09 Ottobre 2025
Il telefono del finanziere romano tra i protagonisti del riassetto del sistema bancario sarebbe stato attaccato con lo spyware che ha colpito anche giornalisti e personalità
opo attivisti e giornalisti, anche il mondo della finanza. È l’ultimo tassello della saga di Graphite, il software-spia sviluppato dall’azienda israeliana Paragon Solutions e utilizzato da governi e forze di polizia di diversi Paesi, tra i quali l’Italia. Secondo quanto appreso da IrpiMedia e La Stampa, un nuovo nome si aggiunge alla lista delle persone che, lo scorso gennaio, hanno ricevuto un messaggio da Whatsapp che li informava di essere stati bersaglio dello spyware. È Francesco Gaetano Caltagirone, imprenditore, editore, e tra gli uomini più ricchi d’Italia. Non è dato sapere chi abbia provato a spiarlo, ma la notifica comparsa sul suo telefono insieme ad almeno altre sette persone nel Paese è inequivocabile.
Lo stesso giorno Whatsapp ha mandato notifiche anche a Francesco Cancellato, direttore di Fanpage, e ai due fondatori della ong Mediterranea, Luca Casarini e Giuseppe “Beppe” Caccia. Nei mesi successivi sono emersi anche altri nomi. Da don Mattia Ferrari, cappellano di bordo di Mediterranea, fino a Ciro Pellegrino, caporedattore di Fanpage, fino a Roberto D’Agostino, fondatore ed editore del sito Dagospia. Tuttavia, questo è il primo caso in cui tra le persone attenzionate figura un uomo d’affari, lontano dal mondo dell’informazione o dell’attivismo.
Caltagirone è anche uno dei protagonisti della serie di operazioni che stanno ridisegnando l’assetto finanziario del Paese, azionista di Generali, Mps e Mediobanca, quest’ultima acquisita proprio da Mps (dove tra i soci c’è anche lo Stato). A questo punto solo le autorità potranno accertare se sia stato un governo straniero a prendere di mira lo smartphone di Caltagirone, ipotesi già ventilata nei riguardi di Cancellato, o se dietro l’operazione ci sia una mano italiana. Ma andiamo con ordine.
l gruppo di Whatsapp
Secondo quanto ricostruito, a dicembre del 2024 l’utenza telefonica in uso a Caltagirone sarebbe stata inserita in una chat Whatsapp, popolata da contatti a lui noti e al cui interno era stato condiviso un file Pdf. Poco dopo la chat sparisce, il Pdf con essa.
Il mese dopo, Whatsapp informa gli utenti coinvolti di aver individuato e corretto una vulnerabilità che avrebbe permesso a un attaccante di inserire uno spyware sul dispositivo del bersaglio a sua insaputa e senza che fosse necessario cliccare su alcun link o allegato. In gergo si chiamano “attacchi zero-click”, che sfruttano un errore nel sistema del dispositivo o di un’app – Whatsapp in questo caso – per inoculare un qualunque software senza lasciare traccia e soprattutto senza che il bersaglio debba interagire come nei più comuni attacchi e frodi. E lo smartphone di Caltagirone è tra i destinatari di tale notifica.
Secondo la ricostruzione di altre vittime e della stessa Citizen Lab, è proprio questo il metodo con il quale Graphite è stato propagato tra i suoi bersagli. Il sistema non colpisce a caso, ma è programmato per installarsi esclusivamente sul telefono del bersaglio, lasciando indenni le altre persone nel gruppo.
Alla luce dell’allerta diramata dall’app di messaggistica, lo smartphone viene riportato alle impostazioni di fabbrica, eliminando il problema ma anche rimuovendo ogni elemento che avrebbe permesso di trovare tracce dello spyware. Contattato, l’ufficio stampa del gruppo Caltagirone non ha risposto a una richiesta di commento.
