#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Cephalus появилась в августе 2023 года, используя методы DLL Sideloading с исполняемым файлом из SentinelOne для развертывания. Злоумышленники идентифицировали себя в записках о выкупе, которые включали ссылки на новостные статьи, чтобы повысить воспринимаемую легитимность их угрозы. Ограниченный анализ показывает, что Microsoft Defender успешно предотвратил одну попытку, но понимание тактики Cephalus имеет решающее значение для усиления защиты от такого Ransomware.
-----

Программа-вымогатель Cephalus появилась в качестве нового варианта в инцидентах, о которых сообщалось в середине августа 2023 года, в частности, 13 и 16 августа. Нападавшие назвали себя в записках о выкупе, которые начинались фразой "Мы - Цефал". Хотя в настоящее время существует ограниченный публичный анализ этого варианта, ссылки на различных веб-сайтах по кибербезопасности дают представление о возможном удалении.

Развертывание Cephalus включало использование вредоносной тактики, включая метод DLL Sideloading, в частности, использование исполняемого файла из SentinelOne. Эта тактика была частично смягчена, когда Microsoft Defender успешно обнаружил попытку вымогательства и поместил ее в карантин в одном из инцидентов, что иллюстрирует важность надежной защиты конечных точек для предотвращения развертывания программ-вымогателей.

Примечательно, что заметки о выкупе, сопровождающие инциденты с Cephalus, продемонстрировали уникальную стратегию, сославшись на новостные статьи о самой программе-вымогателе. Эта тактика была направлена на оказание давления на жертв путем повышения воспринимаемой легитимности угрозы, отличая ее от других семейств программ-вымогателей, которые использовали более общие средства коммуникации. Такое поведенческое понимание того, как Cephalus взаимодействует со своими целями, может иметь решающее значение для защитных мер, поскольку оно подчеркивает психологическую тактику, которую атакующие используют наряду с техническими аспектами атаки.

Понимание действий и методов предварительного шифрования, таких как использование DLL sideloading, имеет важное значение для улучшения защиты от Ransomware. Это понимание может помочь организациям в разработке более эффективных стратегий обнаружения и реагирования до шифрования файлов и выдачи требований о выкупе.

#ParsedReport #CompletenessLow
26-08-2025

Fast-Flux DNS: How Malware Uses DNS to Stay Invisible

https://medium.com/@cyberengage.org/fast-flux-dns-how-malware-uses-dns-to-stay-invisible-883b92c67813

Report completeness: Low

Threats:
Fastflux_technique

ChatGPT TTPs:
do not use without manual check
T1071.004, T1090, T1483, T1568.002, T1583.001

IOCs:
File: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Fast-flux DNS - это метод, используемый киберпреступниками для сокрытия местоположения серверов управления (C2) путем быстрого обновления записей DNS, что затрудняет защитникам эффективную блокировку вредоносных доменов. Метод double-flux увеличивает эту сложность за счет ротации записей сервера имен, полученных из скомпрометированных систем. Индикаторами активности fast-flux являются низкие значения времени ожидания (TTL) и несколько IP-адресов, возвращаемых доменом, что может сигнализировать о текущих киберугрозах.
-----

Fast-flux DNS - это технология, используемая киберпреступниками для сокрытия местоположения своих серверов управления (C2), что создает серьезную проблему для защитников, пытающихся заблокировать вредоносную инфраструктуру. Этот метод предполагает быструю ротацию записей DNS, при которой записи "A" часто обновляются, иногда каждые несколько минут, что затрудняет определение реального IP-адреса, связанного с доменом, используемым в атаке. В результате, когда службы безопасности идентифицируют IP-адрес идентифицированного домена C2 и пытаются заблокировать его, злоумышленники могут быстро изменить записи DNS, что делает такие усилия бесполезными.

Эволюцией fast-flux DNS является метод double-flux. Здесь не только чередуются записи A, но и записи сервера имен (NS) также являются динамическими и получены из скомпрометированных систем. Это добавляет еще один уровень сложности, поскольку защитникам приходится бороться с постоянно меняющейся инфраструктурой, которая включает в себя множество точек отказа.

