Salta al contenuto

Piero Bosio Social Web Site Personale Logo Fediverso

Social Forum federato con il resto del mondo. Non contano le istanze, contano le persone
  • 0 Votazioni
    1 Post
    0 Visualizzazioni
    Si parla di:ToggleIl Dipartimento di Stato americano ha messo sul piatto 10 milioni di dollari per chi fornira’ informazioni utili a identificare o localizzare i membri dei gruppi UNC5792 e UNC4221, entrambi legati ai servizi di intelligence militare e al FSB russo. Nel frattempo, FBI e CISA hanno aggiornato il loro advisory di marzo 2026 con una nuova tattica individuata nella campagna: il furto delle Signal Backup Recovery Key, che consente agli attaccanti di accedere all’intera cronologia dei messaggi delle vittime.Chi sono UNC5792 e UNC4221I due gruppi, tracciati pubblicamente con i designatori UNC di Mandiant/Google, operano nell’ambito dei servizi segreti russi. UNC5792 e’ associato all’FSB (Federal Security Service), in particolare agli ufficiali embedded nelle Guardie di Frontiera russe; UNC4221 opera invece per conto dei servizi militari russi. Le attivita’ delle due entita’ si sovrappongono parzialmente: entrambi prendono di mira individui di alto valore informativo attraverso campagne di phishing su applicazioni di messaggistica, in particolare Signal e WhatsApp.Il profilo delle vittime e’ estremamente specifico e rivela gli obiettivi dell’intelligence russa: funzionari governativi statunitensi e NATO (attuali ed ex), vertici militari, figure politiche, analisti di policy, giornalisti che coprono Russia e Ucraina, ONG attive in supporto all’Ucraina e ricercatori di sicurezza o esperti di affari russi. Secondo l’annuncio ufficiale del programma Rewards for Justice, migliaia di account individuali sono stati compromessi in questo modo.La storia della campagna: dall’account linking al furto delle Recovery KeyLa campagna non nasce oggi. Il primo advisory pubblico di FBI e CISA risale a marzo 2026, quando gli analisti avevano documentato una tecnica di compromissione basata sull’abuso della funzione legittima di device linking di Signal. Gli attaccanti, spacciandosi per il supporto di Signal, inducevano le vittime a collegare un dispositivo controllato dagli attaccanti al proprio account, consentendo la lettura in tempo reale delle conversazioni senza compromettere la crittografia end-to-end del protocollo.L’advisory aggiornato del 26 giugno 2026 documenta l’evoluzione della tattica. Gli operatori hanno ora spostato il loro obiettivo primario: non piu’ solo l’intercettazione in tempo reale, ma il furto delle Signal Backup Recovery Key — le chiavi che proteggono le copie cifrate dell’intera cronologia dei messaggi nei server Signal Secure Backups. Si tratta di un cambio di paradigma operativo significativo: con la Recovery Key, l’attaccante puo’ recuperare su un proprio dispositivo tutti i messaggi storici della vittima, incluse conversazioni private e di gruppo potenzialmente risalenti a mesi o anni.Come funziona l’attacco in dettaglioLa catena di attacco si articola in due fasi di social engineering, entrambe condotte direttamente su Signal spacciandosi per il team di supporto della piattaforma:Fase 1: il pretestoLa vittima riceve un messaggio che afferma che Signal ha registrato un’ondata di attacchi da parte di “hacker iraniani e di paesi post-sovietici” e che, in risposta, la piattaforma sta introducendo una verifica obbligatoria a due fattori. Per “non perdere messaggi e media”, l’utente viene guidato passo per passo ad abilitare i backup e a visualizzare la propria Recovery Key:Istruzioni fornite dagli attaccanti nel messaggio di phishing: Settings -> Backups -> Enable backups -> View recovery key -> Copy to clipboard -> Next -> Enter the recovery key -> Next -> Continue -> Choose your backup plan [Premere "Accept" nel pop-up]Questa sequenza e’ reale: seguendo questi passi, l’utente attiva effettivamente Signal Secure Backups e genera una Recovery Key legittima. La chiave viene copiata negli appunti del dispositivo.Fase 2: l’estrazione della chiavePoco dopo, sempre spacciandosi per Signal, gli attaccanti inviano un secondo messaggio urgente che avvisa l’utente di un “problema di sincronizzazione” che metterebbe a rischio la perdita permanente dei dati. Per “risolvere il problema”, vengono chiesti di andare nelle impostazioni di backup, copiare la Recovery Key e incollarla nel messaggio di chat. Se la vittima esegue, gli attaccanti ottengono la chiave in chiaro.Con la Recovery Key in mano, gli attaccanti possono ripristinare il backup cifrato su qualsiasi loro dispositivo, scaricando l’intera cronologia messaggi della vittima dai server di Signal. L’operazione e’ completamente silenziosa per la vittima: nessuna notifica, nessun alert sul dispositivo.La trappola del recovery: perche’ cambiare account non bastaFBI e CISA sottolineano un aspetto critico spesso sottovalutato: se un attaccante ottiene la Recovery Key di un utente, creare un nuovo account Signal con lo stesso numero di telefono non invalida la chiave compromessa. L’attaccante puo’ continuare a utilizzare quella chiave per scaricare i backup gia’ acquisiti, anche dopo che la vittima ha cambiato account.L’unica azione risolutiva e’ generare una nuova Recovery Key attraverso le impostazioni di backup di Signal, che invalida la chiave precedente per i download futuri. Tuttavia — e questa e’ la parte piu’ critica — una nuova chiave non impedisce l’accesso ai backup che l’attaccante ha gia’ scaricato prima del cambio.Il bounty e gli obiettivi del programma Rewards for JusticeIl programma statunitense Rewards for Justice (RFJ) ha pubblicato il 29 giugno 2026 un annuncio specifico per UNC5792 e UNC4221, offrendo fino a 10 milioni di dollari per informazioni su:Identita’, localizzazione, affiliazioni e biografie dei membri dei gruppi e del personale di supporto.Legami con i servizi di intelligence russi, contractor e fornitori terzi.Infrastruttura operativa: domini, server, hosting, strumenti, framework e software.Fonti di finanziamento, conti bancari, meccanismi di pagamento.Wallet di criptovaluta, transazioni blockchain e reti finanziarie a supporto delle operazioni.L’entita’ del bounty — identica a quella offerta per i responsabili di attacchi ransomware contro infrastrutture critiche — segnala quanto Washington consideri questa campagna una minaccia alla sicurezza nazionale, non un semplice problema di cybercrime.Il fronte ucraino: SMS fasulli per rubare credenzialiParallelamente all’advisory FBI/CISA, l’Ucraina ha confermato che l’intelligence russa ha utilizzato falsi messaggi SMS di “supporto tecnico” per indurre utenti ucraini a rivelare le credenziali dei propri account di messaggistica. La tattica e’ la stessa: impersonare un servizio tecnico legittimo, creare urgenza attraverso una narrativa di sicurezza, estrarre credenziali o chiavi di backup. Il coordinamento tra le due campagne — quella focalizzata su obiettivi occidentali (UNC5792/UNC4221) e quella contro obiettivi ucraini — suggerisce un’operazione di intelligence integrata sotto ombrello comune.Consigli pratici per i difensori e gli utenti a rischioSignal e le sue comunicazioni cifrate restano tecnicamente integre: la crittografia end-to-end del protocollo Signal non e’ stata compromessa. Il vettore e’ esclusivamente il social engineering applicato alla gestione delle chiavi. Le misure di difesa piu’ efficaci sono le seguenti:Non condividere mai la Recovery Key: Signal non la chiedera’ mai via messaggio in-app. Qualsiasi richiesta in tal senso e’ un attacco.Verificare l’identita’ del mittente: il supporto Signal comunica esclusivamente tramite indirizzi email ufficiali, mai tramite messaggi in-app.Controllare i dispositivi collegati: in Settings > Account > Linked Devices, verificare periodicamente che non siano presenti dispositivi non riconosciuti.Ruotare la Recovery Key in caso di sospetto: Settings > Backups > Recovery Key > Create new key. Ricordarsi che i backup gia’ scaricati dall’attaccante rimangono accessibili con la vecchia chiave.Segnalare attivita’ sospette all’IC3 dell’FBI (ic3.gov) o al proprio ufficio locale FBI.Per le organizzazioni con personale ad alto rischio (giornalisti, diplomatici, ricercatori, personale ONG), e’ consigliabile implementare sessioni di awareness specifica sulla gestione delle Recovery Key di Signal e sul riconoscimento di questo pattern di social engineering, ormai sufficientemente documentato da considerarsi una tecnica consolidata nel repertorio dell’intelligence russa.
