Neutrino Transmutation Observed For the First Time Once upon a time, transmutation of the elements was a really big deal. Alchemists drove their patrons near to bankruptcy chasing the philosopher’s stone to no avail, but at least we got chemistry out of it. Nowadays, anyone with a neutron source can do some spicy transmutation. Or, if you happen to have a twelve meter sphere of liquid scintillator two kilometers underground, you can just wait a few years and let neutrinos do it for you. That’s what apparently happened at SNO+, the experiment formally known as Sudbury Neutrino Observatory, as announced recently. The scinillator already lights up when struck by neutrinos, much as the heavy water in the original SNO experiment did. It will also light up, with a different energy peak, if a nitrogen-13 atom happens to decay. Except there’s no nitrogen-13 in that tank — it has a half life of about 10 minutes. So whenever a the characteristic scintillation of a neutrino event is followed shortly by a N-13 decay flash, the logical conclusion is that some of the carbon-13 in the liquid scintillator has been transmuted to that particular isotope of nitrogen. That’s not unexpected; it’s an interaction that’s accounted for in the models. We’ve just never seen it before, because, well. Neutrinos. They’re called “ghost particles” for a reason. Their interaction cross-section is absurdly low, so they are able to pass through matter completely unimpeded most of the time. That’s why the SNO was built 2 KM underground in Sudbury’s Crieghton Mine: the neutrinos could reach it, but very few cosmic rays and no surface-level radiation can. “Most of the time” is key here, though: with enough liquid scintillator — SNO+ has 780 tonnes of the stuff — eventually you’re bound to have some collisions. Capturing this interaction was made even more difficult considering that it requires C-13, not the regular C-12 that the vast majority of the carbon in the scintillator fluid is made of. The abundance of carbon-13 is about 1%, which should hold for the stuff in SNO+ as well since no effort was made to enrich the detector. It’s no wonder that this discovery has taken a few years since SNO+ started in 2022 to gain statistical significance. The full paper is on ArXiv, if you care to take a gander. We’ve reported on SNO+ before, like when they used pure water to detect reactor neutrinos while they were waiting for the scintillator to be ready. As impressive as it may be, it’s worth noting that SNO is no longer the largest neutrino detector of its kind. hackaday.com/2025/12/18/neutri…

Vulnerabilità critica nei gateway SonicWall SMA1000: RCE pre-auth utilizzando due CVE Un gruppo di ricercatori ha scoperto una vulnerabilità, identificata come CVE-2025-40602, che interessa la serie SMA1000 di gateway di accesso sicuro di SonicWall. Questa falla è particolarmente preoccupante perché potrebbe permettere a un aggressore di aumentare i propri privilegi all’interno di un sistema, senza essere necessariamente già presente al suo interno. Il problema è stato ufficialmente classificato con un punteggio CVSS di 6,6, ma il vero pericolo risiede nel modo in cui gli aggressori potrebbero sfruttarla. Infatti, la vulnerabilità è stata descritta come una “vulnerabilità di escalation dei privilegi locali dovuta a un’autorizzazione insufficiente nella console di gestione dell’appliance (AMC) SonicWall SMA1000″. Questa vulnerabilità potrebbe avere un impatto significativo sulla sicurezza delle organizzazioni che utilizzano questi dispositivi per gestire la connettività dei lavoratori da remoto. È importante quindi prendere misure per mitigare il rischio e proteggere i sistemi da possibili attacchi. Tuttavia, l’avviso di SonicWall rivela un contesto più oscuro. Questo specifico bug viene sfruttato insieme a una falla critica precedentemente segnalata , con effetti catastrofici. “IMPORTANTE: è stato segnalato che questa vulnerabilità viene sfruttata in combinazione con CVE-2025-23006 (punteggio CVSS 9,8) per ottenere l’esecuzione di codice remoto non autenticato con privilegi di root”, avverte l’avviso . Concatenando questi due exploit, gli aggressori possono aggirare completamente l’autenticazione (utilizzando la prima falla) e poi elevare i propri permessi a root (utilizzando la nuova falla), impadronendosi di fatto delle “chiavi