Agenzia delle Entrate: accesso admin in vendita a 500$? Ecco perché i conti non tornano

All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate.

Tuttavia, un’analisi più approfondita dell’offerta e delle infrastrutture di sicurezza dell’ente italiano suggerisce che si tratti di una minaccia dalla portata decisamente ridimensionata rispetto al titolo sensazionalistico.

Accesso Agenzia delle Entrate e l’annuncio sul forum underground

L’annuncio, comparso l’11 dicembre 2025, è disarmante nella sua brevità. Con un laconico ‘sell access admin panel of agenzia dell’entrate‘, l’attaccante dichiara di possedere le chiavi del portale fiscale italiano. I dettagli operativi emergono dalla chat laterale, dove compare una richiesta economica decisamente anomala per un target di questo calibro: appena 500 dollari, con contatto diretto da stabilire tramite l’account Telegram.

La prima incongruenza che salta all’occhio è proprio la valutazione economica. Nel mercato del Cybercrime, un accesso persistente con privilegi di amministratore (RCE o Admin Panel) a un’infrastruttura governativa critica di un paese G7 non verrebbe mai svenduto per una cifra così irrisoria.

Solitamente, accessi di tale calibro vengono trattati in modo privato con cifre a tre o quattro zeri, o sfruttati direttamente per attacchi ransomware o esfiltrazione di dati, molto allettanti per i mercati underground.

Le difese attive: SPID e MFA

Il punto tecnico che smonta quasi definitivamente la veridicità di un accesso “funzionante” riguarda le procedure di autenticazione adottate dalla Pubblica Amministrazione italiana.

L’accesso ai portali dell’Agenzia delle Entrate, sia per i cittadini che per gli operatori, è protetto da livelli di sicurezza che vanno oltre la semplice coppia username/password. Oggi l’ingresso è subordinato all’utilizzo di:

• SPID (Sistema Pubblico di Identità Digitale) di livello 2 o 3;

• CIE (Carta d’Identità Elettronica);

• CNS (Carta Nazionale dei Servizi).

Inoltre, per gli account amministrativi interni, è prassi consolidata l’obbligo della MFA (Multi-Factor Authentication). Questo significa che anche possedendo le credenziali corrette, l’attaccante si troverebbe bloccato dalla richiesta di un codice OTP (One Time Password) inviato sul dispositivo del legittimo proprietario.

L’ipotesi Infostealer: credenziali non verificate

Se l’accesso è così difficile, cosa sta vendendo realmente “espandive”? L’ipotesi più probabile è che si tratti di log grezzi provenienti da un Infostealer.

È plausibile che un malware abbia infettato il computer di un dipendente o di un commercialista, esfiltrando tutti i dati salvati nel browser: cookie, cronologia e, appunto, credenziali di accesso salvate per comodità. L’attaccante vede nel log la stringa agenziaentrate.gov.it associata a uno username e una password e prova a rivenderla automaticamente.

È quasi certo che si tratti di una credenziale non provata. Se il threat actor tentasse il login, si scontrerebbe con il secondo fattore di autenticazione. Di conseguenza, cerca di monetizzare rapidamente vendendo l’illusione di un accesso a un acquirente poco esperto per 500 dollari, pertanto si tratta presumibilmente di una frode verso i criminali informatici stessi.

Conclusioni

L’annuncio di “espandive” sembra essere l’ennesimo tentativo di scam o di vendita di materiale di scarto (junk data) all’interno della community cybercriminale, piuttosto che una reale compromissione dell’infrastruttura dell’Agenzia delle Entrate.

Tuttavia, questo episodio ci ricorda l’importanza vitale dell’abilitazione dell’autenticazione a due fattori (2FA/MFA) su tutti gli account critici. È proprio grazie a queste barriere che le migliaia di credenziali rubate ogni giorno dagli infostealer diventano, nella maggior parte dei casi, carta straccia.

L'articolo Agenzia delle Entrate: accesso admin in vendita a 500$? Ecco perché i conti non tornano proviene da Red Hot Cyber.