  • 0 Votazioni
    1 Post
    0 Visualizzazioni
    Si parla di:ToggleIl gruppo APT cinese Mustang Panda ha colpito reti governative indiane e il settore idroelettrico con un toolkit malware completamente rinnovato, abusando di Zoho WorkDrive come canale di comando e controllo. La scoperta, firmata da Acronis Threat Research Unit in collaborazione con il CERT-In indiano, rivela come gli attori statali stiano sempre più sfruttando servizi cloud legittimi per mimetizzare il traffico malevolo all’interno delle reti bersaglio.Il contesto: Mustang Panda e l’IndiaMustang Panda — noto anche come Earth Preta, BRONZE PRESIDENT, RedDelta, STATELY TAURUS e CAMARO DRAGON — è uno dei gruppi di cyberspionaggio più attivi nell’orbita dell’intelligence cinese. Attivo almeno dal 2012, il gruppo ha storicamente preso di mira governi del Sud-Est asiatico, istituzioni religiose, ONG e — con crescente frequenza — obiettivi indiani legati alle dispute territoriali e alle partnership geopolitiche di New Delhi.Il precedente attacco significativo contro l’India risale all’aprile 2026, quando Acronis aveva attribuito al gruppo l’uso del backdoor LOTUSLITE contro il settore bancario indiano e circoli policy sudcoreani, già allora con infrastruttura cloud come relay. Prima ancora, nel 2021, la campagna RedEcho — attribuita a attori cinesi da Recorded Future — aveva preso di mira le centrali elettriche dell’India con ShadowPad. Il pattern è chiaro: la Cina ha un interesse strategico consolidato nelle infrastrutture energetiche indiane.Le due campagne di giugno 2026Acronis TRU ha identificato due campagne parallele con beaconing attivo rilevato tra il 12 e il 22 giugno 2026 su macchine usate da personale amministrativo di alto livello. I bersagli sono stati selezionati con precisione chirurgica:Campagna A: obiettivo il settore idroelettrico indiano, con lure a tema cooperazione su impianti idroelettrici.Campagna B: obiettivo enti governativi indiani coinvolti in accordi di cooperazione (MOU) con istituzioni taiwanesi.Entrambe le campagne sono state consegnate tramite archivi ZIP contenenti una DLL malevola marcata come file nascosto. Il vettore di accesso iniziale è ritenuto lo spear-phishing: il documento esca risultava contestualmente credibile per il destinatario, aumentando drasticamente la probabilità di esecuzione.Il toolkit: SHARDLOADER, MINIRECON e ZOHOMURKIl cuore tecnico dell’operazione risiede in tre componenti inediti o fortemente rielaborati:SHARDLOADERE’ il loader iniziale, eseguito tramite DLL sideloading da un binario legittimamente firmato. Nella campagna A, il binario ospite e’ un eseguibile di Solid PDF Creator; nella campagna B viene utilizzato un binario di Citrix Receiver. La tecnica sfrutta la fiducia del sistema operativo nei confronti dei binari firmati per caricare codice arbitrario senza triggerare alert standard degli EDR. SHARDLOADER funge da stager, deployando uno degli altri due implant a seconda del target.MINIRECONSi tratta di una variante rielaborata del backdoor Toneshell, gia’ documentato da IBM X-Force come strumento tipico di Mustang Panda. La novita’ principale e’ il protocollo di beaconing: MINIRECON comunica con i server C2 tramite connessione WebSocket su HTTPS, rendendo il traffico indistinguibile da normali sessioni web cifrate. Il cambio di protocollo rispetto alla versione originale di Toneshell rappresenta un aggiornamento operativo significativo, pensato per eludere i sistemi di ispezione