Чтобы снизить риски, связанные с fast-flux DNS, организации могут реализовать несколько защитных стратегий. Один из подходов предполагает объединение известных вредоносных доменов, что позволяет администраторам DNS локально контролировать процесс разрешения и предотвращать подключения к распознанным угрозам. Кроме того, ведение журналов запросов DNS дает важную информацию и помогает идентифицировать скомпрометированные компьютеры, показывая, кто запрашивал, какие домены и когда. Обнаружение шаблонов в DNS-трафике может еще больше помочь охотникам за угрозами, поскольку fast-flux DNS демонстрирует специфическое поведение, которое, хотя и не является надежным, может сигнализировать о потенциальных угрозах.

Индикаторы активности fast-flux часто включают очень низкие значения времени ожидания (TTL), обычно устанавливаемые ниже пяти минут, чтобы гарантировать быстрое истечение срока действия записей DNS и необходимость частых обновлений. Вредоносные домены fast-flux также, как правило, возвращают в ответах большое количество IP-адресов, часто дюжину или более, что отражает участие многочисленных скомпрометированных систем, функционирующих в качестве прокси-серверов. Более того, аналитикам следует обращать внимание на отклонения от установленных базовых значений трафика DNS, поскольку внезапное увеличение числа разрешающих IP-адресов или необычное поведение могут указывать на наличие операции fast-flux.

#ParsedReport #CompletenessMedium
26-08-2025

Phishing Campaign Targeting Companies via UpCrypter

https://www.fortinet.com/blog/threat-research/phishing-campaign-targeting-companies-via-upcrypter

Report completeness: Medium

Threats:
Upcry
Babylon_rat
Purehvnc_tool
Dcrat
Junk_code_technique
Steganography_technique

Victims:
Manufacturing, Technology, Healthcare, Construction, Retail and hospitality, Companies

Industry:
Entertainment, Retail, Healthcare

ChatGPT TTPs:
do not use without manual check
T1027, T1027.010, T1036, T1059.001, T1059.007, T1105, T1106, T1204.002, T1497.001, T1562.001, have more...

IOCs:
Url: 8
File: 8
Domain: 10
Registry: 2
Hash: 6

Soft:
Hyper-V, Internet Explorer

Algorithms:
base64, xor, zip

Functions:
downloadFile

Win API:
WinExec

Win Services:
InfoPath

Languages:
python, javascript, powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, code: 15, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена кампания фишинга, распространяющая вредоносное ПО UpCrypter с использованием вводящих в заблуждение электронных писем, тематически связанных с голосовой почтой и заказами на покупку. В атаке используется HTML-файл, который скрывает адрес электронной почты цели и создает Вредоносную ссылку с помощью операций XOR, в то время как последующие загрузки включают запутанный JavaScript, который скрытно выполняет команды PowerShell с правами администратора. Работая в качестве загрузчика MSIL, UpCrypter устанавливает постоянное присутствие в определенном каталоге для облегчения текущего контроля скомпрометированных систем, воздействия на множество секторов по всему миру.
-----

Недавно появилась кампания по фишингу, которая распространяет вредоносное ПО UpCrypter с помощью различных тактик, в частности, используя поддельные голосовые сообщения и заказы на покупку в качестве обманчивой приманки. В одном из идентифицированных вариантов электронного письма используется тема голосовой почты, представленная строкой темы "Пропущенный телефонный звонок - дата", и включает вложение с надписью "VN0001210000200.html ." HTML-файл предназначен для выполнения скрипта, который запутывает адрес электронной почты цели с помощью кодировки Base64, затем создает Вредоносную ссылку с помощью серии операций XOR, в конечном счете перенаправляя браузер пользователя после временной задержки. В скрипте реализованы методы защиты от автоматизации, предотвращающие обнаружение путем простого завершения работы при обнаружении определенного размера окна.

После первоначального взаимодействия кампания загружает ZIP-архив, содержащий сильно запутанный JavaScript-файл, затемненный чрезмерным количеством junk code, чтобы скрыть свои истинные намерения. В этом JavaScript критические компоненты сегментируются на переменные, такие как "bfHJJ" и "lyoSU", которые позже объединяются для генерации команды Base64. Используя Windows Script Host (WScript) и Shell.Объекты приложения, скрипт вызывает PowerShell с правами администратора в соответствии с политикой выполнения "обхода", позволяя вредоносному ПО выполняться в скрытом режиме, не вызывая аварийных сигналов через видимые консольные выходы.

