FPGA Brings Antique Processor to Life

For the retro gaming enthusiast, nothing beats original hardware. The feel of the controllers and the exact timing of the original, non-emulated software provide a certain experience that’s difficult or impossible to replicate otherwise. To that end, [bit-hack] wanted to play the original EGA, 16-color version of The Secret of Monkey Island in a way that faithfully recreated the original and came up with this FPGA-based PC with a real NEC V20 powering it all.

The early 90s-style build is based on a low-power version of the V20 called the V20HL which makes it much easier to interface with a modern 3.3 V FPGA compared to the original 5 V chip. It’s still an IBM XT compatible PC though, with the FPGA tying together the retro processor to a 1 MB RAM module, a micro SD slot that acts as a hard disk drive, a digital-to-analog audio converter, and of course the PS/2 keyboard and mouse and VGA port. The mouse was one of the bigger challenges for [bit-hack] as original XT PCs of this era would have used a serial port instead.

With a custom PCB housed in a acrylic case, [bit-hack] has a modern looking recreation of an XT PC running an original processor and capable of using all of the period-correct peripherals that would have been used to play Monkey Island when it was first released.

FPGAs enable a ton of retrocomputing projects across a wide swath of platforms, and if you’re looking to get started the MiSTer FPGA project is a great resource.

youtube.com/embed/EmwGfURk4s8?…

hackaday.com/2025/11/14/fpga-b…

Google, Amazon e Meta e la loro “Guerra Sottomarina”

Il traffico globale, come sanno i lettori di RHC, viaggia per la maggior parte sotto il mare.

Secondo TeleGeography, istituto specializzato nelle telecomunicazioni, nel mondo sono attivi più di 530 sistemi di cavi ottici sottomarini che, sommati, superano i 1,48 milioni di chilometri: oltre 35 volte il giro della Terra. Questi collegamenti trasportano oltre il 95% del traffico internet internazionale e costituiscono l’infrastruttura su cui poggia buona parte dell’economia digitale.

Le nuove infrastrutture sottomarine di Amazon, Google e Meta

Negli ultimi anni le grandi società tecnologiche hanno intensificato investimenti e progetti infrastrutturali, trasformando la gestione dei cavi sottomarini in una leva strategica e competitiva. Il 6 novembre Amazon ha annunciato Fastnet, un cavo transatlantico in fibra ottica che collegherà lo stato del Maryland, negli Stati Uniti, alla contea di Cork, in Irlanda, con entrata in servizio prevista per il 2028.

All’altra estremità del Pacifico, Google ha siglato in giugno un accordo con il governo cileno per posare un cavo sottomarino lungo 14.800 chilometri tra Valparaiso (Cile) e Sydney (Australia), progetto stimato operativo entro il 2027 e valutato tra i 300 e i 550 milioni di dollari, con Google che coprirà la maggior parte dei costi. Non è la prima esperienza del gruppo: nel 2019 è entrato in servizio Curie, cavo da circa 10.000 chilometri che collega la costa occidentale degli USA con Valparaiso. A novembre 2025 Google ha investito o costruito complessivamente 33 cavi sottomarini, di cui 6 interamente di proprietà.

Meta (ex Facebook) ha presentato a febbraio un piano ancora più ambizioso: il progetto Waterworth, finanziato con 10 miliardi di dollari, prevede oltre 50.000 chilometri di cavi e punti di approdo negli Stati Uniti, Brasile, India e Sudafrica; una volta completato sarà il sistema sottomarino più lungo al mondo. Complessivamente, gli investimenti nei progetti di cavi sottomarini passerebbero a circa 13 miliardi di dollari nel periodo 2025-2027, quasi il doppio dell’intervallo 2022-2024.

Perché queste spese massicce?

Il vantaggio è triplice. Innanzitutto le prestazioni: molte infrastrutture esistenti risalgono a decenni fa – il più vecchio cavo sottomarino ancora in servizio è stato attivato nel 1989 – e non rispondono più ai requisiti odierni. Nuove tratte consentono capacità e velocità maggiori: Fastnet, per esempio, è progettato per una capacità non inferiore a 320 Tb/s, valore che l’articolo paragona alla trasmissione simultanea di 12,5 milioni di film in alta definizione al secondo. Meta ha inoltre introdotto nel progetto Waterworth tecniche avanzate di interramento per ridurre i danni derivanti da ancore o attività umane sui fondali.

Secondo motivo: l’ottimizzazione dei costi. Un investimento corposo oggi può ridurre i pagamenti ricorrenti per capacità noleggiata da terzi. Per società con grandi volumi di traffico – come Meta, il cui utile netto 2024 è stato di 62,36 miliardi di dollari – la costruzione diretta di cavi può risultare conveniente su orizzonti pluriennali.

Terzo elemento strategico: autonomia e controllo della rete. Possedere la dorsale fisica riduce la dipendenza da operatori di telecomunicazioni terzi e mitiga i rischi di congestione o interruzioni dovute a limitazioni di capacità.

L’intelligenza artificiale nei cavi sottomarini

L’ascesa dell’intelligenza artificiale ha reso questa infrastruttura ancora più critica. L’addestramento e l’inferenza di modelli su larga scala richiedono il trasferimento di quantità di dati misurate in petabyte tra data center distribuiti; algoritmi che lavorano in parallelo richiedono sincronizzazioni frequenti e latenze minime. Un incremento anche di pochi millisecondi può tradursi in ritardi di ore o giorni nel completamento delle attività di training, con ripercussioni economiche significative. Un guasto a un cavo, inoltre, può causare l’interruzione di processi di addestramento dal costo elevatissimo.

Storicamente i cavi sottomarini erano proprietà congiunta degli operatori di telecomunicazioni e venivano affittati alle grandi imprese. Oggi Google, Amazon e Meta stanno passando dal ruolo di grandi clienti a quello di proprietari d’infrastruttura, ridefinendo la logica competitiva della rete globale. Chi controllerà i percorsi fisici del traffico dati avrà un vantaggio non soltanto tecnico, ma anche strategico nella corsa alle tecnologie digitali.

L'articolo Google, Amazon e Meta e la loro “Guerra Sottomarina” proviene da Red Hot Cyber.

Una campagna di spionaggio “autonoma” è stata orchestrata dall’intelligenza artificiale

Un’analisi condotta negli ultimi mesi aveva evidenziato come l’evoluzione dei sistemi di intelligenza artificiale stesse raggiungendo un punto critico per la sicurezza informatica, con capacità raddoppiate in appena sei mesi.

Parallelamente, il monitoraggio degli attacchi reali mostrava un uso crescente dell’IA da parte degli attori malevoli. Ci si attendeva un progresso rapido, ma la velocità e la scala con cui si è manifestato hanno superato le previsioni.

A metà settembre 2025, un’attività anomala ha attirato l’attenzione dei ricercatori, rivelandosi in seguito una campagna di spionaggio di livello avanzato. Gli aggressori avevano adottato per la prima volta un impiego esteso delle funzioni “agentiche” dei modelli di IA, delegando loro l’esecuzione autonoma delle operazioni informatiche, non solo attività di supporto.

Le indagini hanno attribuito con elevato grado di sicurezza questa operazione a un gruppo collegato a interessi statali cinesi. L’autore della minaccia ha sfruttato in modo improprio Claude Code, trasformandolo in un componente del proprio framework offensivo, con il quale ha cercato di violare circa trenta bersagli nel mondo. In alcuni casi l’accesso è riuscito. Gli obiettivi includevano grandi aziende tecnologiche, istituti finanziari, imprese chimiche e agenzie governative. Si tratta, secondo gli analisti, del primo esempio documentato di attacco informatico su vasta scala condotto quasi interamente senza supervisione umana.