del castello” senza mai aver bisogno di un nome utente o di una password validi. La vulnerabilità è specifica della serie SMA1000 che esegue le versioni firmware 12.4.3-03093 e precedenti, oppure 12.5.0-02002 e precedenti. SonicWall esorta gli utenti ad applicare immediatamente la patch. L’azienda ha rilasciato hotfix per la piattaforma (build 12.4.3-03245 e 12.5.0-02283) per colmare la lacuna di sicurezza . Per le organizzazioni che non possono disattivare i propri sistemi per un aggiornamento immediato, SonicWall suggerisce una soluzione alternativa: bloccare l’interfaccia di gestione. Gli amministratori dovrebbero “disabilitare l’interfaccia di gestione SSL VPN (AMC) e l’accesso SSH dalla rete Internet pubblica” e limitare l’accesso ai tunnel VPN o a specifici indirizzi IP interni. Per non cadere dentro questi problemi, è importante prestare attenzione ad alcuni aspetti. Innanzitutto, è fondamentale applicare immediatamente le patch di sicurezza rilasciate da SonicWall, come i hotfix per la piattaforma (build 12.4.3-03245 e 12.5.0-02283). In secondo luogo, occorre limitare l’accesso ai tunnel VPN o a specifici indirizzi IP interni e disabilitare l’interfaccia di gestione SSL VPN (AMC) e l’accesso SSH dalla rete Internet pubblica. In questo modo, si può mitigare il rischio e proteggere i sistemi da possibili attacchi. L'articolo Vulnerabilità critica nei gateway SonicWall SMA1000: RCE pre-auth utilizzando due CVE proviene da Red Hot Cyber.

Sottovalutare la sicurezza informatica Oggi. Parliamo di “tanto chi vuoi che mi attacca?” La cultura del “tanto chi vuoi che mi attacchi?” gira ancora, testarda. Non è uno slogan, è proprio un modo di pensare. Una specie di alibi mentale che permette di rimandare, di non guardare troppo da vicino certi rischi. Succede spesso nelle aziende piccole, quelle dove tutti fanno un po’ di tutto e la sicurezza resta una cosa vaga, sullo sfondo. Chi osserva queste dinamiche lo vede chiaramente: la sottovalutazione del rischio non è un problema teorico, è pratica quotidiana. Non nasce da arroganza pura, più da stanchezza, da abitudine, da una fiducia mal riposta nel fatto che “siamo piccoli”. Una frase che torna, uguale, detta con convinzione. E che però non regge. Perché “non siamo un obiettivo” non funziona Nelle PMI l’idea è diffusa: nessun dato interessante, nessun nome famoso, nessuna ragione per attirare attenzioni. È una convinzione comoda e diciamola tutta, anche molto rassicurante. Permette di pensare che il problema riguardi altri, quelli grandi, quelli sotto i riflettori. Qui no, qui si lavora e basta. Il punto è che gli attacchi non funzionano più così, se mai lo hanno fatto. Non c’è qualcuno che guarda una singola azienda e decide se vale la pena. C’è automazione, c’è scanning continuo, c’è un rumore di fondo costante fatto di tentativi automatici. Non serve essere speciali. Basta essere lì. Ma quante sono le piccole imprese che sono rimaste vittima di un ransomware e sono presenti su questo sito? Migliaia. Attacchi automatici, non personali Chi analizza gli incidenti lo ripete da anni, forse con meno pazienza di prima: gran parte degli attacchi è opportunistica. Sistemi che scandagliano la rete senza sosta, alla ricerca di una porta aperta, una configurazione sbagliata, una password debole. Non chiedono chi sei. Provano e basta. In questo scenario, la dimensione conta poco. Anzi, a volte conta al contrario. Le realtà più piccole sono spesso meno preparate, meno aggiornate, meno protette. Non per negligenza cattiva, ma per mancanza di tempo, risorse, attenzione. Ed è proprio lì che l’automazione trova spazio. E se c’è un ransomware di mezzo? la PMI paga subito! Il problema quindi è uno solo. Essere fortunati di non andarci di mezzo. Ma per una Amministratore delegato di una media impresa, costruita con il sacrificio e con la passione di anni di duro lavoro. E’ con la fortuna che vogliamo giocare? Quando la teoria diventa danno concreto Ci sono casi reali, documentati, di piccole aziende colpite duramente e ci sono casi documentati di aziende che hanno fallito per un attacco informatico. Non per attività sensibili o segreti industriali, ma perché impreparate. Sistemi bloccati, dati irrecuperabili, operatività ferma. Il tipo di danno che, per una PMI, pesa molto più che per una grande struttura. Volete vedere cosa succede veramente? Abbiamo