Una pioggia di notifiche
Della vicenda si è occupata una indagine del Copasir – Comitato parlamentare per la sicurezza della Repubblica, ovvero l’organo del parlamento che esercita il controllo sull'operato dei servizi segreti italiani – che si è svolta la scorsa primavera e ha riguardato i casi al tempo noti. Secondo quanto ricostruito nel rapporto del comitato (reso pubblico) è stato possibile accertare che Caccia e Casarini sono stati effettivamente oggetto di attività di sorveglianza dei servizi, «finalizzata a prevenire la minaccia alla sicurezza nazionale da parte di individui sospettati di svolgere attività di favoreggiamento dell’ingresso di soggetti stranieri nel territorio nazionale». Cosa sia successo invece nel telefono di Cancellato non si è mai saputo e il governo ha sempre respinto ogni addebito a riguardo, come detto, arrivando a ipotizzare la pista di un servizio segreto estero.
Le cose si sono complicate in aprile, quando un’altra notifica – questa volta inviata da Apple – ha informato una seconda infornata di bersagli della potenziale compromissione dei propri dispositivi. Tra questi Ciro Pellegrino, caporedattore di Fanpage. Sebbene sul dispositivo di Cancellato non sia stato trovato nulla, non può essere un caso che nella medesima testata si sia registrata una seconda infezione di Paragon. Fanpage è nota per indagini sotto copertura, tra le quali Gioventù meloniana che, grazie al lavoro di una giornalista infiltrata in Gioventù Nazionale, mette a nudo l’imprinting di estrema destra e le nostalgie fasciste del ramo giovanile del partito della presidente del Consiglio, Giorgia Meloni. Successive analisi sul telefono di Pellegrino, svolte nei laboratori di Citizen Lab a Toronto, hanno permesso di confermare la presenza di Paragon sul suo dispositivo.
Solo a giugno le procure di Roma e Napoli hanno disposto accertamenti sui dispositivi delle persone sottoposte a sorveglianza, disponendo analisi irripetibili sugli smartphone. In seguito a questa notizia ulteriori nomi di vittime di Paragon sono stati resi pubblici: uno è Roberto D’Agostino, il fondatore di Dagospia. L’altra è Eva Vlaardingerbroek, influencer olandese di estrema destra e residente a Roma.
«I governi dispongono di così tanti strumenti diversi per mettere sotto controllo un bersaglio che è semplicemente impensabile che tutti siano simili o facilmente identificabili» spiega a IrpiMedia una fonte che ha analizzato alcuni dei dispositivi. «Non solo esistono molti più spyware di quelli prodotti da Paragon o Nso, ma c’è un’intera rete di scambi di favori anche tra Paesi: se io non posso svolgere un’intercettazione su uno specifico cittadino, lo chiedo al Paese affianco», spiega l’esperto senza poter entrare nel merito di casi comprovanti tali affermazioni per ragioni di riservatezza. Contattata da IrpiMedia e La Stampa, Paragon non ha risposto a una richiesta di commento.
Chi sono i clienti di Paragon
Tra gli addetti ai lavori Graphite è uno spyware ben noto. Paragon Solutions è un’azienda nata in Israele che produce, sviluppa e ricerca tecnologie della sorveglianza ai massimi livelli. Il suo prodotto principale è attualmente tra i più quotati, soprattutto da quando un’azienda concorrente, Nso, ha dovuto ridurre drasticamente la propria attività in seguito a diversi scandali legati a un uso non consono della propria tecnologia da parte di numerosi governi, come raccontato anche da IrpiMedia con storie che vanno dal Marocco al Messico.
Ma il valore di un prodotto, nel mercato della sorveglianza, non è dato solo dalla bontà del software in sé, bensì dalla capacità dell’azienda che lo produce di aggirare i sistemi di sicurezza di smartphone, computer, dispositivi Android o Apple, in modo che possa funzionare su qualunque bersaglio e qualunque tecnologia. Esattamente il tipo di servizio che offre Paragon, che nel tempo ha raccolto anche investimenti dell’Unione Europea.