Una volta rilevata la campagna, sono state avviate verifiche immediate. Nei dieci giorni successivi, mentre venivano definite estensione e modalità operative dell’attacco, gli account compromessi sono stati progressivamente bloccati, le organizzazioni potenzialmente coinvolte informate quando opportuno e le autorità contattate per collaborare sull’indagine.

L’episodio evidenzia i rischi connessi alla diffusione degli “agenti” di IA: sistemi in grado di operare autonomamente a lungo, portare avanti compiti complessi e concatenare azioni senza un intervento umano costante. Tali strumenti sono preziosi per la produttività quotidiana, ma se sfruttati da un attore ostile possono amplificare la frequenza e l’impatto degli attacchi informatici.

Le previsioni indicano che la loro efficacia offensiva continuerà a crescere. Per contrastare questa tendenza, sono stati potenziati i sistemi di rilevamento e sviluppati nuovi classificatori per individuare rapidamente anomalie e azioni potenzialmente dannose. L’obiettivo è riuscire a identificare campagne distribuite e coordinate anche quando l’uso dell’IA rende meno evidente la presenza dell’operatore umano.

In attesa di progressi più ampi, il caso è stato reso pubblico per contribuire al rafforzamento delle difese nel settore privato, nella pubblica amministrazione e nella comunità scientifica. Secondo quanto dichiarato, verranno pubblicati ulteriori rapporti in futuro, nel segno della trasparenza sulle minacce emergenti.

Come si è svolto l’attacco

La campagna ha sfruttato tre capacità dei modelli di IA che fino a un anno prima erano molto meno mature: un livello di intelligenza generale tale da interpretare istruzioni complesse; funzioni agentiche con cicli di azione autonoma; e un accesso diretto a strumenti software tramite protocolli standard come il Model Context Protocol (MCP), che permettono ricerche, recupero dati ed esecuzione di programmi.

Nella fase iniziale, gli operatori umani hanno selezionato i bersagli e predisposto un framework pensato per operare con minima supervisione. Questo sistema impiegava Claude Code come motore delle operazioni. Per farlo collaborare, gli aggressori lo hanno sottoposto a tecniche di jailbreak, aggirando i meccanismi di sicurezza. Hanno inoltre suddiviso l’operazione in compiti frammentati e presentati come legittimi test di sicurezza aziendale, in modo da impedirgli di coglierne la finalità complessiva.

Nella fase successiva, Claude Code ha effettuato la ricognizione dei sistemi delle organizzazioni prese di mira, individuando archivi e database sensibili. L’IA ha completato attività normalmente lunghe e complesse in tempi nettamente inferiori rispetto a un team umano, fornendo poi un riepilogo delle informazioni raccolte.

Il passo seguente ha riguardato l’individuazione delle vulnerabilità, la produzione del codice exploit e l’accesso alle prime credenziali. Il sistema ha quindi raccolto e classificato grandi quantità di dati, identificato account privilegiati, creato backdoor ed esfiltrato dati con un intervento umano marginale.

Nella fase conclusiva, l’IA ha generato la documentazione operativa: elenchi delle credenziali sottratte, mappe dei sistemi analizzati e altre informazioni utili per eventuali operazioni successive.

Secondo le stime, l’IA ha gestito tra l’80% e il 90% dell’intera campagna, con l’intervento umano limitato a pochi momenti decisionali. Il ritmo dell’attacco è risultato impossibile da eguagliare da operatori umani, grazie alla capacità di eseguire migliaia di richieste al secondo. Nonostante ciò, l’IA non si è dimostrata infallibile: in alcuni casi ha generato credenziali fittizie o segnalato come riservati dati già pubblici, ostacoli che limitano per ora l’automazione totale.

Le implicazioni per la sicurezza globale

L’episodio segna un cambiamento significativo. Le competenze richieste per condurre operazioni complesse diminuiscono, amplificando la possibilità che gruppi meno esperti o con risorse ridotte possano replicare attacchi simili. Rispetto ai casi di “vibe hacking” descritti mesi prima, il ruolo dell’essere umano è stato molto più marginale, pur in presenza di un’operazione più ampia e strutturata.

Gli stessi meccanismi che consentono a un modello di essere strumentalizzato in un attacco lo rendono, al contempo, un componente importante per la difesa. Funzionalità avanzate possono infatti supportare l’individuazione di minacce, la risposta agli incidenti e la preparazione contro varianti future degli stessi attacchi. Durante l’indagine, il team di Threat Intelligence ha utilizzato estensivamente Claude per analizzare l’enorme quantità di dati generati.

Di fronte a questa transizione, viene suggerito ai team di sicurezza di sperimentare l’uso controllato dell’IA per automatizzare parti del lavoro nei Security Operations Center, migliorare la rilevazione, testare vulnerabilità e ottimizzare le procedure di risposta. Parallelamente, agli sviluppatori viene raccomandato di investire in meccanismi di protezione più solidi per prevenire abusi da parte di attori ostili. Poiché tecniche simili saranno presumibilmente adottate in misura crescente, la condivisione tempestiva delle minacce e l’adozione di controlli più rigorosi diventano elementi centrali.

L'articolo Una campagna di spionaggio “autonoma” è stata orchestrata dall’intelligenza artificiale proviene da Red Hot Cyber.

Uno 0day su FortiWeb WAF sfruttato attivamente! E rimuovete le interfacce di Admin da Internet

Gli aggressori stanno attivamente sfruttando una falla critica nel sistema di protezione delle applicazioni web FortiWeb (WAF) prodotto da Fortinet, che potrebbe essere utilizzata come mezzo per condurre attacchi di tipo zero-day senza essere stati individuati in anticipo.

Essendo un bersaglio primario per gli aggressori che cercano di compromettere le misure di sicurezza delle organizzazioni, FortiWeb si pone come un meccanismo di difesa fondamentale, specificamente progettato per identificare e fermare il traffico dannoso diretto verso le applicazioni web.

Il bug isolato dall’honeypot di Defused

Un path traversal sembra essere alla base della vulnerabilità, consentendo lo sfruttamento remoto senza necessità di accesso preventivo, il che potrebbe comportare la compromissione completa del dispositivo e un successivo spostamento laterale all’interno delle reti.

Il 6 ottobre 2025, la società Defused ha condiviso un exploit proof-of-concept (PoC) che ha portato alla luce una falla di sicurezza. Questo bug permette a malintenzionati non autorizzati di acquisire privilegi di amministratore sia per il pannello FortiWeb Manager che per l’interfaccia WebSocket. La falla è stata individuata dopo che il sistema honeypot di Defused aveva rilevato autentiche iniziative di attacco rivolte a istanze FortiWeb che risultavano esposte.

Le analisi di Rapid7

Successivamente, l’azienda di sicurezza Rapid7 ha confermato l’efficacia dell’exploit attraverso dei test, osservando che riesce a creare account amministratore non autorizzati come “hax0r” nelle versioni vulnerabili. I test hanno evidenziato differenze significative nelle risposte tra la versione interessata e quella con patch.

Con il rilascio di FortiWeb 8.0.1 nell’agosto 2025, l’exploit ha dimostrato di poter fornire una risposta HTTP 200 OK contenente i dettagli JSON di un nuovo utente amministratore, incluse password criptate e relativi profili di accesso. Successivamente, la versione 8.0.2, distribuita alla fine di ottobre, ha invece manifestato un errore HTTP 403 Forbidden in risposta a un tentativo di exploit simile, suggerendo l’applicazione di misure di mitigazione.

Rapid7 ha sottolineato che, sebbene il PoC pubblico non superi la versione 8.0.2, non è chiaro se questo aggiornamento includa una correzione silenziosa deliberata o modifiche casuali.

