Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
2nd Edition GlitchZone RHC 970x120 2
320x100 Itcentric

Tag: threat intelligence

SoopSocks: il pacchetto PyPI che sembrava un proxy ma era una backdoor per Windows

Antonio Piazzolla 04/10/2025

La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stiamo parlando del solito script improvvisato; dietro SoopSocks c’è una catena di azioni pensata per ottenere persistenza, ridurre il rumore e stabilire un canale di comando/controllo stabile. Il pacchetto è stato pubblicato su PyPI (Python Package Index), il registro ufficiale dei pacchetti Python. Il pacchetto ingannevole, denominato “soopsocks“, ha totalizzato 2.653 download  prima di essere rimosso. È stato caricato per la prima volta da un utente di nome “soodalpie” il 26 settembre 2025,

Falso installer di Microsoft Teams! Certificati usa-e-getta e una backdoor nel download

Antonio Piazzolla 29/09/2025

Negli ultimi giorni è stata individuata una campagna di malvertising che ha come bersaglio gli utenti aziendali che cercano di scaricare Microsoft Teams. A prima vista, l’attacco sembra banale: un annuncio sponsorizzato porta a una pagina di download, l’utente scarica un file chiamato MSTeamsSetup.exe e lo avvia. Ma i dettagli fanno la differenza, e sono proprio questi dettagli che rendono l’operazione tanto insidiosa. Il file non è un normale eseguibile malevolo, è firmato digitalmente. Per molti, questo è sinonimo di affidabilità. In realtà, gli attaccanti hanno trovato un modo per sfruttare la fiducia nella firma digitale a proprio vantaggio: utilizzano certificati “usa-e-getta”,

CrowdStrike e Meta lanciano CyberSOCEval per valutare l’IA nella sicurezza informatica

Redazione RHC 15/09/2025

CrowdStrike ha presentato oggi, in collaborazione con Meta, una nuova suite di benchmark – CyberSOCEval – per valutare le prestazioni dei sistemi di intelligenza artificiale nelle operazioni di sicurezza reali. Basata sul framework CyberSecEval di Meta e sulla competenza leader di CrowdStrike in materia di threat intelligence e dati di intelligenza artificiale per la sicurezza informatica, questa suite di benchmark open source contribuisce a stabilire un nuovo framework per testare, selezionare e sfruttare i modelli linguistici di grandi dimensioni (LLM) nel Security Operations Center (SOC). I difensori informatici si trovano ad affrontare una sfida enorme a causa dell’afflusso di avvisi di sicurezza

Telegram come piattaforma di Command & Control per attività criminali e il ruolo della Threat Intelligence

Redazione RHC 08/09/2025

Nel panorama odierno della sicurezza informatica, una delle tendenze più preoccupanti è l’abuso di piattaforme di messaggistica legittime per scopi malevoli. In particolare, Telegram è sempre più sfruttata da gruppi criminali come infrastruttura di Command & Control (C2), ovvero un sistema centralizzato per gestire attacchi informatici, ricevere dati rubati e coordinare operazioni illecite. Questo fenomeno rappresenta una sfida significativa per le aziende, poiché l’uso di servizi legittimi rende più difficile rilevare e bloccare tali attività. Gli attaccanti sfruttano le API pubbliche di Telegram per creare bot automatizzati in grado di ricevere comandi e trasmettere dati rubati. Il processo tipico prevede una prima

SOC gestito: una scelta strategica per la sicurezza informatica aziendale

Redazione RHC 01/09/2025

Negli ultimi anni, le aziende si sono trovate ad affrontare un cambiamento radicale nella gestione della propria sicurezza informatica. La crescente complessità delle infrastrutture digitali, la diffusione del lavoro da remoto, la progressiva adozione del cloud e la digitalizzazione di processi e servizi hanno trasformato il perimetro aziendale in qualcosa di estremamente dinamico e spesso difficile da controllare e forse, addirittura complicato solo comprenderlo. In questo contesto, la semplice adozione di strumenti di protezione non è più sufficiente: è necessario un presidio costante, attivo, capace di reagire in tempo reale e, idealmente, di anticipare le minacce. È qui che entra in gioco