A dicembre del 2024, circa un mese prima dell’invio delle notifiche che hanno svelato uno dei trucchi di Paragon per infettare i dispositivi, il fondo d’investimento statunitense AE Industrial Partners, focalizzato sui settori aerospaziale, difesa, cyber sorveglianza, ha acquistato la società per 900 milioni di dollari, secondo quanto riportato da testate di settore. Fonti pubbliche indicano come attualmente Graphite continui a chiudere contratti con le agenzie statunitensi. Ultima in ordine di tempo è l’Ice, agenzia federale per il controllo delle frontiere e dell’immigrazione, con un contratto da due milioni di dollari. Fonti di IrpiMedia a conoscenza del contratto tra Paragon e l’Italia sostengono che questo sarebbe «nell’ordine delle decine di milioni di euro, intorno ai trenta».
Dalla sua, negli anni, Paragon è stata capace di accreditarsi come alternativa “etica” alla concorrente Nso. Niente scandali, solo clienti legittimi e statali e solo «Paesi democratici che hanno superato con successo il suo rigoroso processo di due diligence e verifica», ha spiegato la stessa azienda in una nota lo scorso giugno. Sebbene i contratti stipulati dall’azienda non siano pubblici, la stessa ha dichiarato che prevedono il divieto di utilizzare Graphite contro giornalisti e attivisti.
Ufficialmente è questa la ragione per cui già a inizio febbraio, appena dopo l’arrivo delle notifiche, Paragon aveva annunciato che avrebbe rescisso unilateralmente il contratto con l’Italia. Una versione più tiepida del rapporto tra il governo e l’azienda israeliana approderà nella relazione del Copasir, in cui si parlerà di “rescissione concordata” tra le parti. In ogni caso è difficile comprenderne il senso nel caso in cui anche Paragon dovesse credere che non è stato il governo italiano a spiare quantomeno i giornalisti, bensì un altro loro cliente.
Dopo aver inizialmente negato ogni addebito, il governo italiano ha dovuto ammettere di aver utilizzato Graphite nei confronti di Luca Casarini e Beppe Caccia non in qualità di attivisti per i diritti umani, ma «in riferimento alle loro attività potenzialmente relative all’immigrazione irregolare». Tolto Yambio che come detto non è stato attaccato tramite Graphite, rimane la notifica ricevuta da Cancellato.
Un mondo torbido
Nel mercato della cyber sorveglianza c’è un mondo di ricercatori impegnati a scoprire le vulnerabilità di ogni sistema, in modo che possano essere utilizzate per spiare bersagli. Una è la vulnerabilità di Whatsapp, analizzata grazie a Citizen Lab, che permetteva di installare da remoto Graphite senza che fosse richiesta un’interazione da parte del bersaglio. L’altra è quella di Apple, che ha portato alla notifica di Ciro Pellegrino e ad altri giornalisti.
In tutti i casi, i reporter si sono rivolti a Citizen Lab per avere i propri dispositivi analizzati. Come confermato dalla stessa organizzazione nei propri report, ciascuna analisi ha fatto emergere elementi di compromissione compatibili proprio con lo spyware israeliano.
Secondo quanto ricostruito dai tecnici e confermato da fonti indipendenti, la vulnerabilità trovata sugli iPhone colpiti è legata ad iMessage, l’app di messaggistica istantanea di Cupertino che smista sia i messaggi scambiati tra iPhone sia gli sms. Anche in questo caso si tratta di zero-click: Paragon ha trovato un modo per rompere i meccanismi di sicurezza dell’iPhone inviando un messaggio contenente un file immagine.