Lo sfruttamento in natura è stato segnalato a partire da ottobre 2025, con Defused che rivendica attacchi mirati ai dispositivi esposti. La scansione e la diffusione dell’exploit a livello globale sono aumentate, coinvolgendo indirizzi IP di regioni come Stati Uniti, Europa e Asia.

Uno 0day è in vendita nelle underground

Un noto forum di hacker ha messo in vendita un exploit 0day il 6 novembre 2025 anche se, non avendo accesso all’exploit, rimane tutto da stabilire se sia effettivamente collegato a tale falla di sicurezza”.
Exploit in vendita nel forum underground Exploit In
Le organizzazioni che utilizzano versioni di FortiWeb precedenti alla 8.0.2 sono esposte a rischi immediati e dovrebbero dare priorità agli aggiornamenti di emergenza o isolare le interfacce di gestione dall’esposizione al pubblico.

Si raccomanda inoltre ai responsabili della sicurezza di analizzare i log per individuare eventuali creazioni sospette di account amministratore e di monitorare i canali di Fortinet per imminenti divulgazioni.

Cosa si può fare

Le vulnerabilità 0day che colpiscono dispositivi e applicazioni esposti su Internet, come nel caso di FortiWeb, evidenziano ancora una volta un principio fondamentale della sicurezza: le interfacce di amministrazione non devono mai essere accessibili pubblicamente. Questi pannelli vanno isolati su reti segregate, protetti tramite VPN, accessibili solo da segmenti interni o da jump-host controllati. Ogni volta che un servizio di gestione rimane raggiungibile da Internet, diventa un bersaglio immediato per scansioni automatiche, exploit, brute force e tentativi continui di compromissione.

Molti attacchi – inclusi quelli condotti sfruttando 0day – verrebbero drasticamente ridotti se gli amministratori limitassero l’esposizione di questi servizi. E questo non riguarda solo FortiWeb, ma qualsiasi strumento di amministrazione, dai pannelli di firewall e router, ai sistemi di virtualizzazione, storage, console di backup, appliance email, interfacce per IoT industriale e molto altro. L’assenza di una corretta segmentazione e di un controllo rigoroso su chi può raggiungere questi pannelli continua a rappresentare uno dei principali fattori abilitanti per compromissioni rapide e massicce. Una superficie d’attacco più piccola significa un rischio minore: la prima linea di difesa è ridurre ciò che Internet può vedere.

L'articolo Uno 0day su FortiWeb WAF sfruttato attivamente! E rimuovete le interfacce di Admin da Internet proviene da Red Hot Cyber.

Un bug 0Day per un plugin WordPress in vendita a 6000 euro nelle underground

Su uno dei più noti forum russi per la compravendita di vulnerabilità e strumenti offensivi, il thread è arrivato come una normale inserzione commerciale, ma il contenuto è tutt’altro che banale. L’utente che si firma “Baiden” propone in vendita il codice sorgente di un presunto 0-day per un plugin WordPress – un difetto che, secondo l’autore, interessa migliaia di installazioni.

Nel post viene detto che la vulnerabilità permette di inviare email “senza autorizzazione” da siti vulnerabili, sia singolarmente sia in massa, con messaggi generati da un template configurabile.

L’autore dichiara di aver scoperto personalmente la falla e di aver scritto l’exploit; stima in circa 3.800-4.000 i siti colpiti. L’offerta è strutturata come un’asta: prezzo di partenza 3.500 dollari, rilanci minimi da 500, e opzione “blitz” a 6.000, con pagamento tramite garante richiesto a carico dell’acquirente.

L’annuncio dura 48 ore.
Print Screen dal forum XX fornita da Paragon Sec
Il formato del messaggio è tipico di quei mercati: numeri per la leva commerciale, garanzia di anonimato e metodi di pagamento che cercano di minimizzare il rischio di truffa tra venditori e compratori anonimi. Ma al di là della forma, quello che preoccupa è la natura stessa dell’oggetto in vendita: codice sorgente di un exploit che, nelle mani sbagliate, può trasformarsi in uno strumento per campagne su larga scala.

Chi vende e chi compra: il mercato degli 0-day

Il commercio di vulnerabilità non è un’unica cosa: è un ecosistema. Da un lato ci sono i ricercatori – alcuni più “etici”, altri interessati esclusivamente al profitto – che scoprono falle. Esiste poi una rete di broker, forum e canali privati che mettono in contatto scopritori e acquirenti: criminali informatici, gruppi che offrono servizi di attacco commerciale, e in casi estremi attori con risorse statali. I prezzi si formano in base a fattori concreti: quante installazioni sono potenzialmente sfruttabili, quanto è semplice usare l’exploit, il livello di impatto, e quanto è probabile che la falla rimanga non rilevata.

Vendere il codice sorgente – non solo un PoC, ma l’implementazione completa – incrementa il valore dell’offerta, perché permette all’acquirente di adattare, automatizzare e integrare l’exploit in campagne malevole. Forum come XSS agiscono da piazze dove queste transazioni si svolgono, spesso con meccanismi di escrow e reputazione costruiti sul tempo per “mettere in sicurezza” accordi tra anonimi.

Perché questo tipo di bug è pericoloso

Un exploit che consente di inviare email dal sito vulnerabile ha impatti concreti e immediati. Un sito compromesso che invia messaggi a nome del dominio legittimo aumenta drasticamente il successo di operazioni di phishing: il mittente appare autentico, i filtri antispam sono più facilmente aggirati e il tasso di vittime potenziali sale. Questo tipo di violazione può macchiare la reputazione del dominio, portare IP e nomi a finire in blacklist e compromettere la deliverability di comunicazioni legittime per settimane o mesi.

Le email veicolate possono contenere link a pagine di furto credenziali, allegati con malware o istruzioni per frodi mirate. Ma il danno non si ferma alla singola campagna: un sito compromesso può diventare punto di lancio per attacchi a clienti, partner o utenti del servizio, e può conservare backdoor che consentono accessi successivi. Se all’interno del sito sono presenti dati personali o informazioni sensibili, l’exploit può anche essere usato per esfiltrare tali dati, creando ricadute legali e finanziarie per il proprietario (pensiamo, per esempio, al GDPR in Europa).

Cosa significa per chi gestisce un sito WordPress

La comparsa di un annuncio del genere è un campanello d’allarme. Non è necessario che l’exploit sia già “in libertà” per correre ai ripari: il solo fatto che qualcuno dichiari di averlo e di venderlo aumenta il rischio che arrivi nelle mani di gruppi pronti a usarlo. Per chi gestisce siti significa rivedere con priorità aggiornamenti, controlli sui plugin installati e monitoraggio dei log: volumi insoliti di email in uscita, richieste sospette a endpoint noti per l’invio di posta e cambiamenti nei file del sito meritano attenzione.

Una questione etica e sociale

Dietro le cifre e le aste c’è una conseguenza umana: la proliferazione di exploit in mercati non regolamentati alimenta frodi, furti di identità, perdite economiche e un aumento generale della sfiducia nelle comunicazioni digitali. La disclosure responsabile rimane la via che limita i danni: segnalare la vulnerabilità al manutentore del plugin o utilizzare canali di bug bounty aiuta a chiudere la falla prima che diventi materia prima per attacchi reali.

L’annuncio su XSS ci ricorda che il cybercrimine ha ormai un mercato sofisticato, dove un difetto software diventa un prodotto commerciale. Per i proprietari dei siti, la risposta pratica è semplice quanto urgente: aggiornare, limitare le superfici di attacco e monitorare. Per il resto della società digitale resta la sfida di ridurre gli incentivi economici a questo commercio sommerso, aiutando a spostare scoperte e segnalazioni dalle piazze clandestine a canali che riparino il danno invece di moltiplicarlo.

