli in grado di bypassare l’autenticazione a più fattori, sfruttando il comportamento umano e la fiducia cieca che spesso riponiamo nei processi automatizzati. Evilginx2 è una delle tecniche che oggi rappresenta una delle minacce più concrete e subdole in questo senso. E non parliamo di teoria, ma di attacchi reali a danno di amministrazioni, aziende e utenti comuni. L’esempio raccontato da Simone Fratus , in cui viene compromesso un account Microsoft 365 protetto da MFA, è solo la punta dell’iceberg. Mi ha fatto riflettere su quanto ancora, nel 2025, la sicurezza sia legata più al livello di consapevolezza che non alla tecnologia....

Negli ultimi anni, la cybersecurity ha vissuto un’accelerazione impressionante non solo sul fronte difensivo, ma soprattutto su quello offensivo. Un’area in particolare continua a sollevare interrogativi, fascino e inquietudine allo stesso tempo: il mercato degli exploit zero-day. Non parlo solo della caccia ai bug nei bug bounty o nei CVE pubblici, ma di quell’ecosistema parallelo, chiuso e silenzioso, dove le vulnerabilità più preziose vengono vendute a peso d’oro prima ancora che vengano rese note. Un mercato dove la trasparenza non è prevista e i clienti non si annunciano. In questo spazio vivono aziende come Crowdfense, Zerodium, NSO Group, Cytrox e altri operatori meno noti ma altrettanto incisivi. Crowdfense, per chi mastica già questo ambiente, è uno dei nomi più rispettati. Ha sede a Dubai, ma è tutto fuorché un semplice broker. È una piattaforma che compra vulnerabilità zero-day su sistemi complessi – parliamo di exploit per iOS, Android, Windows, macOS, router, firmware, br...

L'attacco che ha colpito Microsoft SharePoint nel luglio 2025 rappresenta uno degli episodi più rilevanti dell'anno nel panorama della sicurezza informatica. Come spesso accade, tutto è iniziato nel silenzio: nei primi giorni del mese, alcuni server SharePoint on-premises hanno cominciato a manifestare comportamenti anomali. Solo più tardi si è compreso che si trattava dell'inizio di una campagna di attacchi mirati che avrebbe coinvolto almeno tre gruppi di hacker collegati allo Stato cinese: Linen Typhoon, Violet Typhoon e Storm-2603. Microsoft ha pubblicato una prima comunicazione tecnica l'8 luglio, accompagnata da una patch per due vulnerabilità note, CVE-2025-49704 e CVE-2025-49706, inizialmente ritenute sufficienti. Tuttavia, già dal 7 luglio erano stati osservati exploit attivi contro versioni vulnerabili di SharePoint installate in locale, e nei giorni successivi è emerso che le patch non coprivano nuove varianti dell'attacco che sfruttavano ulteriori falle ...

Secondo me ci vogliono pene più severe per chi ruba segreti industriali e, soprattutto, segreti di Stato. Non è solo una questione di giustizia penale: è una questione di sicurezza nazionale e resilienza strategica. Ed è arrivato il momento di iniziare a trattare certi reati per quello che sono: atti di guerra asimmetrica. Il caso è quello di Yihao Pu, ingegnere 39enne, ex dipendente di una società appaltatrice della difesa statunitense. Ha appena ammesso di aver copiato illegalmente file sensibili contenenti informazioni tecniche riservate su sistemi d’arma americani, tra cui componenti elettronici per il sistema missilistico Patriot (PAC-3). Questi dati sono stati poi trasferiti a un’entità legata al governo cinese, usando dispositivi di archiviazione rimovibili e account personali. Non parliamo di una semplice fuga di dati. Parliamo di un furto controllato di proprietà intellettuale strategica che coinvolge non solo brevetti e schede tecniche, ma anche algoritmi, layout di circuiti,...