«Sono attacchi costosissimi, tecnicamente complessi, e che hanno un proprio mercato che vale miliardi» spiega una fonte del settore sotto richiesta di anonimato. Secondo quattro esperti consultati per la realizzazione di questo articolo, gli attacchi rivolti verso i dispositivi Android o Apple valgono «intorno al mezzo milione di euro per bersaglio, in quanto più vengono usati più è possibile che siano scoperti dal produttore del pezzo di tecnologia vulnerabile», spiega una fonte.
| CNN Politics edition.cnn.com
By Sean Lyngaas
Oct 8, 2025
Suspected Chinese government-backed hackers have breached computer systems of US law firm Williams & Connolly, which has represented some of America’s most powerful politicians, as part of a larger spying campaign against multiple law firms, according to a letter the firm sent clients and a source familiar with the hack.
The cyber intrusions have hit the email accounts of select attorneys at these law firms, as Beijing continues a broader effort to gather intelligence to support its multi-front competition with the US on issues ranging from national security to trade, multiple sources have told CNN.
The hackers in this case used a previously unknown software flaw, coveted by spies because it allows for stealth, to access Williams & Connolly’s computer network, said the letter sent to clients this week and reviewed by CNN. The letter did not name the hackers responsible, but the source familiar with the hack told CNN that Beijing was the prime suspect.
“Given the nature of the threat actor, we have no reason to believe that the data will be disclosed or used publicly,” the letter said, in a hint that the intruder was focused on espionage rather than extortion.
CNN has reached out to the Chinese Embassy in Washington, DC for comment.
Liu Pengyu, a spokesperson for the embassy, told CNN in response to a separate hacking allegation last month: “China firmly opposes and combats all forms of cyber attacks and cybercrime.”
It was not immediately clear which Williams & Connolly attorneys or clients were affected by the hack.
Williams & Connolly is known for its politically influential clientele and a storied bench of courtroom lawyers. The firm has represented Bill and Hillary Clinton; corporate clients, including tech, health care and media companies; and white-collar criminal defendants like Theranos founder Elizabeth Holmes.
A Williams & Connolly spokesperson declined to answer questions on who was responsible for the hack.
The hackers are “believed to be affiliated with a nation-state actor responsible for recent attacks on a number of law firms and companies,” Williams & Connolly said in a statement to CNN. “We have taken steps to block the threat actor, and there is now no evidence of any unauthorized traffic on our network.”
Another prominent US law firm hit by suspected Chinese hackers is Wiley Rein, CNN reported in July. With clients that span the Fortune 500, Wiley Rein is a powerful player in helping US companies and the government navigate the trade war with China.
The suspected Chinese hackers have been rampant in recent weeks, also hitting the cloud-computing firms that numerous American companies rely on to store key data, experts at Google-owned cybersecurity firm Mandiant have told CNN. In a sign of how important China’s hacking army is in the race for tech supremacy, the hackers have also stolen US tech firms’ proprietary software and used it to find new vulnerabilities to burrow deeper into networks, according to Mandiant.
The Chinese government routinely denies allegations that it conducts hacking operations, often pointing to alleged US operations targeting Chinese entities and accusing Washington of a “double standard.”
At any given time, the FBI has multiple investigations open into China’s elite hacking teams, which US officials consider the biggest state-backed cyber threat to American interests.
CNN has requested comment from the FBI.
“Law firms are prime targets for nation-state threat actors because of the complex, high-stakes issues they handle,” said Sean Koessel, co-founder of cybersecurity firm Volexity, which has investigated Chinese digital spying campaigns.
“Intellectual property, emerging technologies, international trade, sanctions, public policy, to name a few,” Koessel told CNN. “In short, they hold a wealth of sensitive, non-public information that can offer significant strategic advantage.”
bleepingcomputer.com By Bill Toulas
October 10, 2025
The FBI has seized last night all domains for the BreachForums hacking forum operated by the ShinyHunters group mostly as a portal for leaking corporate data stolen in attacks from ransomware and extortion gangs.
The FBI seized a BreachForums domain used by the ShinyHunters group as a data leak extortion site for the widespread Salesforce attacks, with the threat actor stating that law enforcement also stole database backups for the notorious hacking forum.