Prima del mio “problemino” (quello che oggi mi fa fare amicizia con la sedia a rotelle), avevo un’altra bussola: due ruote, un pieno e la promessa di “torniamo presto”… che diventava sempre “solo dopo un’ultima curva”. 🏍️😄

Mi piaceva perdermi in quei paesini incastrati tra le rocce, dove le case sembrano appoggiate una sull’altra per non scivolare giù. Poi una casetta nel bosco, due sedie fuori, il silenzio che sa di resina e di panini improvvisati. E ogni tanto i raduni: un parcheggio pieno di cromature, risate, “ma tu che scarico monti?”, e l’amico che giura di aver fatto “solo 50 km”… con il serbatoio già in riserva. 🤥😂

Ero io, la mia moto, la mia compagna e gli amici: vento nel casco, occhi pieni di strada e cuore leggero (anche se lo zaino non lo era mai). 🌿🧡

Mi manca quella sensazione lì.
Però la voglia di esplorare non si è rotta: ha solo cambiato marcia. ✨

PJON, Open Single-Wire Bus Protocol, Goes Verilog

Did OneWire of DS18B20 sensor fame ever fascinate you in its single-data-line simplicity? If so, then you’ll like PJON (Padded Jittering Operative Network) – a single-wire-compatible protocol for up to 255 devices. One disadvantage is that you need to check up on the bus pretty often, trading hardware complexity for software complexity. Now, this is no longer something for the gate wielders of us to worry about – [Giovanni] tells us that there’s a hardware implementation of PJDL (Padded Jittering Data Link), a PJON-based bus.

This implementation is written in Verilog, and allows you to offload a lot of your low-level PJDL tasks, essentially, giving you a PJDL peripheral for all your inter-processor communication needs. Oh, and as [Giovanni] says, this module has recently been taped out as part of the CROC chip project, an educational SoC project. What’s not to love?

PJON is a fun protocol, soon to be a decade old. We’ve previously covered [Giovanni] use PJON to establish a data link through a pair of LEDs, and it’s nice to see this nifty small-footprint protocol gain that much more of a foothold, now, in our hardware-level projects.

We thank [Giovanni Blu Mitolo] for sharing this with us!

hackaday.com/2025/12/13/pjon-o…

Anche gli Hacker verranno presto sostituiti dalle AI? Lo studio di Stanford

I ricercatori di Stanford e i loro colleghi hanno condotto un esperimento insolito: hanno confrontato le prestazioni di dieci specialisti professionisti e di un set di agenti di intelligenza artificiale autonomi in un pentest aziendale reale.

Il test non è stato condotto su un banco di addestramento, ma sulla rete live di una grande università con circa 8.000 host distribuiti su 12 sottoreti, includendo sia aree pubbliche che protette da VPN . Qualsiasi azione doveva essere eseguita con cautela per evitare di interrompere i servizi di produzione.

Lo studio si è concentrato su ARTEMIS, un nuovo framework per un agente di intelligenza artificiale che organizza il lavoro in team: un “leader” centrale suddivide i compiti, avvia simultaneamente subagenti con ruoli diversi ed esegue automaticamente i risultati attraverso un modulo di verifica per filtrare spam e duplicati.

Sulla base della valutazione comparativa, ARTEMIS si è classificato al secondo posto assoluto, individuando nove vulnerabilità confermate, con un tasso di segnalazione corretta dell’82%, sufficiente a superare nove penetration tester su dieci invitati.

Gli autori sottolineano che non tutti gli strumenti di intelligenza artificiale si sono dimostrati ugualmente utili. I framework esistenti per i modelli spesso fallivano la maggior parte dei test umani: alcuni si arrendevano rapidamente, altri si bloccavano durante la ricognizione iniziale e alcuni sistemi si rifiutavano del tutto di eseguire attività offensive.

ARTEMIS, d’altra parte, ha dimostrato un comportamento simile a un tipico ciclo di pentest: scansione, selezione del target, test delle ipotesi, tentativo di sfruttamento e ripetizione. La differenza fondamentale è il parallelismo: quando un agente individua una pista interessante nei risultati della scansione, invia immediatamente un sub-agente separato per approfondire l’indagine, mentre il processo principale continua a esplorare altre strade.

Tuttavia, lo studio non delinea il quadro di un “hacker perfetto fin da subito“. Il principale punto debole degli agenti è l’elevato tasso di falsi positivi e le difficoltà nelle aree in cui è richiesto un utilizzo sicuro dell’interfaccia grafica.

Il rapporto cita un esempio tipico: gli esseri umani riconoscono facilmente che un “200 OK” su una pagina web può significare un reindirizzamento alla pagina di login dopo un tentativo di login non riuscito, mentre gli agenti senza un’interfaccia grafica utente (GUI) adeguata hanno maggiori difficoltà a farlo.

Tuttavia, l’affidamento alla riga di comando a volte si trasforma in un vantaggio: laddove un browser umano si rifiutava di aprire interfacce obsolete a causa di problemi HTTPS, ARTEMIS poteva continuare a controllare utilizzando utility come curl con la verifica del certificato disabilitata e ottenere risultati.