 TikTok è tornata nel mirino delle autorità europee, e a questo punto non è più una notizia sorprendente, ma un tassello in un mosaico sempre più chiaro. L’Irlanda ha aperto una nuova indagine formale per chiarire se i dati degli utenti europei siano stati accessibili dalla Cina, nonostante le rassicurazioni ufficiali e i miliardi investiti nel cosiddetto Project Clover, l’infrastruttura di data center pensata per convincerci che tutto resti entro i confini europei. Quello che mi inquieta, più di tutto, è che non stiamo parlando di ipotesi, ma di fatti già ammessi: TikTok ha riconosciuto che l’accesso ai dati europei da parte di personale in Cina è effettivamente avvenuto. Eppure continuiamo a usare quell’app, continuiamo a scorrere video, a regalare dati, espressioni facciali, movimenti, abitudini. È una forma di rassegnazione dolce, mascherata da intrattenimento. Da persona che ha un minimo di rispetto per la coerenza tra ciò che si dichiara e ciò che si fa, trovo difficile rest...

Negli ultimi mesi, il settore dei semiconduttori a Taiwan è stato oggetto di un’intensa attività di cyber‑spionaggio orchestrata da almeno tre gruppi di hacker presumibilmente legati allo stato cinese. Tra marzo e giugno 2025, campagne di spear‑phishing altamente mirate hanno preso di mira non soltanto le aziende coinvolte nella produzione, nel design e nei test di circuiti integrati e semiconduttori, ma anche l’intero ecosistema di fornitori di attrezzature, servizi correlati e persino analisti finanziari specializzati nel mercato dei chip taiwanesi. Questi attacchi hanno dimostrato un’elevata sofisticazione: gli aggressori hanno utilizzato profili contattando risorse umane o dipartimenti di recruiting fingendosi neo‑laureati alla ricerca di opportunità di lavoro. Nei messaggi venivano allegati presunti curriculum in formato PDF che, in realtà, nascondevano file LNK contenenti payload malware. Aprendo il documento, la vittima veniva condotta lungo una catena di attacco multipla che co...

L’operazione internazionale contro il gruppo filorusso Noname057(16), annunciata ieri, segna un passaggio importante nella storia recente della cyber-sicurezza europea. Si parla di cinque mandati d’arresto, centinaia di server smantellati, coordinamento tra Europol, Eurojust e diverse forze di polizia europee. Un evento che, per chi lavora in sicurezza informatica, non rappresenta solo una notizia da condividere, ma un’occasione per fermarsi a riflettere su come stiamo evolvendo come società digitale e come Paese. Il gruppo Noname057(16) non è nuovo alle cronache italiane. Attivo da almeno tre anni, ha costruito la sua reputazione attorno ad attacchi DDoS coordinati su larga scala, rivolti contro enti pubblici, aeroporti, porti, banche, media e infrastrutture critiche. La loro logica è semplice nella forma ma insidiosa nella sostanza: bloccare temporaneamente i servizi, provocare disagio, colpire l’immagine di efficienza e sicurezza di uno Stato. L'Italia è stata bersaglio privileg...

Mi sono ritrovato a leggere articoli come “How China is secretly preparing for cyberwar” e, mano a mano che scorrevano, più mi cresceva la consapevolezza che siamo davanti a qualcosa di ben diverso dai classici scenari da film: non è fantascienza, e non riguarda solo spie e dati rubati, ma infrastrutture critiche, sabotaggi remoti, disinformazione, eserciti digitali pre‑posizionati. Nell’ultimo anno, esperti del Five Eyes e dell’alleanza occidentale hanno suonato l’allarme: la Cina, attraverso gruppi come Volt Typhoon, avrebbe introdotto malware nelle nostre reti essenziali – energia, acqua, trasporti, telecomunicazioni – in modo silenzioso, ma con finalità potenzialmente devastanti. Il loro scopo non è sempre stato immediatamente distruttivo: piuttosto, hanno piantato le fondamenta, quel che in gergo viene definito “living off the land”, cioè usare le infrastrutture esistenti e muoversi senza rumore, così da preparare il terreno allo scontro qualora si alzassero le tensioni . La v...