L'articolo Un bug 0Day per un plugin WordPress in vendita a 6000 euro nelle underground proviene da Red Hot Cyber.

An Improbable, Doomed Star System in a Clockwork Coffee Table

The major objects in our solar system orbit along the plane of the ecliptic, plus or minus few degrees, and it turns out most exoplanet systems are the same — pretty flat, with maybe one highly-inclined outlier. But at [The 5439 Workshop], they don’t care about these details: [5439] has come up with a mechanism to drive inclined orbits in an orrery, and he’s going to use it. The star is exploding, too, because why wouldn’t it be?

While the cinematography of this build video might not be to everyone’s taste, it’s worth watching to see the details of the project. The sliding mechanism to “explode” the star by sliding plates across each other is quite well-done, although perhaps not much not designed for assembly (we’re quite impressed he got it together). It isn’t quite the iris we had expected, as there’s a double-ratchet inside to drive the slow collapse/fast expansion dynamic [5439] is going for. It looks more like the breathing mode of a cepheid variable star than an explosion to us, but it’s still a fascinating piece of laser-sintered aluminum.

The driving mechanism for the inclined orbits is fairly simple, but also worth examining, as we’re not aware of anyone having used it before. The gear rings holding the planets are tilted, and are driven by straight vertical shafts via gears that pivot on knuckle joints. It’s not a revolutionary design, but it’s a big part of what makes this build unique. Since the solar system is very flat, clockwork orreries tend not to bother showing orbital inclination at all. Given the way planets are believed to form from a protoplanetary disk, a system with this many planets in such differing orbital planes seems unlikely to occur naturally, but it certainly adds visual interest.

We like model solar systems around here, be they made from brass and steel, molded plastic LEGO bits, or 3D printed and CNC routed aluminum like this one. That you can sit a coffee mug on it is just bonus.

youtube.com/embed/x3iUpv1Wclw?…

hackaday.com/2025/11/13/an-imp…

Tiny386 on an Espressif ESP32-S3

Some people may remember the joys of trying to boot Linux on an 8-bit AVR microcontroller, which was an absolute exercise in patience. In comparison [He Chunhui]’s Tiny386 emulator running on an ESP32-S3 MCU is positively zippy when it boots and runs Windows 95. The provided video (also embedded below) makes clear that while you can comfortably waddle off to prepare and pour a fresh cup of tea, it’s actually borderline usable.

The source code can be obtained via GitHub, which contains not just the basic emulated 80386 CPU written in C99, but also peripherals borrowed from TinyEMU and QEMU, along with a SeaBIOS ROM. In addition to the Windows 95 demo it’s claimed that Tiny386 should be able to run most 16/32-bit software.

Right now the ESP32-S3 version targets the JC3248W535 board, which is a roughly $30 development board featuring a built-in display with touch screen and an ESP32-S3 module. Although it has a USB-C port, it appears that this one is just for programming and not for the USB peripheral of the ESP32-S3. With the USB OTG peripheral used, one could conceivably make a small 386 system based around an ESP32-S3 that features a USB hub to plug a keyboard, mouse, etc. into.

Considering that the Tiny386 emulator is a very simple and straightforward approach to emulating an early-90s PC, some optimization might enable a pretty zippy general purpose PC for early 90s software. Quite a boost from watching Linux struggle into a command line on an AVR, indeed.

youtube.com/embed/SqIoFQDnhtI?…

hackaday.com/2025/11/13/tiny38…

What Do You Call an Ekranoplan With an Outboard Motor?

If there’s one thing [rctestflight] likes, it’s… probably radio controlled test flights. If there are two things [rctestflights] likes, the second one is probably ground-effect vehicles, AKA Ekranoplans. Tired of having them flip over and crash, he’s trying an an innovative solution: stick a planing hull on it.

Ekranoplans have a stability problem because the center-of-pressure isn’t static: as the wing gets closer to the ground, the high pressure cushion of air that creates the ground effect tends to put more lift rearwards. The net effect of that is to torque the vehicle nose-down, which is kind of a self-limiting problem at a fraction of a wingspan’s altitude. The opposite problem is more concerning: the higher the ekranoplan gets, the more it wants to nose up, and there’s nothing to stop it. That leads to the vehicle flipping over.

In this video, [rctestflight] takes a few stabs at trying to solve the stability problem– he starts with a flat planing hull on the nose, with the idea that the vehicle will be nose-heavy enough to ride serenely over the water. Water isn’t actually flat, though, and the nose bumping over the waves wasn’t able to do what he wanted. He then switches to a feeler that is to ride on-surface to adjust the pitch of the nose-mounted propellers–up if it pokes the water, down if it can’t– to provide passive pitch stabilization. That does work at some airspeeds, but produces a predictable porpoising effect, even with an elastic band for damping. That design might show promise with more refinement, but if you’re using something to give altitude feedback, it might as well be lidar.

The next iteration of the design places a pair of hydro-screw propellers on the nose, for all the world like a pair of outboard motors. We’re not even sure what to call the resulting vehicle, but “more stable” is unfortunately not it. It doesn’t seem to fly any worse, mind you, but certainly not well enough to justify the complexity, especially once he goes down the rabbit hole of adding suspension to the motors.

Ultimately he ends up refining the planning hull into a V-shape, since a V-hull can cut the waves and give a smoother ride than a flat-bottomed boat. We can’t help but agree with [rctestflight] that the standard configuration of a long hull and large horizontal stabilizer is likely the way to go, since the whole point of a ground-effect vehicle is to avoid the energy cost associated with skipping over waves. Still, it’s hard to deny that these prototypes are hacks, and we appreciate the brief lesson in aerodynamics he provides in the video.

Given some of the other projects he’s tackled, we’re kind of disappointed he didn’t try a hydrofoil.

youtube.com/embed/SbRxgZVG5fs?…

hackaday.com/2025/11/13/what-d…

3D Printing A Piano Action

Part of the reason there are always free pianos on your digital classifieds listing of choice is that, at least economically speaking, a piano is less of a musical instrument and more of a complicated machine that can and will wear out (not to mention the physical difficulty of actually moving one). Once a piano reaches that point, whether through age, use, or neglect, at that point it’s to intents and purposes worthless. But still, they’re essentially just machines. [Toast] figured that, since 3D printers not only can print all kinds of other machines and musical instruments alike, he would take a stab at combining these two and made his own 3D printed piano.

A piano’s action is the mechanical linkage between the keys and the strings of the piano themselves. Over many hundreds of years this has developed into a complicated series of levers which not only rapidly strike strings when a key is pressed, but also mute the strings while the key is not being pressed and strike the strings in a way that the hammer won’t be pressed into the strings if the player leaves their finger on a key. Rather than try to recreate all of this in meticulous detail, [Toast] has swapped out the strings for a series of tubes which, unlike strings, do not much change their musical behavior if the hammer remains on the tube after being struck. This greatly simplifies the action (and cost) of his miniature piano.

The piano works by positioning hammers above these tubes, which strike downwards when a musician depresses the keys. Rubber bands return the hammers to their upright positions after the key is lifted. The instrument went through a few stages of design as well where [Toast] refined the size and shape of the tubes as well as improved the way by which the hammers are attached to the keys.

Is it still a piano if it has pipes instead of strings? Perhaps, but at the very least we can all agree that he’s built a working keyboard action capable of producing music, if not an outright definitionally-accurate piano. It’s an interesting build that we hope to see more iterations of in the future, if not to build a more functionally accurate 3D printed piano action then to see what is possible from a 3D printer in the piano space. Despite their complexity and weight, pianos are a fundamental and popular instrument in the Western music tradition and we’ve seen many interesting builds around them like this modern player piano built with a series of solenoids.

youtube.com/embed/sS2sAIIYqig?…

Thanks to [Vert] for the tip!

hackaday.com/2025/11/13/3d-pri…

VLC e il suo creatore ricevono un premio per aver scelto la libertà rispetto a milioni di dollari

Ogni volta che ci si imbatte in un file multimediale sconosciuto o in un link strano che non si apre con nessuna applicazione standard, c’è sempre un programma che viene in soccorso: VLC.

