Read “Adversary Simulation vs. Adversary Emulation“ by S3N4T0R on Medium: https://medium.com/@S3N4T0R/adversary-simulation-vs-adversary-emulation-381b920a12f6

Это моделирование атаки (adversary simulation) группы APT RicochetChollima, нацеленное на активистов, занимающихся вопросами Северной Кореи. Кампания началась в марте 2025 года и стартовала с целевого фишинга (spear-phishing): в письме содержалась ссылка на Dropbox, ведущая к архиву, в котором был вредоносный ярлык (LNK). После распаковки и запуска этот LNK активировал дополнительное вредоносное ПО, содержащее ключевое слово «toy». Содержимое было замаскировано под приглашение на академический форум от южнокорейского аналитического центра по национальной безопасности, чтобы повысить доверие.

Репозиторий GitHub: https://github.com/S3N4T0R-0X0/APTs-Adversary-Simulation/tree/main/North%20Koreans%20APT/Ricochet%20Chollima

Malicious PixelCode Delivery Technique

https://github.com/S3N4T0R-0X0/Malicious-PixelCode

С радостью хочу поделиться тем, что мой репозиторий APTs Adversary Simulation официально преодолел отметку 1000+ звёзд ⭐

Этот результат был бы невозможен без огромной поддержки сообщества людей, которые поверили в идею, мотивировали меня продолжать, делились проектом, приглашали на подкасты, а также работали со мной над проектами по Adversary Simulation. Благодаря этому опыту я многому научился, получил ценные знания и значительно вырос как в техническом, так и в профессиональном плане.

Искренне благодарю всех, кто поддержал, вдохновил и помог развитию этого проекта. Это гораздо больше, чем просто цифры это реальная мотивация двигаться дальше.

Some time ago i conducted security research abusing the PixelCode encoding as a delivery technique where a payload is encoded into an MP4 video and later reconstructed using a C++ loader via a YouTube URL.

Recently this work was covered by Cyber Security News referencing the PoC from my GitHub repository and my previous adversary simulation tools.

https://cybersecuritynews.com/pixelcode-attack/

Read “Ricochet Chollima APT Adversary Simulation“ by S3N4T0R on Medium: https://medium.com/@S3N4T0R/ricochet-chollima-apt-adversary-simulation-b0258be69c37

Really happy to see my work covered for the second time by CyberSecurity News. This time highlighting an adversary simulation I previously conducted on the North Korean APT group Ricochet Chollima, with the original analysis referenced directly from my Medium article. Great to see adversary simulation work getting real visibility and to keep contributing deeper insights into APT tradecraft and real world attack behavior.

https://cybersecuritynews.com/chollima-apt-hackers-weaponize-lnk-file/

Static Kitten APT Adversary Simulation

This is a simulation of attack by (Static Kitten) APT group targeting multiple sectors across the Middle East including diplomatic, maritime, financial, and telecom entities. The campaign uses icon spoofing and malicious Word documents to deliver "RustyWater" a Rust-based implant representing a significant upgrade to their traditional toolkit, the attack campaign was active early as January 2026. The attackers has relied on PowerShell and VBS loaders for initial access and post-compromise operations. The introduction of Rust based implants represents a notable tooling evolution toward more structured modular and low noise RAT capabilities.

https://github.com/S3N4T0R-0X0/APTs-Adversary-Simulation/tree/main/Iranian%20APT/Static%20Kitten