redmount.xyz

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...

Nel cuore della conferenza DEF CON 2025 di Las Vegas nasce un’iniziativa che unisce etica hacker, urgenza nazionale e difesa delle infrastrutture critiche. Un gruppo di volontari composto da professionisti della cybersecurity, esperti di sistemi OT, ricercatori universitari, attivisti digitali e membri della community si sta organizzando per offrire supporto diretto e gratuito alle piccole utenze idriche statunitensi. Si tratta di realtà spesso trascurate dai finanziamenti pubblici, prive di risorse per proteggere i propri impianti da attacchi informatici sempre più frequenti. Il progetto, battezzato DEF CON Franklin, nasce come risposta concreta alla recente escalation di offensive cyber contro municipi e impianti rurali. Molti degli attacchi sono stati attribuiti a gruppi APT come i CyberAv3ngers, già noti per sabotaggi contro infrastrutture idriche in Israele e negli Stati Uniti. L’iniziativa prevede un’azione sinergica tra la comunità hacker e organizzazioni come la National Rural ...

Da tempo ormai i gruppi ransomware evolvono le loro tattiche oltre al semplice cifraggio dei file, ma l’attacco del cosiddetto Akira ransomware rappresenta un salto di qualità in termini di elusione della difesa: il malware, infatti, abusa di un driver legittimo di Intel, quello usato da ThrottleStop (rwdrv.sys), per elevarsi a livello kernel e poi installare un secondo driver malevolo (hlpdrv.sys), che modifica la chiave di registro DisableAntiSpyware di Windows Defender tramite regedit.exe, disattivando ogni protezione senza alcun avviso. Ma cosa fa concretamente oltre a spegnere Defender? Questa azione è solo l’inizio di un attacco orchestrato: in diversi incidenti legati ad Akira, rilevati da GuidePoint Security a partire dal 15 luglio 2025, si evidenzia un vero e proprio percorso criminale. Innanzitutto, gli attaccanti ottengono l’accesso sfruttando potenzialmente vulnerabilità zero‑day in dispositivi SonicWall SSL‑VPN o metodologie di credential stuffing, brute force o phishing m...

Nel corso del conflitto informatico in corso tra Ucraina e attori antagonisti statali, il gruppo noto come UAC‑0099 è tornato alla ribalta con una campagna di cyber‑spionaggio aggiornata e ampliata che vede le sue vittime principali costituite da enti governativi ucraini, organizzazioni di difesa, media ed aziende collegate al complesso industriale della difesa, con attacchi mirati realizzati mediante email di phishing sofisticate che sorprendono l’utente attraverso l’uso di lenti accorgimenti come link abbreviati o archivi doppi (double‑zip) contenenti file HTA o shortcut LNK con estensioni camuffate per ingannare l’esecuzione. Secondo CERT‑UA, l’allerta rilasciata il 6 agosto 2025 descrive un’operazione in cui le email inviate da indirizzi tipo ukr.net reclamano una "convocazione in tribunale" e contengono un link abbreviato (tipicamente tramite Cuttly) che punta a un archivio estratto due volte contenente un file HTA; l’user apre il file HTA, che contiene un VBScript offus...

Nel corso del 2025, gli SVG stanno rapidamente diventando uno dei formati più sfruttati per veicolare attacchi di phishing e malware in modo furtivo e sempre più sofisticato. Tradizionalmente percepiti come semplici immagini vettoriali, gli SVG — in quanto basati su XML — possono contenere script, redirect, codice JavaScript e collegamenti dinamici, sfruttando le stesse capacità che li rendono potenti strumenti di grafica. È proprio questa flessibilità a renderli oggi una vera e propria tela per l’attaccante. I gruppi criminali informatici hanno iniziato a includere allegati .svg nei messaggi email al fine di eludere i controlli antispam tradizionali. Il contenuto di questi file viene spesso offuscato usando encoding Base64 o rappresentazioni esadecimali, combinati con tecniche di evasione DOM come MutationObserver, setTimeout, eval e document.write. Alcuni SVG si presentano all’apparenza come semplici loghi o icone, ma una volta aperti nel browser — anche con un clic accidentale da we...