The domain, Breachforums.hn, was previously used to relaunch the hacking forum this summer, but the site was soon taken offline again after some of its alleged operators were arresteds.
In October, the domain was converted into a Salesforce data leak site by Scattered Lapsus$ Hunters, a gang claiming to consist of members linked to the Shiny Hunters, Scattered Spider, and Lapsus$ extortion groups, to extort companies impacted by the Salesforce data theft attacks.
On Tuesday, both the clearnet breachforums.hn data leak site and its Tor counterpart went offline. While the Tor site was quickly restored, the breachforums domain remained inaccessible, with its domains switched to Cloudflare nameservers previously used for domains seized by the U.S. government.
Last night, the FBI completed the action, adding a seizure banner to the site and switching the domain's name servers to ns1.fbi.seized.gov and ns2.fbi.seized.gov.
According to the seizure message, law enforcement authorities in the U.S. and France collaborated to take control of the BreachForums web infrastructure before the Scattered Lapsus$ Hunters hacker began leaking data from Salesforce breaches.
However, with the Tor dark web site still accessible, the threat actors claim they will begin leaking Salesforce data tonight at 11:59 PM EST for companies that do not pay a ransom.
Backups since 2023 under FBI control
In addition to taking down the data leak site, ShinyHunters confirmed that law enforcement gained access to archived databases for previous incarnations of the BreachForums hacking forum.
In a Telegram message confirmed by BleepingComputer to be signed with ShinyHunters' PGP key, the threat actor said the seizure was inevitable and added that "the era of forums is over."
From the analysis conducted after law enforcement's action, ShinyHunters concluded that all BreachForums database backups since 2023 have been compromised, along with all escrow databases since the latest reboot.
The gang also said that the backend servers have been seized. However, the gang's data leak site on the dark web is still online.
The ShinyHunters team stated that no one in the core admin team has been arrested, but they will not launch another BreachForums, noting that such sites should be viewed as honeypots from now on.
According to the threat actor's message, after RaidForum's takedown, the same core team planned multiple forum reboots, using admins like pompompurin as fronts.
The cybercriminals emphasized that the seizure does not affect their Salesforce campaign, and the data leak is still scheduled for today at 11:59 PM EST.
The gang's data leak site on the dark web shows a long list of companies affected by the Salesforce campaing, among them FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald's, Walgreens, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France & KLM, Transunion, HBO MAX, UPS, Chanel, and IKEA.
According to the hackers, they stole more than one billion records containing customer information.
The most recent relaunch of the BreachForums in its classic form was announced by ShinyHunters in July 2025, a few days after law enforcement authorities in France arrested four administrators of previous reboots, including the individuals with the usernames ShinyHunters, Hollow, Noct, and Depressed.
At the same time, U.S. authorities announced charges against Kai West, a.k.a. 'IntelBroker,' a high-profile member of the BreachForums cybercrime ecosystem.
In mid-August, BreachForums went offline, and ShinyHunters published a PGP-signed message stating that the forum's infrastructure had been seized by France's BL2C unit and the FBI, warning that there would be no further reboots.
Update 10/10/25: Updated story with more details.
Discord says that approximately 70,000 users may have had their government ID photos exposed as part of a data breach of a third-party service.
Discord has identified approximately 70,000 users that may have had their government ID photos exposed as part of a customer service data breach announced last week, spokesperson Nu Wexler tells The Verge. A tweet by vx-underground said that the company was being extorted over a breach of its Zendesk instance by a group claiming to have “1.5TB of age verification related photos. 2,185,151 photos.”
When we asked about the tweet, Wexler shared this statement:
Following last week’s announcement about a security incident involving a third-party customer service provider, we want to address inaccurate claims by those responsible that are circulating online. First, as stated in our blog post, this was not a breach of Discord, but rather a third-party service we use to support our customer service efforts. Second, the numbers being shared are incorrect and part of an attempt to extort a payment from Discord. Of the accounts impacted globally, we have identified approximately 70,000 users that may have had government-ID photos exposed, which our vendor used to review age-related appeals. Third, we will not reward those responsible for their illegal actions.