anche realizzato un fumetto su questo, il secondo episodio della nostra serie a fumetti BETTI-RHC dal titolo “Zero Decrypt” dove raccontiamo proprio questa storia. Un attacco ransomware ad una piccola impresa. E questa storia si ripete ogni giorno, nel silenzio assordante della stampa che pensa solo ai pesci “grandi” e non ai piccoli. Chi racconta questi episodi nota sempre lo stesso dettaglio, quasi banale: nessuno pensava potesse succedere. Nessun piano, nessuna procedura, nessuna reazione pronta. Solo sorpresa. E poi il conto, che arriva sempre in un secondo momento. Il costo della sottovalutazione Il problema non è solo l’attacco in sé, ma tutto quello che viene prima. La convinzione che il rischio sia remoto porta a rimandare aggiornamenti, a ignorare segnali, a trattare la sicurezza come un fastidio. Qualcosa che ruba tempo al lavoro vero. Un pensiero laterale, inutile. Eppure è proprio questa leggerezza a trasformare un evento comune in un disastro. Perché l’attacco, in molti casi, è banale. Quello che manca è la preparazione. E senza preparazione, anche una cosa semplice diventa ingestibile. La cultura del “chi vuoi che mi attacchi” resiste perché è facile. Non chiede sforzo, non chiede cambiamenti. È una frase che chiude la discussione, che permette di passare ad altro. In fondo rassicura tutti, anche chi la dice. Ma chi guarda i numeri, gli incidenti, le dinamiche reali, lo sa: non è una strategia. È solo una speranza. E sperare, quando si parla di sicurezza, raramente è una buona idea. Anche se suona umana, comprensibile. Fin troppo. L'articolo Sottovalutare la sicurezza informatica Oggi. Parliamo di “tanto chi vuoi che mi attacca?” proviene da Red Hot Cyber.

The Quirky Peripherals In Medical PC Setups Modern hospitals use a lot of computers. Architecturally speaking, they’re pretty typical machines—running the same CPUs and operating systems as any other PCs out there. However, they do tend to have some quirks when it comes to accessories and peripherals, as [tzukima] explores in a recent video. The video starts by looking at typical power cables used with hospital computers and related equipment. In particular, [tzukima] talks about the common NEMA 5-15P to IEC-320-C13 style cable, which less sophisticated users might refer to as a kettle cord. In hospital-grade form, these cables are often constructed with translucent plug housings, with large cylindrical grips that make them easier to grip. Digging further through business supply catalogs lead [tzukima] to discover further products aimed at hospital and medical users. In particular, there are a wide range of keyboards and mice that are designed for use in these environments. The most typical examples are regular peripherals that have simply been encased in silicone to make them easier to wash and disinfect where hygiene is paramount. Others, like the SealShield keyboard and mouse, use more advanced internally-sealed electronics to achieve their washable nature and IP68 ratings. These are peripherals that you can just throw in a dishwasher if you’re so inclined. It’s a great look at weird hardware that most of us would never interact with. youtube.com/embed/CqSyrm9mRu0?… hackaday.com/2025/12/18/the-qu…

RCE in HPE OneView: 10 su 10! Aggiornamenti urgenti per il Cloud e i Data Center La sicurezza informatica è un tema che non scherza, specialmente quando si parla di vulnerabilità che possono compromettere l’intero sistema. Ebbene, Hewlett Packard Enterprise (HPE) ha appena lanciato l’allarme su una falla di sicurezza davvero preoccupante nel suo software di punta, OneView. Questa vulnerabilità, identificata come CVE-2025-37164, ha un punteggio CVSS massimo di 10,0, il che significa che si tratta di un bug molto critico. Insomma, se non si aggiornano i sistemi, si rischia molto ed è questo quello che si consiglia, prima che i criminali informatici possano entrare nei sistemi e generare incidenti di sicurezza informatica. OneView è il cervello dei data center, gestisce server, storage e networking, ed è il motore dell’automazione per gli ambienti cloud ibridi. Quindi, se un utente non autenticato può eseguire codice remoto, siamo davvero nei guai. È arrivato il momento di prendere seriamente questa vulnerabilità e capire cosa sta succedendo. Il bug, infatti, consente l’esecuzione di codice remoto (RCE) da