Quando parliamo di attacchi informatici a infrastrutture critiche, spesso li immaginiamo in un futuro distopico o nei racconti sensazionalistici dei telegiornali. Ma quello che è successo ad Aeroflot il 28 luglio 2025 non è fiction, è cronaca. Ed è un caso che va letto riga per riga, perché fotografa alla perfezione la vulnerabilità di un’intera nazione – e non solo – quando tecnologia, arroganza e guerra si intrecciano. Due gruppi, Silent Crow e Cyber Partisans BY, hanno rivendicato l’azione. Non due nomi usciti dal nulla, ma due entità note per operazioni ben pianificate in ambito cyber contro obiettivi russi, spesso legati alla macchina statale o militare. La ricostruzione che propongono è dettagliata, quasi chirurgica. Parlano di accesso ottenuto oltre un anno fa, mantenuto silenziosamente per mesi. Nessun ransomware, nessuna estorsione: solo penetrazione silenziosa, osservazione, raccolta, e poi distruzione sistematica. Hanno avuto tempo. Tempo per capire come era strutturata la r...

L'attacco che ha colpito Microsoft SharePoint nel luglio 2025 rappresenta uno degli episodi più rilevanti dell'anno nel panorama della sicurezza informatica. Come spesso accade, tutto è iniziato nel silenzio: nei primi giorni del mese, alcuni server SharePoint on-premises hanno cominciato a manifestare comportamenti anomali. Solo più tardi si è compreso che si trattava dell'inizio di una campagna di attacchi mirati che avrebbe coinvolto almeno tre gruppi di hacker collegati allo Stato cinese: Linen Typhoon, Violet Typhoon e Storm-2603. Microsoft ha pubblicato una prima comunicazione tecnica l'8 luglio, accompagnata da una patch per due vulnerabilità note, CVE-2025-49704 e CVE-2025-49706, inizialmente ritenute sufficienti. Tuttavia, già dal 7 luglio erano stati osservati exploit attivi contro versioni vulnerabili di SharePoint installate in locale, e nei giorni successivi è emerso che le patch non coprivano nuove varianti dell'attacco che sfruttavano ulteriori falle ...

Negli anni Novanta, un gruppo di giovani entusiasti cinesi, autodidatti di hackeraggio, si è aggregato in una comunità chiamata “Honkers” – dall’unione di hong (rosso, patria) e heike (hacker). All’inizio erano motivati da un senso di orgoglio patriottico, reagendo a torti reali o percepiti nei confronti della Cina: deface di siti giapponesi, DDoS contro Taipei o organizzazioni nordamericane. Non erano sofisticati, ma il sentimento era condiviso e potente. Col passare del tempo, quei “giovani eroi del web” attirarono l’attenzione delle istituzioni statali. La storia di Tan Dailin, noto come Wicked Rose, racconta il passaggio netto da autodidatta idealista a hacker reclutato dal PLA e dal Ministry of State Security (MSS). Dopo aver vinto competizioni, frequentato campi di addestramento e progettato rootkit e exploit, Tan passò alle missioni sponsorizzate dallo Stato – fino ad essere poi incriminato negli U.S.A. per le attività di APT 41, gruppo ormai legato a operazioni di cyber-espiona...

Negli ultimi mesi, il settore dei semiconduttori a Taiwan è stato oggetto di un’intensa attività di cyber‑spionaggio orchestrata da almeno tre gruppi di hacker presumibilmente legati allo stato cinese. Tra marzo e giugno 2025, campagne di spear‑phishing altamente mirate hanno preso di mira non soltanto le aziende coinvolte nella produzione, nel design e nei test di circuiti integrati e semiconduttori, ma anche l’intero ecosistema di fornitori di attrezzature, servizi correlati e persino analisti finanziari specializzati nel mercato dei chip taiwanesi. Questi attacchi hanno dimostrato un’elevata sofisticazione: gli aggressori hanno utilizzato profili contattando risorse umane o dipartimenti di recruiting fingendosi neo‑laureati alla ricerca di opportunità di lavoro. Nei messaggi venivano allegati presunti curriculum in formato PDF che, in realtà, nascondevano file LNK contenenti payload malware. Aprendo il documento, la vittima veniva condotta lungo una catena di attacco multipla che co...