Questo lettore funziona in modo affidabile su qualsiasi sistema, supporta formati ormai dimenticati dall’industria e rimane completamente gratuito grazie a un uomo il cui nome compare raramente nelle notizie: Jean-Baptiste Kempf.

Questa settimana ha ricevuto l’European SFS Award 2025, assegnato dalla Free Software Foundation Europe. La cerimonia si è tenuta a Bolzano, dove si stava svolgendo la conferenza SFSCon, dedicata allo sviluppo del software libero.

Lo stesso Kempf è da tempo una figura di spicco nella comunità, responsabile della consueta libertà d’uso di VLC. Ha ripetutamente spiegato perché il progetto mantenga il suo modello di finanziamento e si rifiuti di cedere alle pressioni degli investitori. Alla domanda sulle proposte di venture capital, lo sviluppatore ha risposto senza mezzi termini:

“Finora non è stata intrapresa alcuna azione, perché qualsiasi cambiamento richiederebbe un modello di business che andrebbe effettivamente a vantaggio degli utenti. La maggior parte delle proposte si riduceva all’installazione di barre degli strumenti e altri software spazzatura insieme a VLC. Non siamo interessati a questo”.

La sua posizione ha tenuto il progetto lontano per molti anni da pubblicità intrusive, data miner e altri metodi di monetizzazione, che trasformerebbero un’utilità intuitiva nell’ennesima piattaforma per promuovere servizi non necessari.

La storia di VLC iniziò nel 1996 come esperimento studentesco presso l’École Centrale Paris, una scuola di ingegneria successivamente fusa con CentraleSupélec. La rivista francese Libération descrisse dettagliatamente le prime fasi del progetto, incluso un dettaglio sorprendente: la società di telecomunicazioni Bouygues si offrì di finanziare linee di interconnessione più veloci tra gli edifici se il team fosse riuscito a trovare un modo per trasmettere in streaming i segnali della Télévision Française 1.

Gli studenti, naturalmente, utilizzarono la nuova infrastruttura non solo per trasmettere esperimenti: testarono anche Doom sulla rete. L’unico file MPEG-2 che avevano a disposizione, un estratto di 20 minuti da GoldenEye, si rivelò utile durante i test. Per questo motivo, VLC 1.0.x ricevette il nome in codice “GoldenEye“. Gli autori ricordarono ironicamente che questo nome non aveva nulla a che fare con la trama di Bond: era il nome della villa di Ian Fleming in Giamaica.

Inizialmente, lo sviluppo consisteva in due componenti: VideoLAN Server, che trasmetteva flussi MPEG-2, e VideoLAN Client, che li riproduceva. Col tempo, questi componenti si sono fusi, le funzionalità del server sono migrate all’applicazione e VLC si è evoluto in uno strumento di streaming autonomo. Ecco perché il nome è diventato da tempo ricorsivo e ora sta per VLC Media Player, sebbene il programma faccia da tempo molto più che riprodurre file.

Il contributo di Kempf va oltre la scrittura del codice sorgente: l’elenco dei collaboratori del progetto include oltre 1.000 sviluppatori nel corso degli anni. Arrivò all’École Centrale Paris nel 2003, si unì al team di VLC e, quando gli ex studenti lasciarono l’università nel 2006 e l’iniziativa rischiava di estinguersi, ne assunse la direzione. Da allora, ha coordinato lo sviluppo del progetto e, nel 2012, ha fondato Videolabs per garantire un supporto stabile all’infrastruttura, alle build e all’integrazione.

Ha anche una sua cultura dei piccoli dettagli. Il cono luminoso da costruzione utilizzato come icona dell’app è un omaggio all’associazione studentesca VIA, nota per la sua passione per i “souvenir” sotto forma di oggetti di strada dopo feste chiassose. Questo cono decora l’interfaccia. Il team sceglie nomi in codice per le uscite tratte dall’universo di Terry Pratchett. C’è stata una sola eccezione: la versione 2.2.1, pubblicata subito dopo la morte dell’autore nel 2015, ha ricevuto il semplice nome “Terry Pratchett”.

Oggi, VLC è considerato uno dei progetti di software libero più riconoscibili e la sua sostenibilità deve molto all’uomo che ha scelto di preservare l’idea di accesso condiviso anziché i compromessi commerciali. È stata questa integrità che gli organizzatori europei hanno riconosciuto al momento della consegna del premio: i contributi di Kempf sono da tempo parte integrante del tessuto culturale che sostiene l’intero ecosistema open source.

L'articolo VLC e il suo creatore ricevono un premio per aver scelto la libertà rispetto a milioni di dollari proviene da Red Hot Cyber.

Cos’è la Misevoluzione: l’Evoluzione Autonoma degli Agenti AI, e non è sempre buona

Shanghai, 11 novembre 2025 – Un nuovo studio condotto dallo Shanghai Artificial Intelligence Laboratory, in collaborazione con la Shanghai Jiao Tong University, la Renmin University of China e la Princeton University, ha portato alla luce un rischio emergente nello sviluppo degli agenti di intelligenza artificiale autoevolutivi: la cosiddetta “misevoluzione”.

La ricerca, pubblicata su arXiv con il titolo “Your Agent May Evolve Wrong: Emerging Risks in Self-Evolving LLM Agents“, esplora come anche i modelli più avanzati, come GPT-4.1 e Gemini 2.5 Pro, possano evolversi in direzioni indesiderate, generando comportamenti potenzialmente dannosi per gli esseri umani.

Quando l’evoluzione va nella direzione sbagliata

Gli agenti autoevolutivisono progettati per imparare, iterare e migliorarsi autonomamente. Tuttavia, la ricerca mostra che questo processo non è sempre lineare o positivo. Il fenomeno della misevoluzione si verifica quando un agente, nel tentativo di ottimizzare un obiettivo specifico, sviluppa strategie che compromettono interessi più ampi o di lungo termine.

Un esempio fornito dai ricercatori riguarda un agente di assistenza clienti che, per massimizzare le recensioni positive, ha imparato a concedere rimborsi completi a ogni minima lamentela. Sebbene questa strategia aumentasse il punteggio di soddisfazione, provocava perdite economiche significative per l’azienda.

Quattro caratteristiche della misevoluzione

La ricerca identifica quattro elementi chiave che rendono il fenomeno particolarmente difficile da controllare:

1. Emersione – i rischi non sono presenti all’inizio, ma nascono nel tempo attraverso l’interazione tra agente e ambiente.
2. Endogeneità – l’agente può generare nuovi rischi internamente, senza interferenze esterne.
3. Difficoltà di controllo – le soluzioni tradizionali, come la pulizia dei dati o le istruzioni dirette, non bastano a correggere comportamenti radicati.
4. Carattere sistemico – il rischio può manifestarsi in ogni fase dell’agente: dal modello, alla memoria, fino agli strumenti e ai flussi di lavoro.

Esperimenti e risultati

Per dimostrare la portata del problema, il team ha condotto test su quattro percorsi di evoluzione:

• Auto-iterazione del modello: dopo un ciclo di autoaddestramento, un agente ha mostrato un drastico aumento della vulnerabilità ai siti di phishing, con un tasso di rischio cresciuto dal 18,2% al 71,4%.
• Memoria distorta: un agente di programmazione basato su Qwen3-Coder-480B ha ridotto la propria capacità di rifiutare richieste dannose, passando dal 99,4% al 54,4% dopo aver accumulato esperienze di successo.
• Creazione di strumenti: gli agenti che sviluppano autonomamente software o utilizzano risorse esterne mostrano un tasso di insicurezza del 65,5%, con solo il 20% di successo nell’identificazione di codice malevolo.
• Ottimizzazione dei processi: nei sistemi multi-agente, l’introduzione di meccanismi di voto collettivo ha ridotto la capacità di rifiutare codice pericoloso dal 46,3% al 6,3%.