Вредоносное ПО UpCrypter работает как загрузчик MSIL, который инициирует свой процесс, проверяя существование определенного рабочего каталога в разделе "%AppData%..\LocalLow\Windows System (x86)\Program Rules\Program Rules NVIDEO". Если этот каталог отсутствует, загрузчик приступает к его созданию, обеспечивая постоянную загрузку. и управляемая среда, способствующая последующей вредоносной деятельности. Эта стратегия позволяет злоумышленникам внедрять свое вредоносное ПО в сеть пользователя, потенциально облегчая постоянный контроль над скомпрометированными системами.

Охват этой кампании по фишингу не ограничивается конкретным регионом; она демонстрирует глобальный оперативный потенциал и быстро становится все более заметной, а число случаев обнаружения, как сообщается, удваивается в течение нескольких недель. Вредоносное ПО оказало воздействие на множество секторов, включая производство, технологии, здравоохранение, строительство и розничную торговлю, что указывает на его широкое применение. Эта кампания отражает сложную методологию, выходящую за рамки простой кражи учетных данных, и представляет собой полностью организованную структуру атаки, направленную на скрытое проникновение в корпоративные сети. Организациям настоятельно рекомендуется внедрить надежные решения для фильтрации электронной почты и обеспечить, чтобы сотрудники были обучены распознавать попытки фишинга и избегать их, чтобы снизить риски, связанные с этой постоянной угрозой.

#ParsedReport #CompletenessMedium
26-08-2025

Breaking Down Mustang Pandas Windows Endpoint Campaign

https://www.picussecurity.com/resource/blog/breaking-down-mustang-panda-windows-endpoint-campaign

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: information_theft, cyber_espionage, cyber_criminal)
Unc3886
Apt31

Threats:
Spear-phishing_technique
Poison_ivy
Plugx_rat
Toneshell
Pubload
Ptsocket_tool
Lolbin_technique
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Process_injection_technique
Dumplsass_tool
Credential_dumping_technique
Mimikatz_tool
Procdump_tool
Adfind_tool
Wevtutil_tool
Melofee

Victims:
Government entities, Nonprofits, Religious organizations, Nongovernmental organizations

Industry:
Ngo, Government

Geo:
Mongolia, Vietnam, Myanmar, French, China, Pakistan

TTPs:
Tactics: 6
Technics: 15

IOCs:
Command: 6
File: 24
Path: 6
Registry: 2

Soft:
ChatGPT, Windows Installer, Microsoft Defender, Windows Registry, Windows Task Scheduler, windows service, Windows Error Reporting, Local Security Authority, Active Directory, Windows Security, have more...

Algorithms:
aes-256

Functions:
Get-WmiObject

Win API:
GetAsyncKeyState

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mustang Panda, базирующаяся в Китае группа кибершпионажа, действующая с 2017 года, использует сложные методы spearphishing для нацеливания на государственные структуры и НПО по всему миру. Проникнув внутрь, они используют Msiexec.exe для запуска вредоносного ПО и использования DLL side-loading и ключей запуска реестра Windows для закрепления, одновременно используя запланированные задачи и создавая Службы Windows для автоматизации. Их обширная разведка включает в себя извлечение учетных данных из LSASS, сбор данных с помощью захвата экрана и Регистрации нажатий клавиш, а также подготовку к эксфильтрации путем архивирования и шифрования конфиденциальных файлов.
-----

Mustang Panda - базирующаяся в Китае группа кибершпионажа, активно нацеленная на различные правительственные и неправительственные организации с момента своего появления в 2017 году, с возможными операциями, начиная с 2014 года. Группа имеет широкую географическую направленность, охватывая предприятия по всей территории США, Европы и некоторых частей Азии. Их методы в основном включают сложную тактику spearphishing, использующую законные вложения в документы для получения первоначального доступа.