profonda del traffico di rete.ZOHOMURK: il C2 nascosto nel cloud aziendaleQuesto e’ l’elemento piu’ sofisticato e originale dell’operazione. ZOHOMURK e’ un implant che porta hardcoded le credenziali OAuth di Zoho, utilizzate per autenticarsi su un account WorkDrive controllato dagli attaccanti. Il meccanismo di C2 e’ implementato come un classico dead drop:Inbox folder: i comandi impartiti dagli operatori vengono scritti in questa cartella dall’attaccante.Outbox folder: i dati esfiltrati dalla vittima vengono scritti dall’implant in questa cartella, dove l’attaccante li recupera periodicamente.La scelta di Zoho WorkDrive non e’ casuale: e’ una piattaforma ampiamente adottata nel settore governativo indiano. Il traffico verso i server Zoho e’ quindi whitelistato per definizione nelle policy di rete delle organizzazioni bersaglio. Non c’e’ alcun dominio C2 sospetto da bloccare: tutto il traffico di comando e controllo appare come normale utilizzo di un servizio SaaS autorizzato. E’ esattamente il tipo di Living-off-the-Cloud (LoC) che rende inutili le soluzioni di blocco basate su reputazione dei domini.Attribution e OPSEC: gli errori che hanno tradito il gruppoNonostante la sofisticazione del toolkit, Mustang Panda ha mostrato lacune significative nella sicurezza operativa. Acronis ha potuto attribuire l’attivita’ con alta confidenza grazie a piu’ elementi convergenti: la sovrapposizione di codice con Toneshell gia’ legato al gruppo da IBM X-Force; un typo ricorrente negli implant — la chiave di registro “RunOnece” (anziche’ “RunOnce”) — che funge da fingerprint involontario; l’infrastruttura C2 ospitata nello stesso netblock gia’ associato al gruppo; token OAuth hardcoded e identificatori in plaintext che hanno facilitato l’analisi statica e la notifica a Zoho per la chiusura degli account malevoli.Indicatori di Compromissione (IoC)# Persistenza -- chiave di registro Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run\RunOnece # Scheduled Task Nome task: SolidPDFPcl2Bmp # Dominio C2 couldinstallup[.]com # Anomalia da monitorare (behavioural) - Processi non-browser che aprono connessioni verso workdrive.zoho.com - User-Agent Zoho rilevato su processi senza legittima ragione di accesso a WorkDrive # DLL sideloading -- binari legittimi da monitorare - Solid PDF Creator che carica DLL inattese dalla stessa directory - Citrix Receiver che carica DLL inattese dalla stessa directoryImplicazioni geopolitiche e due righe per i difensoriLa selezione dei target rivela con precisione gli interessi strategici di Pechino. La campagna focalizzata sull’idroelettrico si inserisce nel contesto della storica rivalita’ sino-indiana sulle risorse idriche himalayane, dove la Cina controlla le sorgenti di fiumi vitali per l’India. La campagna contro gli enti che gestiscono accordi con Taiwan segue invece la logica del monitoraggio delle alleanze diplomatiche di New Delhi.Questo attacco non si contrasta con patch o aggiornamenti software: il vettore e’ l’ingegneria sociale e l’abuso di strumenti legittimi. Le difese piu’ efficaci comprendono: sandbox email configurate per detonare ZIP con DLL nascoste anche se firmate; regole EDR/XDR per rilevare sideloading da Solid PDF Creator e Citrix Receiver; monitoraggio del traffico cloud su processi non-browser verso WorkDrive; threat hunting su chiavi Run con errori ortografici e scheduled task con nomi inusuali; awareness del personale su lure geopolitiche ricevute via email.