La notizia è di quelle che accendono subito le discussioni: una corte federale d’appello statunitense ha stabilito che un gruppo di giornalisti salvadoregni potrà procedere legalmente contro NSO Group, l’azienda israeliana produttrice dello spyware Pegasus. L'accusa? Aver facilitato, con la sua tecnologia, violazioni della privacy e attività di sorveglianza ai loro danni. È un precedente importante, che apre la strada a possibili contenziosi internazionali tra individui (o gruppi) e le società che sviluppano strumenti di spionaggio per governi. Ed è anche, inevitabilmente, l’ennesima occasione per demonizzare chi lavora nel settore dello spyware e della cyber intelligence. Ma io, in tutta onestà, non riesco proprio a schierarmi con questo tipo di indignazione. Non riesco a vedere NSO Group come il “cattivo” della storia. Anzi. Non c’è niente di più comodo, oggi, che schierarsi contro lo spyware. È il nuovo nemico perfetto: invisibile, invasivo, difficile da capire, apparentemente f...

Il gruppo hacker filo-iraniano noto come Handala, conosciuto anche con altri alias come Banished Kitten o Hanzala, ha rivendicato la completa violazione dei sistemi di Iran International, emittente con sede a Londra che trasmette in lingua persiana contenuti fortemente critici nei confronti della Repubblica Islamica, e secondo diverse fonti tra cui Kurdistan24, ISNA e altre testate indipendenti e governative, sarebbe riuscito ad accedere non solo ai server e all’infrastruttura tecnica dell’organizzazione ma anche a dati estremamente sensibili come le informazioni personali di oltre 71.000 contatti che utilizzavano il canale "Secure Line" per comunicazioni riservate con i giornalisti, comprese fonti anonime all’interno dell’Iran, oltre a documentazione finanziaria interna e alla posta elettronica privata di numerosi dipendenti, un'operazione che, se confermata nei dettagli, rappresenta un punto di svolta per la guerra informatica condotta a colpi di malware, intimidazioni ...

Il 3 luglio scorso le autorità italiane hanno arrestato all’aeroporto di Milano Malpensa un cittadino cinese di 33 anni, Xu Zewei, ricercato dagli Stati Uniti per una lunga serie di reati informatici legati ad attività di cyber-spionaggio. Xu sarebbe, secondo le accuse americane, coinvolto in una campagna condotta dal gruppo APT noto come Silk Typhoon (noto in passato anche come Hafnium), ritenuto affiliato allo Stato cinese. Questo gruppo è già noto da anni per aver preso di mira obiettivi sensibili in ambito sanitario, governativo e accademico, con operazioni che includono il furto di proprietà intellettuale e di informazioni classificate. La notizia è stata confermata da diverse fonti attendibili, tra cui il Dipartimento di Giustizia degli Stati Uniti, l’agenzia stampa ANSA e testate specializzate come BleepingComputer e Decode39. Secondo l’atto d’accusa, tra il 2020 e il 2021 Xu avrebbe partecipato a una campagna di intrusione su larga scala che ha colpito istituzioni accademiche s...

Negli ultimi giorni il collettivo TAG 140 – ritenuto un sottogruppo di SideCopy/Transparent Tribe, tradizionalmente associato a influenze pakistane – ha lanciato una nuova campagna di cyber‑spionaggio rivolta contro strutture critiche indiane, inclusi ministeri, difesa, ferrovie e infrastrutture energetiche, sfruttando un RAT evoluto denominato DRAT V2. L’attacco nasce da un inganno social engineering: i target vengono reindirizzati verso un portale fasullo che imita quello del Ministero della Difesa indiano. Un unico link “attivo” – contenente un comando malevolo – viene copiato sugli appunti del sistema vittima, con l’istruzione di incollarlo in un terminale. Questo provoca il download ed esecuzione di un file HTA tramite mshta.exe, che attiva un loader denominato BroaderAspect. Quest’ultimo crea persistenza, estrae un PDF di copertura e installa il payload principale, cioè DRAT V2. Rispetto alla versione .NET precedente, la nuova variante compilata in Delphi porta diverse novità: Un...