Un altro livello di discussione è quello economico. Durante le lunghe sessioni, ARTEMIS ha funzionato per un totale di 16 ore e una configurazione, secondo le misurazioni degli autori, è costata circa 18 dollari all’ora. A titolo di confronto, citano il costo dei pentester professionisti, pari a 60 dollari all’ora. Il punto del confronto è semplice: nonostante evidenti debolezze, gli agenti autonomi sembrano già competitivi in termini di rapporto costi-benefici, soprattutto se utilizzati come strumento per il test continuo e sistematico di grandi infrastrutture .

Gli autori ritengono che il contributo principale dello studio non risieda solo nel dimostrare “chi è più forte”, ma nel tentativo di avvicinare la valutazione dell’IA alla realtà: le reti reali sono rumorose, eterogenee e richiedono un orizzonte temporale di azione lungo, non la risoluzione di problemi simulati. Sottolineano anche i limiti dell’esperimento – i tempi ridotti e le dimensioni ridotte del campione – e suggeriscono di passare ad ambienti più riproducibili e test più lunghi per comprendere meglio dove gli agenti autonomi migliorano realmente la sicurezza e dove rimangono pericolosamente troppo sicuri di sé.

L'articolo Anche gli Hacker verranno presto sostituiti dalle AI? Lo studio di Stanford proviene da Red Hot Cyber.

Apple aggiorna due bug 0day critici in iOS, presumibilmente abusati dagli spyware

In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone e iPad.

Entrambe le vulnerabilità risiedono in WebKit, il motore che alimenta Safari e visualizza i contenuti web nell’ecosistema iOS.

Catalogate come CVE-2025-43529 e CVE-2025-14174, permettono agli attaccanti di attivare codice malevolo attraverso l’inganno della vittima che viene portata a visitare una specifica pagina web.

Per attivare l’exploit, non è necessario che un aggressore abbia un accesso fisico al dispositivo; è sufficiente che venga elaborato un contenuto web creato in modo dannoso, ad esempio un sito web compromesso o una pubblicità dannosa.

L’avviso di Apple riporta quanto segue: “Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici nelle versioni di iOS precedenti a iOS 26″.

Questa formulazione è solitamente riservata alle campagne di spyware mercenarie sponsorizzate dallo Stato, in cui vengono presi di mira obiettivi di alto valore come giornalisti, diplomatici e dissidenti.

Le due falle sfruttano debolezze diverse nel modo in cui il browser gestisce la memoria:

CVE-2025-43529 (Use-After-Free): scoperta dal Google Threat Analysis Group (TAG), questa vulnerabilità comporta un errore “use-after-free”. In parole povere, il programma tenta di utilizzare la memoria dopo che è stata liberata, consentendo agli hacker di manipolarla per eseguire codice arbitrario. Apple ha risolto questo problema migliorando la gestione della memoria (WebKit Bugzilla: 302502).

CVE-2025-14174 (Corruzione della memoria): attribuito sia ad Apple che a Google TAG, questo problema consente la corruzione della memoria, una condizione che può causare il crash di un sistema o aprire una backdoor per gli aggressori. È stato corretto con una convalida dell’input migliorata (WebKit Bugzilla: 303614).

L'articolo Apple aggiorna due bug 0day critici in iOS, presumibilmente abusati dagli spyware proviene da Red Hot Cyber.

#Spotted on Market Day in Aotearoa New Zealand:

A tiny human (2?) is hugging Dad around the neck.
But wait!
He's not a tiny human!
He's a BIG SHARK!
And he's gonna eat Dad's face!
Making mighty munching "UM UM UM" noises as laughter bubbles up from Dad's tummy.

A woman (40s?) is standing by her open car door. Groceries loosely placed on her back seat.
A tray of fresh strawberries in her hand.
She's got to get her market veges home but first...
maybe she should eat some of these strawberries.
A small smile as she tries her first one.

A teen (13?) has been given the task of carrying a bunch of asparagus while Mum chooses tomatoes.
But wait.
This is not asparagus!
It's a microphone for broadcasting all of Mum's movements and motivations!
Wearing a devilishly cheeky smile.
Ducking Mum's swat with a laugh and a yelp.

A man (50s?) in a faded band T-shirt, paint-flecked shorts and boots is quickly striding through the markets while wearing a determined expression.
He's got multiple packets of bratwurst sausages in his arms.
He's got places to go and things to do.
And they most likely involve barbeque.

A woman (18?), the spitting image of a young Joni Mitchell is inspecting a cherry stall.
Long blonde hair, a white crochet top, flair jeans and bare feet.
She picks up a bag of cherries and looks at it thoughtfully before turning to grin at a nearby busker who grins back.

(Continued below)