All affected users globally have been contacted and we continue to work closely with law enforcement, data protection authorities, and external security experts. We’ve secured the affected systems and ended work with the compromised vendor. We take our responsibility to protect your personal data seriously and understand the concern this may cause.
In its announcement last week, Discord said that information like names, usernames, emails, the last four digits of credit cards, and IP addresses also may have been impacted by the breach.
| Koi Blog Tuval Admoni
August 8, 2025
What happens when cybercriminals stop thinking small and start thinking like a Fortune 500 company? You get GreedyBear, the attack group that just redefined industrial-scale crypto theft.
150 weaponized Firefox extensions. nearly 500 malicious executables. Dozens of phishing websites. One coordinated attack infrastructure. According to user reports, over $1 million stolen.
While most groups pick a lane - maybe they do browser extensions, or they focus on ransomware, or they run scam phishing sites - GreedyBear said “why not all three?” And it worked. Spectacularly.
Method 1: Malicious Firefox Extensions (150+)
The group has published over 150 malicious extensions to the Firefox marketplace, each designed to impersonate popular cryptocurrency wallets such as MetaMask, TronLink, Exodus, and Rabby Wallet.
Exodus Wallet risk report from Koidex risk engine
The threat actor operates using a technique we call Extension Hollowing to bypass marketplace security and user trust mechanisms. Rather than trying to sneak malicious extensions past initial reviews, they build legitimate-seeming extension portfolios first, then weaponize them later when nobody’s watching.
Here’s how the process works:
Publisher Creation: They create a new publisher account in the marketplace
Generic Upload: They upload 5–7 innocuous-looking extensions like link sanitizers, YouTube downloaders, and other common utilities with no actual functionality
Trust Building: They post dozens of fake positive reviews for these generic extensions to build credibility
Weaponization: After establishing trust, they “hollow out” the extensions — changing names, icons, and injecting malicious code while keeping the positive review historyThis approach allows GreedyBear to bypass marketplace security by appearing legitimate during the initial review process, then weaponizing established extensions that already have user trust and positive ratings.
Generic extensions uploaded by the attacker before weaponized
The weaponized extensions captures wallet credentials directly from user input fields within the extension’s own popup interface, and exfiltrate them to a remote server controlled by the group. During initialization, they also transmit the victim’s external IP address, likely for tracking or targeting purposes.
Snippet from the malicious code
This campaign originates from the same threat group behind our earlier Foxy Wallet campaign — which exposed 40 malicious extensions — but the scale has now more than doubled, confirming that what began as a focused effort has evolved into a full-scale operation.
Report from one of the victims of GreedyBear
Method 2: Malicious EXEs (Nearly 500 Samples)
Nearly 500 malicious Windows executables linked to the same infrastructure have been identified via VirusTotal. These .exe samples span multiple malware families, including:
Credential stealers such as LummaStealer, which aligns with the group’s wallet-focused objectives.
Ransomware variants, some resembling families like Luca Stealer, designed to encrypt files and demand crypto payments.
A range of generic trojans, suggesting possible loader functionality or modular delivery.Most of the malicious executables are distributed through various Russian websites that distribute cracked, pirated or “repacked” software.
One of the trojans download page from rsload.net
This variety indicates the group is not deploying a single toolset, but rather operating a broad malware distribution pipeline, capable of shifting tactics as needed.
The reuse of infrastructure across these binaries and the browser extensions points to a centralized backend, reinforcing that all components are part of a coordinated campaign run by the same threat group.
Method 3: Scam Sites Masquerading as Crypto Products & Services
Alongside malware and extensions, the threat group has also launched a network of scam websites posing as crypto-related products and services. These aren’t typical phishing pages mimicking login portals — instead, they appear as slick, fake product landing pages advertising digital wallets, hardware devices, or wallet repair services.