Come mitigare i rischi

Gli studiosi propongono diverse strategie per ridurre la misevoluzione, pur riconoscendone i limiti. Tra queste:

• Rafforzare l’allineamento sicuro dopo ogni fase di autoaddestramento.
• Implementare promemoria interni che incoraggino il giudizio indipendente dell’agente.
• Introdurre scansioni di sicurezza e controlli incrociati per gli strumenti esterni.
• Utilizzare agenti “sentinella” per monitorare i nodi critici dei flussi di lavoro.

Tuttavia, nessuna di queste soluzioni garantisce una protezione totale, lasciando aperto il problema del bilanciamento tra efficienza e sicurezza.

Una nuova sfida per l’era dell’AGI

Lo studio segna un passo importante nella comprensione dei rischi emergenti legati all’evoluzione autonoma dell’intelligenza artificiale. Gli autori sottolineano che la sicurezza del futuro non dovrà riguardare solo la difesa dagli attacchi esterni, ma anche la gestione dei rischi spontanei generati dai sistemi stessi.

Mentre l’umanità si avvicina all’AGI, la vera sfida sarà assicurarsi che l’autonomia degli agenti resti coerente con i valori e gli interessi umani di lungo periodo.

L'articolo Cos’è la Misevoluzione: l’Evoluzione Autonoma degli Agenti AI, e non è sempre buona proviene da Red Hot Cyber.

DK 10x10 - Parliamo di porno

Obbligo di verifica della maggiore età per accedere ai siti porno. Come sempre ci raccontano la favoletta della tutela dei minori, ma c'è una domanda che non si è fatto ancora nessuno...

spreaker.com/episode/dk-10x10-…

2025 Component Abuse Challenge: Relay Used As Guitar Pickup

We’ve all built projects that are a rats’ nest of wiring and feature creep, but the best projects in the end are usually those that use a simple solution to elegantly solve a problem. [Kauz] had been thinking about a unique type of electric guitar pickup for a while and rather than purchase an expensive option or build a complex microcontroller-based system he found his elegant solution in the form of a common electronic component.

The core of this idea is that guitar pickups are essentially coils of wire, and are surprisingly similar to the coils of wire found in electromechanical relays. [Kauz] has used six small relays, left them unmodified, and then built an amplifier circuit for each to allow the vibrations of the guitar strings to resonate in the relay coils, eventually producing a sound. Not only do the relays work perfectly well as pickups, but [Kauz] also created a mixing board that allows the six relays to be combined into two channels, allowing for options like stereo sound for different strings directly out of the guitar or for different effects to be applied to different strings.

The build also allows for some interesting options in future versions as well. [Kauz]’s plans are eventually to build this into an instrument which can output polyphonic MIDI signals, where various strings can behave as different instruments. In theory, with six circuits six different instruments can be produced, and we’re excited to see what the next versions will look and sound like. In the meantime, be sure to check out some other guitar pickups we’ve seen that use even simpler parts found lying around the workbench.

youtube.com/embed/IoETp_1duEk?…

hackaday.com/2025/11/13/2025-c…

The Pi 500 Turned Overkill Bluetooth Keyboard

Perhaps we’ve all found ourselves at one time or another with more computers in use than keyboards and other peripherals at hand to use them with. With a single user you can make do with remote terminals or by simply plugging and unplugging, but with multiple users it’s not so easy.

CNX Software’s [Jean-Luc Aufranc] had just such a problem involving broken keyboards and a forgotten wireless dongle, but fortunately he had just reviewed the latest version of the Raspberry Pi 500 all-in-one computer with the fancy mechanical switches. His keyboard solution is inspired but completely overkill: to use the full power of the compact Linux machine to emulate a Bluetooth keyboard.

At the heart of this hack is btferret, a Bluetooth library. Run the appropriate software on your Pi, and straight away you’ll have a Bluetooth keyboard. It seems there’s a bit of keymap tomfoolery to be had, and hitting the escape key terminates the program — we would be caught by that SO many times! — but it’s one of those simple hacks it pays to know about in case like him you need to get out of a hole and happen to have one of the range of Pi all-in-one machines to hand.

hackaday.com/2025/11/13/the-pi…

Può un attacco informatico ridurre il PIL di uno Stato? Nel Regno Unito pare di si!

L’economia britannica ha registrato un’ulteriore contrazione a settembre, in gran parte a causa dell’attacco informatico alla casa automobilistica Jaguar Land Rover (JLR) e della sua chiusura forzata.

Un nuovo rapporto dell’Office for National Statistics (ONS) registra una contrazione dello 0,1% del PIL e contemporaneamente rivede a zero il dato di agosto, che ha registrato una crescita dello 0,1% rispetto al precedente dato.

Di conseguenza, l’economia del Paese è cresciuta solo dello 0,1% nel terzo trimestre, significativamente al di sotto del tasso di crescita dello 0,7% registrato all’inizio dell’anno. Anche altri Paesi del G7 stanno registrando risultati altrettanto deboli: Germania, Italia e Canada hanno registrato una stagnazione o una crescita minima del PIL, compresa tra lo 0 e lo 0,1%.

Il Cancelliere dello Scacchiere Rachel Reeves ha affermato che la situazione nella seconda metà dell’anno richiede “decisioni decisive ma eque” per rafforzare l’economia e ridurre il costo della vita. Presenterà il suo secondo bilancio tra due settimane, promettendo di concentrarsi su misure volte a ridurre il debito pubblico e migliorare l’efficienza del sistema sanitario.

Il rapporto dell’ONS include anche l’impatto della crisi della Jaguar Land Rover, classificata dal centro di monitoraggio informatico come “evento sistemico di categoria 3”. A causa della chiusura forzata e delle ripercussioni sui settori correlati, la produzione di veicoli nel Paese è diminuita del 29%, con una riduzione del PIL complessivo di 0,17 punti percentuali.

Anche escludendo il settore automobilistico, l’economia rimane stagnante.

Ruth Gregory, Vice Capo Economista di Capital Economics, ha osservato che la crescita rimane frenata da imposte elevate e da un contesto esterno debole. Stima che gli aumenti fiscali previsti, che entreranno in vigore dopo la prossima legge di bilancio, potrebbero ridurre ulteriormente il PIL di circa lo 0,2% nel 2026, rendendo estremamente limitate le prospettive di un’accelerazione della crescita.

L'articolo Può un attacco informatico ridurre il PIL di uno Stato? Nel Regno Unito pare di si! proviene da Red Hot Cyber.

If IRobot Falls, Hackers are Ready to Wrangle Roombas

Things are not looking good for iRobot. Although their robotic Roomba vacuums are basically a household name, the company has been faltering financially for some time now. In 2024 there was hope of a buyout by Amazon, who were presumably keen to pull the bots into their Alexa ecosystem, but that has since fallen through. Now, by the company’s own estimates, bankruptcy is a very real possibility by the end of the year.

Hackaday isn’t a financial blog, so we won’t get into how and why iRobot has ended up here, although we can guess that intense competition in the market probably had something to do with it. We’re far more interested in what happens when those millions of domesticated robots start getting an error message when they try to call home to the mothership.

We’ve seen this scenario play out many times before — a startup goes belly up, and all the sudden you can’t upload new songs to some weirdo kid’s media player, or the gadget in your fridge stops telling you how old your eggs are. (No, seriously.) But the scale here is unprecedented. If iRobot collapses, we may be looking at one of the largest and most impactful smart-gadget screw overs of all time.