parte di un utente completamente non autenticato. Secondo l’avviso, la falla consente a un aggressore remoto di eseguire codice arbitrario senza dover effettuare l’accesso. In termini pratici, ciò significa che un aggressore potrebbe assumere il controllo dell’appliance di gestione da tutta la rete senza rubare alcuna credenziale. Una volta all’interno, potrebbe potenzialmente interrompere le operazioni, distribuire ransomware o manipolare l’hardware fisico gestito dal software. Questa vulnerabilità riguarda HPE OneView – Tutte le versioni precedenti alla v11.00. HPE ha pubblicato una risoluzione urgente e consiglia a tutti i clienti di agire immediatamente. La soluzione principale consiste nell’aggiornare completamente il software. “Hewlett Packard Enterprise OneView v11.00 o versioni successive risolve questa vulnerabilità”, ha dichiarato l’azienda. Gli amministratori possono scaricare l’aggiornamento tramite My HPE Software Center o HPE Synergy Software Releases. Per le organizzazioni che impiegano versioni precedenti (dalla 5.20 alla 10.20) e non sono in grado di passare subito alla versione 11.00, HPE ha messo a disposizione un fix di sicurezza urgente. Tuttavia, l’installazione di questa patch richiede un’indicazione fondamentale che, se trascurata, potrebbe mettere a rischio il sistema. Gli esperti di HPE sottolineano che il fix di sicurezza non permane in seguito ad alcuni aggiornamenti. In particolare, il fix di sicurezza deve essere reinstallato dopo aver aggiornato l’appliance da HPE OneView versione 6.60.xx alla versione 7.00.00, comprese eventuali re-immagini di HPE Synergy Composer. Gli amministratori sono invitati a controllare i numeri di versione e ad applicare con urgenza le patch, poiché una vulnerabilità CVSS 10 rappresenta spesso una priorità assoluta per i gruppi di ransomware e gli attori finanziati da stati. L'articolo RCE in HPE OneView: 10 su 10! Aggiornamenti urgenti per il Cloud e i Data Center proviene da Red Hot Cyber.

Allerta critica CISA! Tre nuovi bug sfruttati attivamente: Cisco, SonicWall e ASUS nel mirino La Cybersecurity and Infrastructure Security Agency (CISA) ha diramato un’allerta critica includendo tre nuove vulnerabilità nel suo catalogo delle minacce informatiche sfruttate (KEV), evidenziando che tali falle sono attualmente oggetto di sfruttamento attivo da parte degli hacker criminali. Tra queste, figura CVE-2025-20393, una vulnerabilità critica di tipo zero-day che interessa i dispositivi Secure Email Gateway (SEG) e Web Manager (SEWM) prodotti da Cisco, contraddistinta da un punteggio CVSS pari a 10/10. Tale vulnerabilità, considerata di “massima gravità”, permette agli aggressori non autenticati di superare tutte le barriere di difesa e di eseguire comandi a loro scelta con i privilegi di root. L’origine del problema risiede in una procedura di convalida degli input errata nella funzione Spam Quarantine, che risulta esposta su Internet. Gli hacker stanno quindi sfruttando attivamente una falla nelle appliance Secure Email Gateway (SEG) e Web Manager (SEWM) di Cisco, che consente loro di eseguire comandi arbitrari con privilegi di root a causa di una convalida errata degli input nella funzione Spam Quarantine quando questa è accessibile online. Secondo Cisco Talos, un gruppo di minacce informatiche cinese-nexus, identificato come UAT-9686, sta già sfruttando questa falla, come visto nell’articolo precedente. Il gruppo sta implementando una suite di malware personalizzati, tra cui la backdoor persistente AquaShell e AquaPurge, uno strumento progettato per ripulire i log e nascondere le proprie tracce. La CISA ha inoltre segnalato una situazione critica che coinvolge i dispositivi SonicWall SMA1000. Sebbene l’avviso evidenzi una vulnerabilità specifica (spesso collegata alla console di gestione), il vero pericolo deriva dal modo in cui gli aggressori la stanno collegando a una precedente falla, la CVE-2025-23006. Gli aggressori stanno combinando queste vulnerabilità per ottenere un controllo completo del sistema. Il rapporto osserva che gli aggressori “hanno concatenato questa vulnerabilità con una falla di deserializzazione pre-autenticazione SMA1000 di gravità critica… per ottenere l’esecuzione di codice remoto non autenticato con privilegi di root”. Questa “catena di exploit” trasforma il dispositivo in una porta aperta per gli