Получив доступ, Mustang Panda использует несколько технических приемов для доставки вредоносной полезной нагрузки и поддержания закрепления в скомпрометированных системах. Они используют рычаги Msiexec.exe , подписанная утилита установки Windows, предназначенная для выполнения вредоносных полезных нагрузок, гарантируя при этом, что их операции остаются скрытыми. Группа также использует методы DLL side-loading, загружая вредоносные DLL-файлы в рамках законных процессов, таких как "MpDlpCmd.exe ," что помогает избежать обнаружения.

Чтобы установить закрепление, Mustang Panda регулярно манипулирует ключами запуска реестра Windows, внося записи в HKLM\Software\Microsoft\Windows\CurrentVersion\Run hive. Эта стратегия гарантирует, что их вредоносная полезная нагрузка будет выполняться автоматически во время запуска системы. Кроме того, они используют планировщик задач Windows для создания запланированных задач, имитирующих законные службы, тем самым запуская вредоносный код с заранее определенными интервалами. Создание новых Служб Windows, указывающих на их исполняемые файлы, дополнительно гарантирует выполнение их полезных нагрузок с привилегиями системного уровня.

Что касается сбора данных, Mustang Panda проводит обширную разведку в целевой среде, используя собственные средства командной строки Windows. Это включает в себя такие задачи, как выгрузка памяти из процесса LSASS для извлечения учетных данных, выполнение обнаружения конфигурации системы и сети и перечисление журналов с помощью таких инструментов, как Wevtutil, для сбора данных о пользователях. Их оперативный охват также включает в себя захват экрана для сбора конфиденциальной информации, отображаемой в взломанных системах, и развертывание кейлоггеров для перехвата нажатий клавиш, что облегчает сбор учетных данных и других конфиденциальных данных.

Кроме того, группа готовится к эксфильтрации данных путем архивирования и шифрования конфиденциальных файлов - тактика, которая не только скрывает содержимое, но и упрощает процесс перемещения извлеченной информации из целевой сети незамеченной. Сочетание этих методов демонстрирует передовые возможности Mustang Panda, что делает их постоянной и значительной угрозой в киберпространстве.

#ParsedReport #CompletenessLow
26-08-2025

Unmasking KorPlug: A Technical Breakdown - Part 2

https://blog.reveng.ai/unmasking-korplug-a-technical-breakdown-part-2/

Report completeness: Low

Threats:
Plugx_rat
Dll_sideloading_technique
Flashback
Bogus_control_technique

Victims:
Software sector

ChatGPT TTPs:
do not use without manual check
T1027, T1574.002

IOCs:
Hash: 1

Soft:
Windows DLL loading, o-llvm

Algorithms:
sha256, exhibit

Win API:
EnumSystemGeoID

Languages:
c_language, python

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО KorPlug использует DLL side-loading для выполнения, вызывая EnumSystemGeoID API для запуска шеллкода, эффективно обходя стандартные механизмы загрузки библиотеки DLL Windows, чтобы избежать обнаружения. Для его запутывания используется компилятор O-LLVM, что усложняет работу по обратному проектированию. Анализ графика потока управления (CFG) показывает, что тщательная деобфускация может быть достигнута с помощью автоматизированных инструментов, подчеркивая сложные методы вредоносного ПО и проблемы в противодействии передовым методам обфускации.
-----

Анализ сосредоточен на семействе вредоносных ПО KorPlug, в частности, с подробным описанием его реализации и методов запутывания. KorPlug использует DLL side-loading в качестве исходного вектора загрузки, используя законные утилиты для выполнения своего кода. Это вредоносное ПО использует сложный метод выполнения, использующий вызов функции EnumSystemGeoID API, которая напрямую выполняет шеллкод. Перенаправляя поток выполнения на функцию инициализации, KorPlug обходит стандартные механизмы загрузки библиотеки DLL Windows, тем самым избегая обнаружения с помощью обычных протоколов безопасности.

Вредоносное ПО обладает характеристиками, соответствующими O-LLVM, модифицированной версии компилятора LLVM, которая включает функции запутывания кода. O-LLVM разработан для усложнения попыток обратного проектирования и статического анализа, что делает его распространенным выбором для различных вредоносных действий, а также для законной защиты программного обеспечения. Его внедрение в KorPlug значительно повышает устойчивость к анализу.