AEZA Group. Nome magari poco noto a chi non bazzica nel lato oscuro della rete, ma familiare a chi si occupa davvero di infrastrutture abusive. Gli Stati Uniti l’hanno inserito tra gli obiettivi di sanzioni per aver fornito servizi di hosting “bulletproof” a gruppi criminali e APT, molti dei quali legati alla Russia. Non è una novità. La Russia continua a coltivare un certo ecosistema tollerante, se non complice, nei confronti delle cyber-operazioni ibride: criminali che agiscono per profitto, ma in ambienti protetti, con la connivenza di provider che non chiedono nulla e non rispondono a nessuno. Un modello già visto: Ecatel nei primi anni 2000 permetteva DDoS, phishing e spam come se nulla fosse. Basta pagare. Stop. AEZA si inserisce nella stessa scia. L’OFAC (Office of Foreign Assets Control) ha collegato il gruppo a Kelvin Security, LockBit, e persino ad attività di ransomware-as-a-service. Non parliamo quindi solo di criminalità opportunistica, ma di operazioni strutturate, organi...

È il primo sabato di luglio caldo, quello che sfianca. Non so cosa facciano gli altri sotto il condizionatore, ma io leggo. E mi ritrovo con due articoli su The Hacker News che sanno tanto di deja-vu quanto di tragedia annunciata: da un lato, l’intelligence taiwanese che lancia un allarme pubblico su minacce informatiche in aumento e furti di dati ormai diventati cronaca ordinaria; dall’altro, l’eterno problema delle interfacce JDWP esposte che tornano protagoniste, ancora una volta, ancora nel 2025. Nel primo caso, il National Security Bureau di Taiwan segnala che la Cina sta raffinando l’arte della persuasione digitale, sfruttando fughe di dati da aziende locali per costruire profili comportamentali e orchestrare campagne di influenza. Non è solo spionaggio: è guerra fredda connessa, distribuita, e sempre più invisibile. La parte che brucia? Non è tanto la notizia in sé, ma il fatto che il pubblico venga avvisato solo ora, quando probabilmente la rete è già tutta compromessa. E non è...

Non servono razzi o droni per paralizzare un paese. Basta un router lasciato con la password di fabbrica. L’ultima indagine condotta dalla startup israeliana malanta.ai parla chiaro: 3.476 dispositivi compromessi, sparsi in 98 organizzazioni israeliane, molti dei quali attivi da oltre 5 anni senza alcun aggiornamento. Non stiamo parlando di target secondari. Tra i bersagli ci sono banche, centrali elettriche, università, enti pubblici, fornitori di telecomunicazioni, tutti collegati a internet con apparati critici come router, firewall, NAS e gateway industriali. In almeno 600 casi, i dispositivi erano accessibili pubblicamente con software obsoleto o credenziali predefinite: in pratica, porte spalancate. La superficialità nella gestione di questi sistemi fa impressione. Un numero rilevante di apparati era ancora in funzione con firmware vulnerabili, senza patch e con configurazioni di default. Un attaccante non ha bisogno di uno zero-day per entrare: basta un motore di scansione e un ...

Ho appena letto un report di Reuters – e sì, la notizia è confermata e tombale – che vale un approfondimento. Un collettivo di hacker presumibilmente legato all’Iran, che si fa chiamare “Robert”, ha detto di essere in possesso e pronto a vendere circa 100 GB di email trafugate da ex collaboratori di Donald Trump: Susie Wiles (capo di gabinetto), Lindsey Halligan (avvocata), Roger Stone (consigliere politico) e perfino Stormy Daniels. Il gruppo aveva già fatto trapelare materiale simile a fine 2024, senza però influenzare davvero gli esiti elettorali. Negli scambi con Reuters, “Robert” ha lanciato l’ennesima minaccia: “abbiamo intenzione di organizzare la vendita di queste email e vogliamo che sia Reuters a trasmettere la notizia”, hanno detto . Un tentativo palese di cyber‑propaganda orchestrata a freddo. Le autorità statunitensi – FBI e DOJ – e l’agenzia CISA definiscono il tutto un’“operazione diffamatoria mirata”, un tentativo fatto con cura per destabilizzare, dividere e minare la ...