Examples include:
Jupiter-branded hardware wallets with fabricated UI mockupsjup.co.com.trezor-wallet.io , jupiterwallet.co.com.trezor-wallet.io
Wallet-repair services claiming to fix Trezor devicessecure-wallets.co.com
While these sites vary in design, their purpose appears to be the same: to deceive users into entering personal information, wallet credentials, or payment details — possibly resulting in credential theft, credit card fraud, or both.
Some of these domains are active and fully functional, while others may be staged for future activation or targeted scams.
One Server to Control Them All
A striking aspect of the campaign is its infrastructure consolidation:
Almost all domains — across extensions, EXE payloads, and phishing sites — resolve to a single IP address:
185.208.156.66
Connection graph for 185.208.156.66
This server acts as a central hub for command-and-control (C2), credential collection, ransomware coordination, and scam websites, allowing the attackers to streamline operations across multiple channels.
From “Foxy Wallet” to a Global Threat
The campaign’s roots can be traced back to our Foxy Wallet report, which initially exposed 40 malicious Firefox extensions. At the time, it seemed like a small cluster of fraudulent add-ons. But with this new investigation, it’s now clear: Foxy Wallet was just the beginning.
The campaign has since evolved the difference now is scale and scope: this has evolved into a multi-platform credential and asset theft campaign, backed by hundreds of malware samples and scam infrastructure.
Signs of Expansion Beyond Firefox
A few months ago, our team uncovered a malicious Chrome extension named “Filecoin Wallet” that used the same credential-theft logic seen in the current Firefox campaign. At the time, it appeared isolated — but we can now confirm it communicated with a domain hosted on the same server: 185.208.156.66.
This connection strongly suggests that the threat group is not Firefox-exclusive, and is likely testing or preparing parallel operations in other marketplaces.
It’s only a matter of time before we see this campaign expand to Chrome, Edge, and other browser ecosystems.
Scaling Cybercrime with AI
Over the years, we’ve tracked countless cybercrime campaigns - but what we’re seeing now is different. With the rise of modern AI tooling, the volume, speed, and complexity of attacks like GreedyBear are growing at an unprecedented pace.
Our analysis of the campaign’s code shows clear signs of AI-generated artifacts. This makes it faster and easier than ever for attackers to scale operations, diversify payloads, and evade detection.
This isn’t a passing trend — it’s the new normal. As attackers arm themselves with increasingly capable AI, defenders must respond with equally advanced security tools and intelligence. The arms race has already begun, and legacy solutions won’t cut it.
We want to thank Lotem Khahana from StarkWare for helping with the investigation.
This writeup was authored by the research team at Koi Security, with a healthy dose of paranoia and hope for a safer open-source ecosystem.
Amazingly, we’ve initially uncovered all of this just a couple of days after MITRE introduced its newest category: IDE Extensions, even further emphasizing the importance of securing this space.
For too long, the use of untrusted third-party code, often running with the highest privileges has flown under the radar for both enterprises and attackers. That era is ending. The tide is shifting.
We’ve built Koi to meet this moment; for practitioners and enterprises alike. Our platform helps discover, assess, and govern everything your teams pull from marketplaces like the Chrome Web Store, VSCode, Hugging Face, Homebrew, GitHub, and beyond.
Trusted by Fortune 50 organizations, BFSIs and some of the largest tech companies in the world, Koi automates the security processes needed to gain visibility, establish governance, and proactively reduce risk across this sprawling attack surface.
If you’re curious about our solution or ready to take action, book a demo or hit us up here 🤙
We’ve got some more surprises up our sleeve to come soon, stay tuned.
IOCs
185.208.156.66
185.39.206.135Domains:
Firefox Extension IDs:
Chrome extension IDs:
plbdecidfccdnfalpnbjdilfcmjichdk