Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
English Spanish
Cerca
Banner Desktop
320×100

Tag: CTI

Falso leak Pegasus: nessun codice NSO, solo RAT e propaganda

Pietro Melillo 07/07/2025

Il 1 luglio 2025 il canale Telegram “APT IRGC” ha pubblicato l’archivio Pegasus-prv.zip (390 MB) rivendicando una fuga di materiale sullo spyware Pegasus di NSO Group. APT IRGC (Advanced Persistent Threat – Islamic Revolutionary Guard Corps) è un acronimo per identificare gruppi di cyber-spionaggio legati all’Iran, ritenuti affiliati o controllati direttamente dal Corpo delle Guardie Rivoluzionarie Islamiche (IRGC). Questi gruppi operano principalmente con finalità politiche, militari e di sorveglianza interna/esterna, e sono responsabili di campagne offensive contro infrastrutture critiche, oppositori politici, e governi stranieri. Nota: Il nome “APT IRGC” non si riferisce a un singolo gruppo tecnico ma a una famiglia di

Ha 13 anni e ha hackerato Microsoft Teams! La storia di Dylan, uno tra i più giovani bug hunter

Redazione RHC 06/07/2025

A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza possano avere un impatto concreto, anche in uno dei settori più tecnici e competitivi. La sua passione per l’informatica è nata da bambino, quando ha iniziato a programmare con Scratch. Ben presto ha ampliato le sue competenze con HTML e altri linguaggi, arrivando già in quinta elementare ad analizzare il codice delle piattaforme scolastiche. Uno dei suoi primi “incidenti” — aggirare un sistema per sbloccare giochi educativi — si è rivelato l’inizio di

Truffe e Schiavitù Digitali: La Cambogia è la Capitale Mondiale della Frode Online

Redazione RHC 05/07/2025

Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della criminalità, con decine di centri di frode online ancora operativi nonostante le promesse pubbliche delle autorità di tenere sotto controllo il problema. Come mostrano i dati, nel Paese continuano a operare almeno 53 grandi complessi, dove vengono svolte attività fraudolente, principalmente legate a criptovalute e schemi di investimento. Oltre a questi, gli esperti hanno individuato altri 45 oggetti sospetti, dotati di sistemi di sicurezza, telecamere di sorveglianza e recinzioni di filo

DarkForums prende il controllo del canale Telegram “The Jacuzzi” gestito da BreachForums

Pietro Melillo 04/07/2025

Il panorama underground dei forum cybercriminali continua a evolversi e sta cambiando. Con un annuncio ufficiale pubblicato il 25 giugno 2025 sia su Telegram sia all’interno del forum DarkForums, l’utente Knox – attuale amministratore e figura apicale della piattaforma – ha comunicato il passaggio di controllo del canale Telegram “The Jacuzzi”, noto anche come baphchat, sotto l’egida di DarkForums. Questa mossa rappresenta l’ennesimo tassello nella lenta ma inesorabile disgregazione dell’ecosistema lasciato vacante da BreachForums, a seguito degli eventi legali che ne hanno segnato la chiusura nel 2023 e la successiva instabilità nel 2024. Il canale “The Jacuzzi” era stato originariamente concepito come

LightPerlGirl: Il Malware Invisibile che Sfugge agli Antivirus e Si Attiva con un Click

Redazione RHC 03/07/2025

Un nuovo malware chiamato LightPerlGirl ha attirato l’attenzione degli esperti di sicurezza informatica per il suo insolito e pericoloso schema di penetrazione dei dispositivi. L’attacco si basa sulla tecnica ClickFix : una finta finestra pop-up CAPTCHA che avvia una complessa sequenza di azioni utilizzando PowerShell e metodi che consentono al codice dannoso di nascondersi completamente dalle soluzioni di sicurezza. Il nome del malware trae ispirazione dalla riga interna del copyright: “Copyright (c) LightPerlGirl 2025“. La campagna di distribuzione del malware è stata notata per la prima volta dai ricercatori di Todyl dopo aver rilevato script PowerShell anomali su un dispositivo client. Questo è diventato il punto

Due varianti di WormGPT usano le API di Grok e Mixtral per produrre malware, phishing e truffe di ogni tipo