Важнейшим аспектом понимания функциональности KorPlug's является изучение графика потока управления (CFG) вредоносного ПО. Деобфускация требует тщательной идентификации и категоризации отдельных компонентов в CFG, поскольку обфускация O-LLVM назначает конкретные роли различным базовым типам блоков. Такой системный подход позволяет аналитикам определять оперативные классификации блоков, закладывая основу для эффективной деобфускации.

Методология, предложенная для деобфускации, предполагает автоматизацию анализа с использованием инструментов, способных выполнять CFG-анализ и распознавание структурных образов. Цель состоит в том, чтобы отобразить потенциальные переменные состояния в соответствующих блоках и определить фактические цели перехода, продиктованные логикой основного блока. Этот подход иллюстрирует, что даже сильно запутанные структуры потоков управления могут быть эффективно проанализированы, расширяя возможности противодействия вредоносному ПО, такому как KorPlug. Полученные результаты подчеркивают сложность и изощренность методов обфускации вредоносного ПО и необходимость целенаправленных аналитических методологий для борьбы с такими продвинутыми угрозами.

#ParsedReport #CompletenessMedium
26-08-2025

Android Document Readers and Deception: Tracking the Latest Updates to Anatsa

https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa#indicators-of-compromise--iocs-

Report completeness: Medium

Threats:
Anatsa
Robinhood
Joker
Harly
Facestealer
Exobot

Victims:
Financial institutions, Banking apps, Cryptocurrency platforms, Android users

Industry:
Financial

Geo:
Germany, Korea

ChatGPT TTPs:
do not use without manual check
T1027, T1056, T1056.001, T1204.002, T1475, T1555, T1622

IOCs:
Url: 9
Hash: 4

Soft:
Android, Google Play

Algorithms:
des, zip, xor

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Anatsa, или TeaBot, - это банковский троян для Android, который эволюционировал и нацелен на более чем 831 финансовое учреждение по всему миру, включая недавно добавленные банковские приложения и приложения для криптовалют. Последний вариант обеспечивает улучшенную доставку полезной нагрузки путем прямой установки вредоносного ПО и использует сложные методы шифрования для расшифровки во время выполнения, что усложняет статический анализ. Кроме того, он использует методы антианализа, чтобы избежать обнаружения, демонстрируя тенденцию к разработке все более изощренного вредоносного ПО.
-----

Anatsa, также известный как TeaBot, - это банковский троян для Android, который эволюционировал с момента своего создания в 2020 году, в первую очередь нацеленный на финансовые приложения для кражи учетных данных пользователей и облегчения мошеннических транзакций. Недавние события указывают на то, что последняя версия Anatsa расширила свою сферу применения, теперь она ориентирована на более чем 831 финансовое учреждение по всему миру, что включает в себя список из более чем 150 недавно добавленных банковских приложений и приложений для криптовалют в таких странах, как Германия и Южная Корея.

В этой последней версии Anatsa были реализованы значительные технические усовершенствования, особенно в области доставки полезной нагрузки и методов уклонения. В отличие от предыдущих версий, в которых использовалась динамическая загрузка кода через удаленные полезные нагрузки Dalvik Executable (DEX), обновленная версия Anatsa упрощает этот процесс путем прямой установки полезной нагрузки. Кроме того, он использует сложный стандарт шифрования данных (DES) для расшифровки во время выполнения, что усложняет статический анализ, поскольку каждая строка расшифровывается с помощью динамически генерируемого ключа во время выполнения.

Вредоносное ПО также повысило свою устойчивость к обнаружению за счет применения различных методов антианализа. Например, он выполняет проверку на наличие эмуляторов и проверяет модели устройств, чтобы обойти среды динамического анализа, что позволяет ему работать незамеченным в течение более длительного времени. Такая изощренность методов работы подчеркивает тенденцию в развитии вредоносного ПО, когда угрозы становятся все более искусными в обходе мер безопасности.