intrusi. Alle agenzie federali è stata data una scadenza ravvicinata, il 24 dicembre 2025, per risolvere questa specifica minaccia. La terza aggiunta è un tuffo nel passato con conseguenze moderne. CVE-2025-59374 (CVSS 9.3) riguarda il client ASUS Live Update, un’utilità che ha raggiunto la fine del supporto (EOS) nel 2021. Nonostante sia obsoleto, il software viene sfruttato tramite una sofisticata “compromissione della supply chain”. Modifiche non autorizzate introdotte nel client di aggiornamento consentono agli aggressori di forzare i dispositivi a “eseguire azioni indesiderate” se soddisfano specifiche condizioni di targeting. Poiché il software non è più supportato, rappresenta un rischio “zombie”, in quanto non aggiornato e in agguato sui sistemi più vecchi. Si evince quindi che le vulnerabilità informatiche sono sempre dietro l’angolo. La CISA ha segnalato ben tre nuove falle sfruttate attivamente dagli hacker. Questa falla permette agli aggressori di eseguire comandi a loro scelta con i privilegi di root. Per non cadere dentro questi problemi, occorre prestare attenzione ad alcuni aspetti. Innanzitutto, è fondamentale aggiornare i sistemi e i software alle ultime versioni, come le falle scoperte nei dispositivi SonicWall SMA1000. Inoltre, è importante fare attenzione ai software obsoleti, come il client ASUS Live Update, che non sono più supportati ma possono ancora rappresentare un rischio. In sintesi, la finestra tra pubblicazione degli exploit e sfruttamento attivo si sta sempre più riducendo, pertanto risulta importante effettuare il “patch management”, prima che gli aggressori possano sfruttare le falle di sicurezza all’interno delle nostre organizzazioni. Solo con una grande attenzione e consapevolezza è possibile evitare di cadere nelle trappole tese dagli hacker. L'articolo Allerta critica CISA! Tre nuovi bug sfruttati attivamente: Cisco, SonicWall e ASUS nel mirino proviene da Red Hot Cyber.

Backdoor invisibile nei Cisco Secure Email: quando la patch non basta più Quando si parla di sicurezza informatica, è normale pensare a un gioco costante tra chi attacca e chi difende. E in questo gioco, le vulnerabilità zero-day sono il jackpot per gli hacker criminali. Recentemente, una falla critica nei dispositivi di posta elettronica sicura di Cisco ha attirato l’attenzione di un gruppo di hacker cinesi molto esperti. Questa vulnerabilità, identificata come CVE-2025-20393, ha un punteggio CVSS massimo di 10 e consente agli aggressori di prendere il controllo totale dei gateway di rete sensibili. Ma cosa significa esattamente? In pratica, questi attacchi permettono agli hacker di bypassare l’autenticazione ed eseguire comandi come root, il che significa avere carta bianca per fare danni. La campagna è stata scoperta da Cisco Talos e prende di mira i dispositivi Cisco Secure Email Gateway (ESA) e Secure Email and Web Manager (SMA) che eseguono il software Cisco AsyncOS. La cosa preoccupante è che la falla richiede configurazioni specifiche non standard per essere sfruttata, ma se gli aggressori riescono a sfruttarla, le conseguenze per le organizzazioni colpite possono essere davvero catastrofiche. Il vettore di attacco si basa su una configurazione errata specifica: la funzione Spam Quarantine. Anche se disabilitata di default, se questa funzione è abilitata e la sua porta è esposta alla rete Internet aperta, diventa un punto di ingresso diretto per gli aggressori. Insomma, è un problema che non può essere ignorato.. “Questo attacco consente agli autori della minaccia di eseguire comandi arbitrari con privilegi di root sul sistema operativo sottostante di un dispositivo interessato”, si legge nell’avviso . Una volta entrato, l’avversario non si limita a eseguire comandi, ma installa una backdoor persistente e personalizzata, progettata per mimetizzarsi con il server web dell’appliance. Cisco Talos ha attribuito questa campagna con “moderata sicurezza” a un autore di minacce con un legame con la Cina, identificato come UAT-9686. Le tecniche del gruppo mostrano evidenti sovrapposizioni con noti APT come APT41 e UNC5174. Il gruppo distribuisce una serie di strumenti specializzati, pensati appositamente per questi elettrodomestici, denominati serie “Aqua”: AquaShell: il fiore all’occhiello della campagna. Questa backdoor Python leggera è integrata chirurgicamente nei