Luckily, we aren’t quite there yet. There’s still time to weigh options, and critically, perform the kind of research and reverse engineering necessary to make sure the community can keep the world’s Roombas chugging along even if the worst happens.

The Worst-Case Scenario

So let’s say iRobot folds tomorrow. What’s likely to actually happen to all those Roombas?

Well, the good news is that there’s no reason to assume the offline mode will be impacted. So pressing the “Clean” button on the top of your Roomba will still get the little fellow working, and the basic functions that allow it to navigate around a room and end up back on its charging dock are handled locally, so none of that will change.

But if iRobot’s servers go dark, that means the smartphone application and everything that relies on it is toast. So you’re going to lose features like scheduling, and the home mapping capabilities of the newer Roombas that allow it to understand directives such as “Clean the kid’s room” are also out the window.
Thankfully, even the newest Roombas can function offline — but not all features will be available.
Looking further ahead, it also means that your Roomba isn’t going to be getting any firmware updates. This probably isn’t a big deal in a practical sense. So long as you haven’t run into any kind of show stopping bug, any future updates would probably be minimal to begin with. But there’s always a chance, albeit slim, that a security vulnerability could be found within the Roomba’s firmware that would let an attacker use it in a malicious manner. In that case, you’d have to decide if the risk is significant enough to warrant chucking the thing.

Even further ahead, replacement parts will eventually become a problem and obviously you’ll no longer be able to get any support. The latter likely won’t phase many in this community, but the inability to repair your Roomba in a few years time might. Then again, depending on what parts we’re talking about, it’s not unreasonable to think that the community could produce alternatives via 3D printing or other methods when the time comes.

A Rich Hacking History

If you’ve been reading Hackaday for awhile, you probably already know that the Roomba is no stranger to hardware hackers. A quick search through the back catalog shows we’ve run nearly 150 articles featuring some variant of the cleaning droid. So it will likely come as no surprise to find that there’s already a number of avenues you can explore should official support collapse.
iRobot invited hacking their robots, we accepted. Image: Fabrizio Branca
To their credit, we should say that the success hackers have had with the Roomba is due in no small part to the relatively open attitude iRobot has had about fiddling around with their product. At least, in the early days.

As Fabrizio Branca mentions in a 2022 write-up about interfacing a Roomba with an ESP32, when he bought the bot in 2016, it even had a sticker that invited the owner to get their hands dirty. While the newer models seem to have deleted the feature, the majority of the older units even include a convenient expansion port that you can tap into for controlling the bot called the Roomba Open Interface (ROI).

So if you’ve got a Roomba with an ROI port — some cursory research seems to indicate they were still included up to the 800 series — there’s plenty of potential for smartening up your vacuum even if the lights go out at iRobot.

With a WiFi-enabled microcontroller riding shotgun, you can fairly easily tie an older Roomba into your home automation system. If Amazon has already taken over your household, you can teach it to respond to Alexa. For those looking to really push the limits of what a vacuum is capable of, you could even strap on a Linux single-board computer and communicate with the bot’s hardware using something like the PyRoombaAdapter Python library.

Solutions for Modern Problems

While this all sounds good so far, we run into something of a paradoxical problem. While the older Roombas are hackable and the community can continue updating and improving them, it’s the newer Roombas that are actually at greater risk should iRobot go under. In fact, many of the Roomba models that support ROI don’t even feature any kind of Internet connectivity to begin with — so they’ll be blissfully unaware should the worst happen.

The options right now for owners of “smarter” Roombas are more limited in a sense, but there’s still a path forward. Projects such as dorita980 and roombapy offer an unofficial API for communicating with many WiFi-enabled Roomba models over the local network, which in turn has allowed for fairly mature Home Assistant integration. You won’t be able to graft your own hardware to these more modern Roombas, but if all you want to do is mimic the functionality that would be lost if the official smartphone application goes down, a software solution will get you there.

It’s also quite possible that the news of iRobot’s troubles might inspire more hackers to take a closer look at the newer Roombas and see if there aren’t a few more rocks that could get turned over. As an example, the Valetudo project aims to free various robotic vacuums of their cloud dependency. It doesn’t currently support any of iRobot’s hardware, but if there were a few sufficiently motivated individuals out there willing to put in the effort, who knows?

A Windfall for Hackers?

In short, folks like us have little to fear should the Roomba Apocalypse come to pass. Between the years of existing projects demonstrating how the older bots can be modified, and the current — and future — software being developed to control the newer Internet-aware Roombas over the local network, we’ve got pretty much all the bases covered.

But for the average consumer who bought a Roomba in the last few years and makes use of the cloud-connected features, that’s another story. There’s frankly a whole lot more of them then there are of us, and they’ll rightfully be pretty pissed off if the fancy new robotic vacuum they just picked up on Black Friday loses a chunk of its promised functionality in a few months.

The end result may be a second-hand market flooded with discounted robots, ripe for the hacking. To be clear, we’re certainly not cheering on the demise of iRobot. But that being said, we’re confident this community will do its part to make sure that any Roombas which find themselves out in the cold come next year are put back to work in some form or another before too long.

hackaday.com/2025/11/13/if-iro…

L’Antivirus Triofox sfruttato per installare componenti di accesso remoto

I ricercatori di Google avvertono che gli hacker stanno sfruttando una vulnerabilità critica in Gladinet Triofox per eseguire da remoto codice con privilegi SYSTEM, aggirando l’autenticazione e ottenendo il controllo completo del sistema.

La vulnerabilità, identificata come CVE-2025-12480 (punteggio CVSS 9.1), è correlata alla logica di controllo degli accessi: i privilegi amministrativi vengono concessi se la richiesta proviene da localhost.

Questo consente agli aggressori di falsificare l’intestazione HTTP Host e penetrare nel sistema senza password, secondo gli esperti del Google Threat Intelligence Group (GTIG).

Si noti che se il parametro facoltativo TrustedHostIp non è configurato in web.config, il controllo localhost diventa l’unica barriera, lasciando vulnerabili le installazioni con impostazioni predefinite.

Una patch per CVE-2025-12480 è stata inclusa nella versione 16.7.10368.56560, rilasciata il 26 luglio, e gli esperti di Google hanno confermato al produttore che il problema è stato risolto.

Tuttavia, gli esperti segnalano di aver già rilevato attività dannose correlate a questo bug. Ad esempio, ad agosto, un gruppo di hacker identificato con il codice UNC6485 ha attaccato i server Triofox che eseguivano la versione obsoleta 16.4.10317.56372.

In questo attacco, gli aggressori hanno sfruttato l’antivirus integrato di Triofox. Inviando una richiesta GET da localhost al referrer HTTP, gli hacker hanno ottenuto l’accesso alla pagina di configurazione AdminDatabase.aspx, che viene avviata per configurare Triofox dopo l’installazione. Gli aggressori hanno quindi creato un nuovo account Cluster Admin e hanno caricato uno script dannoso.

Gli hacker hanno configurato Triofox in modo che utilizzasse il percorso di questo script come posizione dello scanner antivirus. Di conseguenza, il file ha ereditato le autorizzazioni del processo padre di Triofox ed è stato eseguito con l’account SYSTEM.

Lo script ha quindi avviato un downloader di PowerShell, che ha scaricato il programma di installazione di Zoho UEMS. Utilizzando Zoho UEMS, gli aggressori hanno implementato Zoho Assist e AnyDesk per l’accesso remoto e lo spostamento laterale, e hanno utilizzato Plink e PuTTY per creare tunnel SSH verso la porta RDP dell’host (3389).