  • 0 Votazioni
    1 Post
    0 Visualizzazioni
    Si parla di:TogglePer quasi un decennio, un gruppo di spionaggio informatico legato alla Cina ha operato indisturbato all’interno di una rete isolata di infrastrutture critiche, compromettendo il cuore stesso del meccanismo di autenticazione Linux. La scoperta, firmata dai ricercatori di Sygnia, racconta di una pazienza operativa rara e di una sofisticazione tecnica che ridefinisce il concetto di persistenza avanzata.Velvet Ant: chi è e cosa ha fatto in precedenzaVelvet Ant è un cluster di attività di cyberspionaggio attribuito a un attore nation-state cinese, già documentato da Sygnia nel 2024 in una campagna che aveva preso di mira dispositivi F5 BIG-IP rimasti compromessi per tre anni senza essere rilevati. Nello stesso anno, Cisco aveva segnalato lo sfruttamento di uno zero-day nei propri switch NX-OS da parte dello stesso gruppo. La nuova ricerca, denominata Operation Highland, supera però per portata e durata tutto ciò che era stato osservato in precedenza: dieci anni di accesso continuativo a una rete air-gapped di infrastrutture critiche appartenente a una grande organizzazione.La catena di attacco: dall’esterno alla rete isolataL’intrusione ha avuto inizio nel 2016 con la compromissione di server esposti su internet. Su questi sistemi, Velvet Ant ha distribuito una versione modificata di GS-Netcat, uno strumento legittimo per creare tunnel cifrati, trasformato in una reverse shell persistente. Il file veniva mascherato come utility di sistema auditdb e collocato in /usr/sbin/, stabilendo la persistenza tramite un servizio systemd malevolo oppure modificando gli script di avvio SysVinit a seconda del sistema.Per muoversi lateralmente senza generare traffico diretto verso internet, gli attaccanti hanno installato un proxy SOCKS5 scritto in Perl che mascherava il proprio processo come smbd -D, usando filename, porte e nomi di processo diversi su ogni host per ostacolare il rilevamento.La parte più sofisticata riguarda però la costruzione del percorso di accesso verso la rete isolata. Velvet Ant ha modificato la configurazione di un server Nginx internet-facing per proxare richieste HTTP specificamente costruite verso un server backend compromesso. Questo backend aveva a sua volta Nginx configurato per inoltrare le richieste a un processo FastCGI (fcgiwrap) in ascolto su una porta separata. Il FastCGI wrapper agiva come bridge di esecuzione, lanciando un binario personalizzato chiamato uptime che stabiliva connessioni SSH verso sistemi nella rete isolata, usando parametri forniti tramite HTTP POST.“Concatenando queste modifiche, Velvet Ant ha stabilito un percorso di esecuzione remota nell’ambiente segregato tramite semplici richieste HTTP, senza mai richiedere una connessione diretta alla rete di infrastrutture critiche.” — SygniaIl colpo di genio: backdoor nell’autenticazione LinuxUna volta ottenuto l’accesso alla rete isolata, Velvet Ant ha spostato il focus verso la persistenza a lungo termine e la raccolta di credenziali, attaccando direttamente il sistema di autenticazione Linux: i Pluggable Authentication Modules (PAM).I ricercatori di Sygnia hanno identificato nove varianti distinte del modulo malevolo pam_unix.so, ciascuna compilata in un ambiente di build separato — un indicatore di un attore con risorse abbondanti e operativamente disciplinato. Alcune varianti funzionavano come backdoor pura, accettando una password hardcoded che consentiva l’accesso bypassando l’autenticazione normale. Altre raccoglievano e memorizzavano localmente le credenziali di tutti gli utenti in un file nascosto.In parallelo, gli attaccanti hanno sostituito i componenti di OpenSSH — inclusi ssh, sshd e scp — con versioni trojanizzate capaci di:Catturare e registrare le password utilizzate nelle sessioni SSHLoggare tutti i comandi eseguiti dagli amministratoriNascondere le tracce dell’attività degli attaccantiDisabilitare SELinux quando avviati con privilegi rootPermettere agli stessi attaccanti di disattivare il logging delle proprie sessioni tramite un flag specialeVelvet Ant ha inoltre aggiunto le proprie chiavi pubbliche SSH negli authorized_keys dei server compromessi, garantendosi un accesso persistente senza password indipendente dai moduli PAM manipolati.Dieci anni invisibili: perché il rilevamento era così difficileLa scelta di compromettere i componenti di autenticazione stessi, piuttosto che distribuire malware convenzionale, ha rappresentato il fattore chiave nella longevità dell’operazione. I tool di sicurezza cercano processi