Gli Indicator of Attack (IoA): la protezione proattiva in ambito cybersecurity

Redazione RHC 25/08/2025

Con la Threat Intelligence Olympos Consulting supporta le aziende per una cybersecurity predittiva. Nel panorama della cybersecurity contemporanea, la differenza tra un approccio reattivo e uno proattivo può determinare il successo o il fallimento di una strategia difensiva. Mentre gli Indicatori di Compromissione (IoC) rappresentano ormai uno strumento consolidato ma limitato principalmente a certificare un’attacco già avvenuto, gli Indicatori di Attacco (IoA) sono emersi come un vero e proprio game changer nella lotta alle minacce informatiche. La vera rivoluzione degli IoA risiede nella loro capacità di interpretare il comportamento dei Threat Actor piuttosto che limitarsi a catalogare evidenze postume. Si tratta di

Perché il Task Scheduler è diventato il peggior incubo dei team di sicurezza

Redazione RHC 25/08/2025

Negli ultimi dodici mesi, gli esperti di sicurezza hanno notato un incremento degli attaccanti che utilizzano le funzionalità di pianificazione di Windows, previste per la gestione sistemistica, al fine di stabilizzare la loro presenza all’interno di sistemi già stati violati. All’interno dei processi di Task Scheduler vengono integrati comandi dannosi che si attivano in concomitanza con l’avvio, l’accesso o a intervalli di tempo prestabiliti, permettendo agli aggressori di acquisire un accesso occulto e persistente, in grado di eludere con frequenza i sistemi di rilevamento standard. A differenza dei rootkit elaborati o degli exploit zero-day, queste tecniche sfruttano le funzionalità integrate del sistema,

Malware Forge: Nasce il laboratorio di Malware Analysis di Red Hot Cyber

Redazione RHC 25/08/2025

Nasce una nuova stella all’interno dell’ecosistema di Red Hot Cyber, un progetto pianificato da tempo che oggi vede finalmente la sua realizzazione. Si tratta di un laboratorio all’avanguardia dedicato alla ricerca sulle minacce informatiche, con un focus specifico sui malware. Red Hot Cyber è orgogliosa di annunciare la nascita di Malware Forge, il nuovo gruppo specializzato nell’analisi e nello studio approfondito dei software malevoli. Questo laboratorio nasce come punto di riferimento per professionisti e appassionati che vogliono approfondire il funzionamento del software malevolo, comprenderne le logiche di sviluppo e anticiparne le possibili evoluzioni. Con un approccio collaborativo e internazionale, Malware Forge porta

Gli EDR vanno ancora offline! Crescono le minacce con i figli di EDRKillShifter

Redazione RHC 10/08/2025

Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility EDRKillShifter . Il suo utilizzo è già stato registrato in attacchi da parte di 8 diversi gruppi, tra cui RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC. Questi programmi consentono al ransomware di disabilitare le soluzioni di sicurezza sui dispositivi compromessi al fine di distribuire payload, aumentare i privilegi, spostarsi nella rete e, infine, crittografare i dati senza il rischio di essere rilevati. Il nuovo EDR Killer è un binario fortemente offuscato che si decodifica durante l’esecuzione

Dentro il Dark Web. Threat Intelligencer At work

Redazione RHC 04/08/2025

Il mondo digitale non ha confini visibili. Per ogni sito che consultiamo, per ogni applicazione che usiamo ogni giorno, esistono intere porzioni di rete nascoste, invisibili ai motori di ricerca e protette da alti livelli di anonimato e di cifratura. Tra queste, quella che affascina di più il pubblico dei non addetti ai lavori è quella che chiamiamo Dark Web. Un universo parallelo fatto di forum chiusi, marketplace sotterranei e archivi di dati rubati. Un luogo dove si muovono figure con nomi in codice, dove l’economia si regge sulle criptovalute e sulla fiducia fra criminali, e dove il Threat Intelligencer trova uno

Categorie