file del server web esistente dell’appliance (/data/web/euq_webui/htdocs/index.py). Ascolta passivamente richieste HTTP POST appositamente create, decodificando ed eseguendo i comandi senza lasciare traccia nel log. AquaPurge: uno script “cleanup team” che pulisce i log di sistema. Utilizza egrep per invertire la ricerca nei file di log, eliminando di fatto tutte le righe contenenti parole chiave specifiche relative all’attività dell’aggressore, lasciando intatto il resto del file. AquaTunnel: un binario GoLang compilato basato sullo strumento open source “ReverseSSH“. Questo crea una connessione inversa con l’aggressore, garantendogli di bypassare i firewall e mantenere l’accesso anche se la vulnerabilità iniziale è stata corretta. Il meccanismo di persistenza utilizzato da UAT-9686 è così profondamente radicato che la correzione standard non è sufficiente. Il consiglio di Cisco per le compromissioni confermate è chiaro: ricostruire. “In caso di compromissione confermata, la ricostruzione degli appliance è, attualmente, l’unica opzione praticabile per eliminare il meccanismo di persistenza degli attori della minaccia dall’appliance”. Per evitare di cadere in questi problemi, innanzitutto gli amministratori devono verificare al più presto le loro configurazioni. Un punto cruciale è controllare se la funzione Spam Quarantine è abilitata e, se sì, assicurarsi che sia protetta da un firewall e isolata dalla rete Internet pubblica. Considerando che la vulnerabilità in questione ha un punteggio CVSS di 10, che è il massimo, è chiaro che non c’è spazio per errori. Gli amministratori devono essere sul pezzo e assicurarsi che tutto sia in ordine per evitare brutte sorprese. La prudenza e l’attenzione al dettaglio sono fondamentali per non cadere in trappole del genere. L'articolo Backdoor invisibile nei Cisco Secure Email: quando la patch non basta più proviene da Red Hot Cyber.

Allarme spionaggio: gruppo APT cinese Ink Dragon impianta C2 nei governi europei Era solo questione di tempo. Ormai i governi del mondo hanno messo in allarme i loro sistemi di sicurezza. E infatti è di questi giorni la scoperta di un’operazione di spionaggio su larga scala condotta da un gruppo di hacker cinesi, noti come Ink Dragon. L’obiettivo? Trasformare i server governativi hackerati in una rete distribuita di comando e di inoltro del traffico. Insomma, usare le vittime come parte della loro infrastruttura di comando e controllo. Un modus operandi che ha lasciato senza fiato gli esperti di sicurezza. Ink Dragon è attivo da inizio 2023 e si è concentrato su organizzazioni governative, di telecomunicazioni e pubbliche nel Sud-est asiatico e in Sud America. Ma, fatto ancor più inquietante, ha aumentato la sua attività contro le strutture governative in Europa. Un livello di sofisticazione ingegneristica elevato e un utilizzo di componenti di sistema legittimi hanno reso questi attacchi difficili da individuare. Scovare questa operazione è stato come trovare un ago in un pagliaio. Ma, come si dice, “il lupo perde il pelo ma non il vizio”. E Ink Dragon non ha smesso di stupire. Check Point Research ha scoperto questa operazione di spionaggio su larga scala che ha utilizzato di fatto le vittime stesse come parte della sua infrastruttura di comando e controllo. Ink Dragon, noto anche come Earth Alux, Jewelbug , REF7707 e CL-STA-0049, è attivo almeno dall’inizio del 2023. Inizialmente, il gruppo si è concentrato su organizzazioni governative, di telecomunicazioni e pubbliche nel Sud-est asiatico e in Sud America, ma negli ultimi mesi ha notevolmente aumentato la sua attività contro le strutture governative in Europa. Le campagne del gruppo sono caratterizzate da un elevato livello di sofisticazione ingegneristica, una meticolosa disciplina operativa e l’ampio utilizzo di componenti di sistema legittimi, consentendo agli attacchi di rimanere inosservati per lunghi periodi. Una caratteristica chiave di Ink Dragon è il suo approccio che prevede l’integrazione dei server compromessi in una rete di relay distribuita globale, anziché il loro semplice utilizzo a scopo di spionaggio. Per raggiungere questo obiettivo, gli aggressori implementano un modulo IIS specializzato, ShadowPad Listener, che si integra nel server web e intercetta silenziosamente il traffico HTTP(S). Ogni server infetto diventa un nodo in grado