anomali e comunicazioni di rete sospette: un’autenticazione PAM modificata che accetta una password hardcoded sembra semplicemente un login legittimo. I log di sistema mostravano accessi normali. Non c’erano payload da rilevare, non c’erano connessioni C2 evidenti dall’interno della rete isolata.L’uso di nomi di file, porte e nomi di processo differenti su ogni host rendeva impossibile correlare l’attività attraverso la rete senza una visione completa e coordinata dell’intero ambiente.Il cleanup: più pericoloso della compromissioneSygnia descrive la fase di remediation come particolarmente complessa. Velvet Ant aveva sostituito tanti componenti critici con versioni personalizzate che la loro rimozione scorretta avrebbe potuto bloccare l’accesso degli amministratori legittimi, causando interruzioni operative in sistemi di infrastruttura critica.Il team di risposta ha dovuto costruire un laboratorio di test per validare il processo di sostituzione dei binari, profilare ogni host per identificare le versioni corrette dei componenti, testare le procedure di ripristino e preparare rollback prima di tentare qualsiasi intervento in produzione. Ogni step veniva validato verificando che l’autenticazione SSH continuasse a funzionare correttamente.Indicatori di compromissione e due righe difensiveSygnia raccomanda di trattare componenti come PAM, OpenSSH e Windows LSASS come asset di sicurezza critici da proteggere con:File Integrity Monitoring (FIM) sui binari di autenticazione e sui moduli PAMEDR con regole specifiche per modifiche a /lib/security/pam_unix.so, /usr/sbin/sshd, /usr/bin/sshMFA obbligatoria per l’accesso privilegiato, anche in reti air-gappedBackup immutabili verificati periodicamente con procedure di ripristino testate offlineMonitoring delle chiavi SSH nei file authorized_keys su tutti i server# File e percorsi da monitorare con FIM /lib/security/pam_unix.so /lib/x86_64-linux-gnu/security/pam_unix.so /usr/sbin/sshd /usr/bin/ssh /usr/bin/scp /etc/ssh/sshd_config /root/.ssh/authorized_keys /home/*/.ssh/authorized_keys # Processi sospetti identificati nell'operazione smbd -D # proxy SOCKS5 mascherato uptime # binario custom per SSH verso rete isolata auditdb # GS-Netcat reverse shell # Pattern di accesso sospetto # Login PAM con password non corrispondente agli hash in /etc/shadow # Sessioni SSH con flag speciali non documentati # Traffico HTTP verso Nginx con parametri POST insoliti verso backend interniOperation Highland dimostra che la sicurezza delle reti air-gapped non può essere data per scontata. Quando un attore sufficientemente motivato riesce a ottenere l’accesso iniziale, la mancanza di connettività internet non è un ostacolo insuperabile: è semplicemente un problema da risolvere con creatività tecnica. E come questa operazione mostra, quella creatività può restare nascosta per un decennio.
  • 0 Votazioni
    1 Post
    0 Visualizzazioni
    Si parla di:ToggleUn rapporto pubblicato oggi da Recorded Future’s Insikt Group smantella pezzo per pezzo una vasta rete di siti web contraffatti utilizzati dalle flotte ombra iraniane e russe per aggirare le sanzioni internazionali. Oltre 36 siti impersonano registri navali, amministrazioni marittime nazionali e società di classificazione inesistenti, formando un ecosistema digitale al servizio dell’evasione sanzionatoria.Il contesto: flotte ombra e sanzioni internazionaliDa quando le sanzioni occidentali hanno colpito le esportazioni energetiche di Russia e Iran, entrambi i Paesi hanno sviluppato reti di navi “ombra” — imbarcazioni che operano cambiando frequentemente bandiera, proprietario apparente e documentazione per continuare a trasportare petrolio sul mercato globale. Il problema centrale è la verifica: port state control, compagnie assicurative e broker richiedono documenti ufficiali — certificati di classe, certificati per i marittimi, lettere P&I — e questi documenti ora vengono prodotti digitalmente da entità fittizie che mimano quelle reali.Tre cluster, un ecosistema interconnessoInsikt Group ha identificato tre cluster di infrastruttura online, designati Alpha, Bravo e Charlie, accomunati da sovrapposizioni tecniche, pattern di registrazione domini e ricorrenti errori OPSEC. L’analisi mostra connessioni esplicite a 17 navi, la maggioranza delle quali già sanzionate dall’OFAC (Office of Foreign Assets Control) del Dipartimento del Tesoro statunitense.Cluster Alpha è quello più sofisticato dal punto di vista tecnico: include un generatore automatizzato di PDF che produce certificati fraudolenti per marittimi