L’operazione internazionale contro il gruppo filorusso Noname057(16), annunciata ieri, segna un passaggio importante nella storia recente della cyber-sicurezza europea. Si parla di cinque mandati d’arresto, centinaia di server smantellati, coordinamento tra Europol, Eurojust e diverse forze di polizia europee. Un evento che, per chi lavora in sicurezza informatica, non rappresenta solo una notizia da condividere, ma un’occasione per fermarsi a riflettere su come stiamo evolvendo come società digitale e come Paese. Il gruppo Noname057(16) non è nuovo alle cronache italiane. Attivo da almeno tre anni, ha costruito la sua reputazione attorno ad attacchi DDoS coordinati su larga scala, rivolti contro enti pubblici, aeroporti, porti, banche, media e infrastrutture critiche. La loro logica è semplice nella forma ma insidiosa nella sostanza: bloccare temporaneamente i servizi, provocare disagio, colpire l’immagine di efficienza e sicurezza di uno Stato. L'Italia è stata bersaglio privileg...

L’Operazione ELICIUS, nota anche come smantellamento della gang “Diskstation”, è stata condotta dalla Polizia Postale di Milano con il supporto di Europol e la collaborazione delle forze di polizia rumene e francesi. L’indagine ha preso avvio dalle segnalazioni di aziende italiane e onlus vittime di attacchi ransomware mirati, in cui i criminali cifravano sistemi e dati e richiedevano riscatti in criptovalute. Gli hacker utilizzavano payload ransomware per cifrare file critici sui server aziendali, interrompendo ogni attività fino al pagamento richiesto. Dietro questi attacchi si celava un’infrastruttura avanzata: reti di comando e controllo distribuite, server in Romania (e migrati in alternativa su VPN/relay in Francia e altri paesi) e canali comunicativi criptati . Il gruppo impiegava tecniche OSINT per selezionare obiettivi vulnerabili, avviando campagne di phishing mirato e sfruttando falle note o credenziali rubate. Dopo l’accesso iniziale, installavano ransomware e strumenti di ...

Il gruppo hacker filo-iraniano noto come Handala, conosciuto anche con altri alias come Banished Kitten o Hanzala, ha rivendicato la completa violazione dei sistemi di Iran International, emittente con sede a Londra che trasmette in lingua persiana contenuti fortemente critici nei confronti della Repubblica Islamica, e secondo diverse fonti tra cui Kurdistan24, ISNA e altre testate indipendenti e governative, sarebbe riuscito ad accedere non solo ai server e all’infrastruttura tecnica dell’organizzazione ma anche a dati estremamente sensibili come le informazioni personali di oltre 71.000 contatti che utilizzavano il canale "Secure Line" per comunicazioni riservate con i giornalisti, comprese fonti anonime all’interno dell’Iran, oltre a documentazione finanziaria interna e alla posta elettronica privata di numerosi dipendenti, un'operazione che, se confermata nei dettagli, rappresenta un punto di svolta per la guerra informatica condotta a colpi di malware, intimidazioni ...