Совместно с мониторингом Anatsa команда Zscaler ThreatLabZ сообщила Google в общей сложности о 77 дополнительных вредоносных приложениях из различных семейств вредоносного ПО, что в совокупности связано с более чем 19 миллионами установок. Это указывает на тревожную тенденцию в использовании магазина Google Play в качестве канала распространения такого вредоносного программного обеспечения.

Поскольку Anatsa продолжает развиваться, потребность в бдительных мерах безопасности остается первостепенной, особенно для пользователей Android. Им рекомендуется внимательно изучить разрешения приложений и убедиться, что запрашиваемые разрешения соответствуют фактическим функциональным возможностям приложений, поскольку вредоносные акторы используют доверие пользователей для распространения своего вредоносного ПО через законные платформы.

#ParsedReport #CompletenessLow
27-08-2025

NightSpire ransomware alert issued as domestic damage cases emerge

https://asec.ahnlab.com/ko/89878/

Report completeness: Low

Threats:
Nightspire
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946
Ransom/mdp.event.m4353

Industry:
Retail, Chemical, Maritime

Geo:
Japan, Taiwan, Hong kong, Chinese, Poland, Thailand

ChatGPT TTPs:
do not use without manual check
T1486, T1654

IOCs:
File: 1
Hash: 2

Soft:
ProtonMail, Telegram

Algorithms:
zip, md5, aes

Functions:
os_Stat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NightSpire - это группа программ-вымогателей, которая использует агрессивную тактику вымогательства, угрожая обнародовать украденную конфиденциальную информацию через специальные сайты утечки, если выкуп не будет выплачен. Программа-вымогатель шифрует файлы с помощью симметричного шифрования AES, изменяя их расширения на ".nspire", и включает в себя зашифрованный открытый ключ RSA, необходимый для расшифровки, добавляемый к файловой структуре. Такое многоуровневое шифрование усложняет усилия по восстановлению для жертв, пытающихся восстановить доступ к своим данным без уплаты выкупа.
-----

NightSpire - это группа программ-вымогателей, известная тем, что использует крайне агрессивную тактику кибервымогательства через свои специализированные сайты утечек (DLS). Эти сайты служат для публичной угрозы организациям-жертвам, размещая их конфиденциальную информацию рядом с таймером обратного отсчета, который указывает, когда данные будут обнародованы, если выкуп не будет выплачен. Такой подход направлен не только на то, чтобы заставить жертв подчиниться, но и служит предупреждением для других потенциальных целей.

Когда программа-вымогатель NightSpire заражает систему, она шифрует файлы и изменяет их расширения на ".nspire", о чем свидетельствуют отчеты, показывающие папки как с зашифрованными файлами, так и с запиской о выкупе под названием "readme.txt ." Программа-вымогатель использует симметричное шифрование AES для защиты файлов. Примечательно, что симметричный ключ, необходимый для расшифровки, сам шифруется с использованием открытого ключа RSA, который добавляется в конец файловой структуры. Этот метод двухуровневого шифрования усложняет процесс для жертв, стремящихся восстановить свои данные без уплаты выкупа, поскольку они должны не только расшифровать файлы, но и получить ключ RSA, надежно хранящийся у злоумышленников.

#ParsedReport #CompletenessMedium
27-08-2025

The Price of Trust: Analyzing the Malware Campaign Exploiting TASPEN's Legacy to Target Indonesian Senior Citizens

https://www.cloudsek.com/blog/taspen-malware-campaign-targeting-indonesian-senior-citizens

Report completeness: Medium

Actors/Campaigns:
Earth_kurma (motivation: cyber_espionage)

Threats:
Lockbit

Victims:
Pensioners, Civil servants, Financial sector, Banks, Government sector, Pension funds

Industry:
Financial, E-commerce, Critical_infrastructure, Government, Healthcare

Geo:
Australian, China, Singapore, Indonesia, Chinese, Indonesian, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1406, T1407, T1411, T1412, T1476, T1566.002, T1583.001

IOCs:
Url: 1
File: 2
Domain: 1
IP: 1
Hash: 4

Soft:
Android, Google Play, WhatsApp

Algorithms:
sha256, base64, zip

Languages:
javascript

Platforms:
apple