Redazione RHC 01/07/2025

Due nuove varianti di WormGPT, un modello linguistico dannoso, sono state scoperte e analizzate nel 2025. Queste versioni sono basate sui modelli Grok e Mixtral e sono in grado di generare contenuti malevoli come email di phishing, truffe BEC e script malware senza alcuna restrizione. Sono state pubblicate sul forum criminale BreachForums tra ottobre 2024 e febbraio 2025. CATO Networks ha confermato l’autenticità delle due nuove versioni, create dagli utenti xzin0vich e Keanu. Entrambe le varianti sono accessibili tramite Telegram e offrono modalità di utilizzo su abbonamento o con pagamento una tantum. A differenza della prima versione di WormGPT basata su GPT-J,

Ransomware in Africa: 50.000 attacchi ransomware in un anno! Sudafrica ed Egitto in testa

Redazione RHC 30/06/2025

Secondo quanto riportato da Security Insider il 28 giugno, l’Interpol ha pubblicato di recente l’”Africa Cyber ​​Threat Assessment Report 2025″, che mostra come la percentuale di crimini informatici commessi in Africa sul totale dei crimini continui ad aumentare. Due terzi degli Stati membri africani intervistati hanno dichiarato che la criminalità informatica rappresenta una percentuale medio-alta di tutti i reati, raggiungendo il 30% nell’Africa occidentale e orientale. Le frodi online, in particolare gli attacchi di phishing, rappresentano il tipo di reato informatico più frequentemente segnalato in Africa, mentre restano diffusi anche il ransomware, la compromissione delle e-mail aziendali e la sextortion digitale. Neal

Cyberattack in Norvegia: apertura forzata della diga evidenzia la vulnerabilità dei sistemi OT/SCADA

Luca Stivali 30/06/2025

Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportato solo di recente da Hackread, ha riacceso i riflettori sulla fragilità dei sistemi OT (Operational Technology), un ambito critico ma ancora troppo spesso trascurato nella cybersecurity moderna. Secondo le prime ricostruzioni, ignoti attori sono riusciti a violare il sistema di controllo della diga forzando l’apertura di una valvola di scarico per quasi tre ore, causando un flusso d’acqua incontrollato. La polizia norvegese ha confermato la natura deliberata dell’azione, scartando fin da subito

In vendita sul dark web l’accesso a una web agency italiana: compromessi oltre 20 siti WordPress

Luca Stivali 27/06/2025

Un nuovo annuncio pubblicato sulla piattaforma underground XSS.is rivela la presunta vendita di un accesso compromesso ai server di una web agency italiana ad alto fatturato. A offrire l’accesso è l’utente hackutron, attivo dal settembre 2023 e già noto nei circuiti dell’underground cybercrime. Secondo quanto dichiarato dall’attore, l’accesso alla vittima avverrebbe tramite una WebShell attiva su un sistema Windows, protetto unicamente da Windows Defender. Il prezzo richiesto è di 300 dollari, una cifra relativamente bassa rispetto al valore del target dichiarato. Nel dettaglio, l’annuncio riporta: L’obiettivo dichiarato sembra essere una agenzia web che gestisce più ambienti WordPress per clienti terzi. In uno dei messaggi si legge: “Web Agency che ospita oltre

Meta conferma: lo spyware Paragon ha sfruttato una falla nei font per infettare i dispositivi

Redazione RHC 26/06/2025

Meta ha ufficialmente confermato la connessione tra una vulnerabilità recentemente scoperta nella libreria FreeType e lo sviluppatore di spyware israeliano Paragon. La vulnerabilità in questione è il CVE-2025-27363, che colpisce una libreria molto utilizzata dagli sviluppatori per lavorare con testo e font. La vulnerabilità consente l’esecuzione di codice arbitrario sul dispositivo della vittima ed era inizialmente considerata potenzialmente sfruttabile in attacchi reali. A marzo, Meta ha pubblicato un avviso relativo a CVE-2025-27363 sulla sua pagina Facebook dedicata agli avvisi di sicurezza. L’avviso segnalava che la vulnerabilità riguardava la libreria FreeType versione 2.13.0 e precedenti. Il problema risiede nella gestione errata delle strutture dei sottoglifi dei font

Categorie