Il 3 luglio scorso le autorità italiane hanno arrestato all’aeroporto di Milano Malpensa un cittadino cinese di 33 anni, Xu Zewei, ricercato dagli Stati Uniti per una lunga serie di reati informatici legati ad attività di cyber-spionaggio. Xu sarebbe, secondo le accuse americane, coinvolto in una campagna condotta dal gruppo APT noto come Silk Typhoon (noto in passato anche come Hafnium), ritenuto affiliato allo Stato cinese. Questo gruppo è già noto da anni per aver preso di mira obiettivi sensibili in ambito sanitario, governativo e accademico, con operazioni che includono il furto di proprietà intellettuale e di informazioni classificate. La notizia è stata confermata da diverse fonti attendibili, tra cui il Dipartimento di Giustizia degli Stati Uniti, l’agenzia stampa ANSA e testate specializzate come BleepingComputer e Decode39. Secondo l’atto d’accusa, tra il 2020 e il 2021 Xu avrebbe partecipato a una campagna di intrusione su larga scala che ha colpito istituzioni accademiche s...

Negli ultimi giorni il collettivo TAG 140 – ritenuto un sottogruppo di SideCopy/Transparent Tribe, tradizionalmente associato a influenze pakistane – ha lanciato una nuova campagna di cyber‑spionaggio rivolta contro strutture critiche indiane, inclusi ministeri, difesa, ferrovie e infrastrutture energetiche, sfruttando un RAT evoluto denominato DRAT V2. L’attacco nasce da un inganno social engineering: i target vengono reindirizzati verso un portale fasullo che imita quello del Ministero della Difesa indiano. Un unico link “attivo” – contenente un comando malevolo – viene copiato sugli appunti del sistema vittima, con l’istruzione di incollarlo in un terminale. Questo provoca il download ed esecuzione di un file HTA tramite mshta.exe, che attiva un loader denominato BroaderAspect. Quest’ultimo crea persistenza, estrae un PDF di copertura e installa il payload principale, cioè DRAT V2. Rispetto alla versione .NET precedente, la nuova variante compilata in Delphi porta diverse novità: Un...

Chi segue le minacce informatiche da qualche anno sa bene che il mondo del ransomware non è solo una guerra di cifrature, esfiltrazioni e riscatti in criptovalute: è anche un palcoscenico, spesso ridicolo, in cui bande criminali tentano goffamente di costruirsi un’identità, un brand, una reputazione, come se stessimo parlando di startup di provincia con logo fatto su Canva e presentazione su Notion. La vicenda di Hunters International che si chiude con un “rebrand” altrettanto improvvisato in World_Leaks è, a mio avviso, uno di quegli episodi da incorniciare nella bacheca delle cyber-fuffe più imbarazzanti dell’anno. Tanto per mettere ordine nel teatrino: Hunters International nasce già con l’odore di patchwork riciclato, ereditando codice (e forse affiliati) dai fu-contadini digitali di Hive—ricorderete, se seguite la scena, che Hive fu smantellata dall’FBI e soci nel 2023 con un’operazione spettacolare, uno dei pochi momenti in cui il cybercrime ha davvero subito un colpo serio. Hunt...

Il gruppo di criminali informatici noto come Scattered Spider ha ripreso a colpire, questa volta mirando a compagnie aeree e fornitori di servizi tecnologici collegati al settore dell’aviazione. L’FBI ha emesso un'allerta formale. Il gruppo è già noto per attacchi ad alto impatto nel 2023 contro MGM Resorts e Caesars Entertainment. I loro attacchi si basano su un’evoluzione sofisticata del social engineering. Fingendosi dipendenti legittimi, i membri del gruppo contattano l’helpdesk IT delle aziende vittime. Puntano a ottenere l’aggiunta di nuovi dispositivi di autenticazione multifattore (MFA) o il reset delle credenziali di accesso. In alcuni casi riescono a convincere gli operatori a disabilitare temporaneamente l’MFA. Tutto questo avviene senza l’utilizzo di malware tradizionale. La tecnica di base è il cosiddetto "MFA fatigue", ma potenziata da pretexting convincente e spoofing di chiamate. Utilizzano dati precedentemente sottratti da altre intrusioni o acquistati ne...