con QR code funzionali, apparentemente riconducibile all’azienda indiana di sviluppo web Oceaniek Technologies. I certificati vengono emessi “per conto” delle amministrazioni marittime di Benin, Comore e Nicaragua — paesi con scarsa capacità di supervisione e spesso sfruttati come bandiere di comodo.Cluster Bravo è collegato a due cittadini siriani, uno dei quali ha precedenti di coinvolgimento in attività illecite, e comprende organizzazioni fittizie come la Med Lloyd Classification Society, Hellas Naval Bureau of Shipping e vari siti di formazione per marittimi. Cluster Charlie condivide caratteristiche tecniche e di design con Bravo ma rimane non attribuito, e utilizza uno schema di “validazione a strati” in cui le amministrazioni marittime false avallano altre entità false per costruire credibilità reciproca.Tecniche di falsificazione: il generatore di certificatiIl meccanismo più significativo identificato nel Cluster Alpha è un’applicazione web che consente la generazione self-service di documenti marittimi fraudolenti. Il sistema accetta i dati del marittimo in input, genera un certificato PDF formalmente identico a quello ufficiale, associa al documento un QR code che punta a una pagina di verifica controllata dagli stessi attori — restituendo risultati “positivi” durante le ispezioni portuali — e mantiene un database queryabile di certificati fittizi per simulare consultazioni da parte delle autorità. Questa capacità trasforma il sistema di verifica documentale in uno strumento di validazione per i documenti fraudolenti stessi.Pattern tecnici e indicatori di infrastruttura# Domini identificati nei tre cluster ## Cluster Alpha beninmaritime[.]org / beninmaritime[.]co / beninmaritime[.]net epnicaragua[.]org atlasregister[.]net ## Cluster Bravo medlloyd[.]online hellasnaval[.]net nauticacentro[.]mx isithin[.]com ## Cluster Charlie pioneersmaritime[.]com alliance-scs[.]org sasmaa[.]club zambmaritime[.]org # IP di hosting condivisi 159[.]198[.]36[.]123 217[.]76[.]51[.]133 151[.]80[.]4[.]227Collegamento a report precedenti e navi sanzionateIl rapporto integra indagini precedenti: Bellingcat aveva documentato nel febbraio 2026 l’attività di Oceaniek Technologies, e Lloyd’s List aveva scoperto un cluster di registri navali falsi centrati attorno al dominio marinegov[.]net. Le 17 navi per cui Insikt Group ha trovato connessioni esplicite includono petroliere già sanzionate da OFAC, Unione Europea e altri Paesi. Questo elemento rafforza la tesi che le reti di siti fraudolenti non siano operative isolate ma componenti di un’infrastruttura di servizio — un sanctions-evasion-as-a-service — che vende documentazione falsa a più reti operative simultaneamente.Due righe per compliance e difensoriPer le organizzazioni del settore marittimo, portuale e finanziario coinvolte in operazioni di due diligence, il rapporto segnala un cambio di paradigma: la verifica documentale tradizionale non è più sufficiente. Le raccomandazioni operative includono la verifica indipendente contattando direttamente le autorità nazionali (non tramite link nei documenti), l’integrazione di feed CTI nelle piattaforme di compliance per rilevare domini fraudolenti, l’analisi WHOIS dei domini presenti nei certificati e la segnalazione coordinata alle autorità dei Paesi la cui identità viene impersonata.Fonte primaria: Insikt Group / Recorded Future, 11 giugno 2026.
  • 0 Votazioni
    1 Post
    21 Visualizzazioni
    Anthropic limita Glasswing: l’AI che trova zero-day è un vantaggio strategico e fa paura📌 Link all'articolo : https://www.redhotcyber.com/post/zeroday-le-armi-cibernetiche-e-il-caso-di-anthropic-glasswing/A cura di Massimiliano Brolli#redhotcyber #news #intelligenzaartificiale #cyberwar #cybersicurezza #zeroday #glasswing
  • 0 Votazioni
    1 Post
    26 Visualizzazioni
    Crisi USA-Iran, hacktivismo e ChatGPT-Pentagono: quando la fiducia diventa infrastruttura📌 Link all'articolo : https://www.redhotcyber.com/post/crisi-usa-iran-hacktivismo-e-chatgpt-pentagono-quando-la-fiducia-diventa-infrastruttura/#redhotcyber #news #cyberwar #guerrainformatica #sicurezzainformatica #hacking #malware #ransomware #fiducia
  • 0 Votazioni
    1 Post
    22 Visualizzazioni
    Dalla guerra dei chip al Mar Nero: perché la geopolitica sta riscrivendo le regole del cyber📌 Link all'articolo : https://www.redhotcyber.com/post/dalla-guerra-dei-chip-al-mar-nero-perche-la-geopolitica-sta-riscrivendo-le-regole-del-cyber/#redhotcyber #news #cyberwar #intelligenceeconomica #cybersecurity #osint #geopolitica #guerrainformatica