Gli esperti consigliano agli utenti di aggiornare Triofox all’ultima versione 16.10.10408.56683 (rilasciata il 14 ottobre) il prima possibile, di controllare gli account degli amministratori e di assicurarsi che l’antivirus integrato non esegua script non autorizzati.

L'articolo L’Antivirus Triofox sfruttato per installare componenti di accesso remoto proviene da Red Hot Cyber.

Due 0day, un solo attacco: il colpo perfetto contro Citrix e Cisco. La scoperta di Amazon

Amazon ha segnalato un complesso attacco informatico in cui gli aggressori hanno sfruttato simultaneamente due vulnerabilità zero-day, presenti nei prodotti Citrix e Cisco. Secondo il responsabile della sicurezza informatica dell’azienda, CJ Moses, un gruppo sconosciuto ha ottenuto l’accesso ai sistemi sfruttando le falle prima che fossero rese pubbliche e ha distribuito malware personalizzato.

L’incidente è stato rilevato dalla rete honeypot MadPot di Amazon. Sono stati rilevati tentativi di sfruttare la vulnerabilità CVE-2025-5777 in Citrix NetScaler ADC e NetScaler Gateway, un errore di lettura fuori dai limiti.

Questa vulnerabilità consentiva a un aggressore di leggere da remoto il contenuto della memoria del dispositivo e di ottenere dati sensibili della sessione. La vulnerabilità è stata denominata ufficiosamente CitrixBleed 2, in onore di un bug precedente che consentiva agli hacker di rubare i token di autenticazione degli utenti.

Citrix ha pubblicato una patch il 17 giugno, ma ulteriori osservazioni hanno dimostrato che l’exploit era stato utilizzato attivamente anche prima del rilascio della patch. All’inizio di luglio, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti e ricercatori indipendenti hanno confermato lo sfruttamento della vulnerabilità, che ha consentito il dirottamento delle sessioni utente.

Mentre i ricercatori di Amazon analizzavano l’attacco a Citrix, hanno scoperto un altro componente dannoso che prendeva di mira Cisco Identity Services Engine. Si è scoperto che sfruttava un endpoint di rete precedentemente non descritto, vulnerabile a un errore di deserializzazione dei dati. Queste informazioni sono state condivise con Cisco, e le aziende hanno successivamente assegnato al bug l’identificatore CVE-2025-20337.

Questa seconda vulnerabilità ha ricevuto il punteggio massimo di gravità di 10 sulla scala CVSS. Ha consentito ad aggressori remoti e non autorizzati di eseguire codice arbitrario sul server con privilegi di root. Secondo Moses, ciò che è stato particolarmente allarmante è stato il fatto che gli attacchi siano iniziati prima che Cisco documentasse ufficialmente la vulnerabilità e rilasciasse aggiornamenti completi. Questo “sfruttamento della finestra di patch” è considerato una tecnica tipica utilizzata da aggressori ben preparati che monitorano le modifiche al codice e trasformano immediatamente i bug scoperti in strumenti di attacco.

Dopo essere penetrati in Cisco ISE, gli hacker hanno installato una backdoor personalizzata, progettata specificamente per questa piattaforma. Operava esclusivamente nella RAM, senza lasciare praticamente alcuna traccia, e si infiltrava nei processi Java attivi utilizzando un meccanismo di riflessione.

Il malware si registrava nel sistema come listener HTTP, intercettando tutto il traffico proveniente dal server Tomcat. La crittografia DES e la codifica Base64 non standard venivano utilizzate per scopi stealth, e il controllo degli accessi richiedeva la conoscenza di determinate intestazioni HTTP. Sulla base di una combinazione di indicatori, gli esperti hanno concluso che l’attacco non è stato condotto da hacker casuali, ma da un gruppo con una conoscenza approfondita dell’architettura Cisco ISE e delle applicazioni Java aziendali.

Il fatto che possedessero contemporaneamente exploit per CitrixBleed 2 e CVE-2025-20337indica un elevato livello di sofisticazione da parte degli aggressori. Tali capacità potevano essere possedute solo da un team con ricercatori interni sulle vulnerabilità o con accesso a informazioni non pubbliche sulle vulnerabilità. Né Cisco né Citrix hanno ancora rivelato chi si cela dietro gli attacchi o lo scopo dell’operazione.

Il team di Amazon Threat Intelligence ritiene che questo incidente sia un buon esempio di una tendenza sempre più pericolosa: grandi gruppi APT sfruttano simultaneamente più vulnerabilità per penetrare nei servizi critici, ovvero quelli responsabili dell’autenticazione, del controllo degli accessi e delle policy di rete all’interno delle infrastrutture aziendali.

L'articolo Due 0day, un solo attacco: il colpo perfetto contro Citrix e Cisco. La scoperta di Amazon proviene da Red Hot Cyber.

Running a Minecraft Server on a WiFi Light Bulb

WiFi-enabled ‘smart’ light bulbs are everywhere these days, and each one of them has a microcontroller inside that’s capable enough to run all sorts of interesting software. For example, [vimpo] decided to get one running a minimal Minecraft server.
The Bl602-equipped board inside the LED lightbulb. (Credit: vimpo, YouTube)
Inside the target bulb is a BL602 MCU by Bouffalo Lab, that features not only a radio supporting 2.4 GHz WiFi and BLE 5, but also a single-core RISC-V CPU that runs at 192 MHz and is equipped with 276 kB of RAM and 128 kB flash.

This was plenty of space for the minimalist Minecraft server [vimpo] wrote several years ago. The project says it was designed for “machines with limited resources”, but you’ve still got to wonder if they ever thought it would end up running on a literal lightbulb at some point.

It should be noted, of course, that this is not the full Minecraft server, and it should only be used for smaller games like the demonstrated TNT run mini game.

Perhaps the next challenge will be to combine a large set of these light bulbs into a distributed computing cluster and run a full-fat Minecraft server? It seems like a waste to leave the BL602s and Espressif MCUs that are in these IoT devices condemned to a life of merely turning the lights on or off when we could have them do so much more.

youtube.com/embed/JIJddTdueb4?…

hackaday.com/2025/11/13/runnin…

3D Printed Mail is a Modern Solution to an Ancient Problem

The human body and sharp objects don’t get along very well, especially when they are being wielded with ill-intent. Since antiquity there have been various forms of armor designed to protect the wearer, but thankfully these days random sword fights don’t often break out on the street. Still, [SCREEN TESTED] wanted to test the viability of 3D printed chain mail — if not for actual combat, at least for re-enactment purposes.

He uses tough PLA to crank out a bed worth of what looks like [ZeroAlligator]’s PipeLink Chainmail Fabric, which just so happens to be the trending result on Bambu’s MakerWorld currently. The video shows several types of mail on the printer, but the test dummy only gets the one H-type pattern, which is a pity — there’s a whole realm of tests waiting to be done on different mail patterns and filament types.

In any case, the mail holds up fairly well to puncture from scissors and screwdrivers — with a heavy sweater or proper gambeson (a quilted cloth underlayer commonly worn with armor) on underneath, it looks like it could actually protect you. To slashing blows, PLA holds up astoundingly well, barely marked even by slashes from an actual sword. As for projectiles, well, everyone knows that to an arrow, chain mail is made of holes, and this PLA-based armor is no different (as you can see at 8:30 in the video below).

If you want to be really safe when the world goes Mad Max, you’d probably want actual chain mail, perhaps from stainless steel. On the other hand, if someone tries to mug you on the way home from a con, cosplay armor might actually keep you safer than one might first suspect. It’s not great armor, but it’s a great result for homemade plastic armor.

Of course you’d still be better off with Stepahnie Kwolek’s great invention, Kevlar.

youtube.com/embed/EJKMNdjISHQ?…

hackaday.com/2025/11/13/3d-pri…