Negli ultimi giorni il collettivo hackers autodenominatosi Predatory Sparrow (in persiano Gonjeshke Darande) ha rivendicato di aver paralizzato la Bank Sepah, la più grande banca statale dell’Iran, collegata ai Guardiani della Rivoluzione (IRGC) e gravemente sanzionata dagli USA per il suo ruolo nel finanziare programmi bellici. Secondo diverse fonti, il sito della banca è offline, gli sportelli ATM non funzionano e le transazioni sono bloccate. Disruption che si estende anche alle stazioni di servizio, dove molte pompe non riescono a processare pagamenti perché connesse a Bank Sepah. A rendere il tutto ancora più significativo, poche ore fa Nobitex, il principale exchange di criptovalute in Iran, ha confermato di essere stato vittima di un grave attacco informatico: oltre 48 milioni di dollari in asset digitali sono stati sottratti, principalmente Tether (USDT) sulla rete Tron. L’exchange rappresentava una delle poche vie alternative al sistema bancario ufficiale iraniano, spesso usat...

Negli ultimi giorni, il conflitto tra Israele e Iran ha oltrepassato il piano militare e politico, invadendo apertamente anche il cyberspazio. Dopo il bombardamento israeliano su obiettivi nucleari in Iran, il gruppo di hacktivisti pro-Palestinesi noto come Handala ha rivendicato una serie di attacchi informatici contro infrastrutture e organizzazioni israeliane. Li avevamo già visti in azione qualche mese fa, poi sembravano spariti. Adesso sono tornati, e lo hanno fatto con un messaggio chiaro: vendetta e visibilità. Quando si parla di cyberwar, è facile pensare subito agli stati e ai servizi segreti. Ma in realtà, dietro gran parte di questi attacchi ci sono gruppi ideologici, che si muovono fra attivismo politico, vandalismo digitale e operazioni semi-organizzate di disturbo. Handala, ad esempio, ha lanciato attacchi DDoS e sostenuto di aver trafugato dati sensibili, e anche se la portata effettiva non è sempre verificabile, la narrativa che si costruisce attorno a questi eventi pu...

Dall'inizio dell'invasione russa dell'Ucraina nel 2022, il cyberspazio è diventato un campo di battaglia cruciale. Tra i protagonisti di questa guerra cibernetica emergono i "Black Owl", un gruppo di hacker affiliato alla Direzione Principale dell'Intelligence del Ministero della Difesa ucraino (HUR). Le loro operazioni hanno inflitto danni significativi alle infrastrutture militari e logistiche russe. Nel settembre 2024, i Black Owl hanno colpito siti web russi legati alla logistica militare, come "okrug.ru" e "vashhotel.ru", accedendo a dati sensibili sul movimento delle truppe. Hanno lasciato come firma l'immagine di un gufo sopra un teschio trafitto, simbolo ricorrente delle loro incursioni. Non operano da soli: collaborano con altri gruppi pro-Ucraina, come il "VO Team", e insieme hanno preso di mira oltre 800 server russi, incluse istituzioni finanziarie come Alfa Bank e Rostelecom. A febbraio 2024, hanno violato anche i...

Nel panorama della cybercriminalità globale, pochi nomi evocano tanto timore quanto LockBit. Questo gruppo di hacker di origine russa, attivo dal 2019, ha costruito un vero e proprio impero criminale su base ransomware-as-a-service (RaaS), mettendo in ginocchio oltre 2.000 organizzazioni in tutto il mondo. Il loro modello operativo è simile a quello di un'azienda: forniscono malware, pannelli di controllo e strumenti per la contrattazione dei riscatti agli affiliati, in cambio di una quota su ogni pagamento ricevuto. I guadagni stimati superano i 120 milioni di dollari, rendendo LockBit una delle minacce informatiche più aggressive degli ultimi anni. Negli ultimi mesi, la Svizzera è finita nel mirino del gruppo. Diverse aziende elvetiche sono state colpite da attacchi ransomware che hanno paralizzato sistemi, rubato dati sensibili e richiesto riscatti per un totale stimato di oltre 2,3 milioni di franchi svizzeri. I file sottratti non erano semplici elenchi di clienti o documenti ...