di ricevere comandi, inoltrarli ad altre vittime e gestire le connessioni tramite proxy, espandendo così l’infrastruttura di comando e controllo senza la necessità di server C2 dedicati. La penetrazione iniziale avviene in genere tramite errori di configurazione di IIS e SharePoint ben noti ma ancora diffusi. Ink Dragon sfrutta attivamente le vulnerabilità di deserializzazione di ASP.NET ViewState utilizzando valori machineKey prevedibili o trapelati, consentendo l’esecuzione di codice arbitrario. Diversi attacchi hanno anche sfruttato una serie di vulnerabilità di ToolShell nelle installazioni locali di Microsoft SharePoint , consentendo l’esecuzione di codice remoto non autenticato e l’installazione di web shell. Nell’estate del 2025, il gruppo ha condotto scansioni di massa di server SharePoint vulnerabili, indicando un accesso precoce agli exploit. Nell’infrastruttura dell’organizzazione, dalle configurazioni IIS e dai processi di lavoro. Ciò consente a Ink Dragon di passare rapidamente dall’esecuzione di codice all’interno di un processo web all’ottenimento del pieno controllo del server e quindi all’autenticazione sugli host vicini. Fanno ampio uso di tunnel RDP e delle funzionalità ShadowPad integrate per il movimento, camuffando la loro attività da sessioni amministrative legittime La persistenza nel sistema viene ottenuta creando attività di pianificazione e installando servizi con privilegi SYSTEM. I file eseguibili sono mascherati da componenti di sistema Windows, come conhost.exe, e spesso dispongono di firme digitali valide di fornitori affidabili, riducendo la probabilità di essere rilevati. Per aumentare i privilegi, Ink Dragon combina lo sfruttamento di vulnerabilità locali, incluse tecniche della famiglia Potato, con un’aggressiva raccolta di credenziali. Gli attacchi utilizzano strumenti proprietari per il dump di LSASS, l’estrazione di hash NTLM e artefatti Kerberos e la ricerca attiva di sessioni RDP amministrative “sospese” da cui estrarre token di amministratore di dominio. Le vittime di Ink Dragon prendono di mira principalmente organizzazioni governative. Negli ultimi mesi è stato registrato un aumento degli attacchi contro entità europee, con server hackerati in Europa utilizzati per operazioni contro obiettivi in Africa e nel Sud-est asiatico. In diversi casi, è stata rilevata attività di un altro gruppo cinese , RudePanda, sugli stessi sistemi. Hanno utilizzato i propri moduli IIS, web shell e persino scaricato un rootkit del kernel, ma i ricercatori non hanno trovato alcun coordinamento diretto tra i gruppi. Secondo Check Point Research, Ink Dragon rappresenta un modello maturo di cyberspionaggio in cui il confine tra “vittima” e “infrastruttura di controllo” praticamente scompare. Ogni nuovo server compromesso rafforza la rete complessiva, aumentandone la sopravvivenza e la furtività. In queste condizioni, proteggere i singoli nodi diventa insufficiente: contrastare tali operazioni richiede l’identificazione e l’interruzione dell’intera relay chain, altrimenti i sistemi compromessi continueranno a essere al servizio degli aggressori per lungo tempo. Cosa abbiamo imparato da questo articolo? Innanzitutto, che esiste un gruppo di hacker chiamato Ink Dragon che si concentra principalmente sull’attacco a organizzazioni governative. E’ stato notato un aumento degli attacchi verso entità europee, con server hackerati in Europa che vengono usati per operazioni contro obiettivi in Africa e Sud-est asiatico. Dall’articolo si evince che non c’è una collaborazione diretta tra Ink Dragon e un altro gruppo di hacker, RudePanda, ma è stata rilevata un’attività simile su alcuni sistemi. Per non cadere dentro questi problemi occorre prestare attenzione ad alcuni aspetti. Innanzitutto, proteggere i singoli nodi non è più sufficiente. Infatti, bisogna identificare e interrompere l’intera catena di relay. In questo modo, si può evitare che i sistemi compromessi continuino a essere utilizzati dagli aggressori per molto tempo. Inoltre, è importante tenere sotto controllo le attività dei gruppi di hacker e monitorare le loro mosse per prevenire futuri attacchi. In generale, la sicurezza informatica è un tema molto importante e va curato con attenzione. L'articolo Allarme spionaggio: gruppo APT cinese Ink Dragon impianta C2 nei governi europei proviene da Red Hot Cyber.