#ParsedReport #CompletenessLow
09-10-2025

AdaptixC2 Uncovered: Capabilities, Tactics & Hunting Strategies

https://hunt.io/blog/adaptixc2-uncovered-capabilities-tactics-hunting

Report completeness: Low

Threats:
Adaptixc2_tool
Dll_injection_technique
Process_injection_technique

Victims:
Organizations, Cloud hosting providers

Geo:
Ireland, Kazakhstan, Switzerland

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1027, T1041, T1050, T1055, T1055.001, T1071.001, T1090, T1090.001, T1105, have more...

IOCs:
File: 8
IP: 6

Algorithms:
base64, rc4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа AdaptixC2 - это универсальная система управления (C2), используемая злоумышленниками для управления вредоносным ПО. Его природа с открытым исходным кодом позволяет развертывать его с помощью таких протоколов, как HTTP и SMB, включая методы обхода, позволяющие избежать обнаружения. Фреймворк обеспечивает закрепление с помощью Динамического разрешения API и облегчает перемещение внутри компании через скомпрометированные системы, действующие как прокси, что затрудняет обнаружение из-за его зависимости от законной инфраструктуры и динамических конфигураций.
-----

Платформа AdaptixC2 - это легкая и адаптируемая система управления (C2), используемая злоумышленниками для эффективного развертывания вредоносного ПО и управления им. Его дизайн с открытым исходным кодом обеспечивает значительную гибкость в различных операционных средах, облегчая развертывание с помощью различных протоколов, включая HTTP, SMB и TCP. Архитектура поддерживает различные векторы атак и сложные методы уклонения, направленные на обход традиционных методов обнаружения, таких как системы, основанные на сигнатурах.

Примечательно, что AdaptixC2 использует расширенные возможности для установления и поддержания закрепления в зараженных системах. Вредоносное ПО использует Динамическое разрешение API, что затрудняет статическое обнаружение за счет разрешения адресов функций Windows во время выполнения. Его методы развертывания могут включать автономные исполняемые файлы, Службы Windows, внедрение библиотек DLL и выполнение шелл-кода, предоставляя множество способов обойти механизмы безопасности. Кроме того, его надежная функция передачи файлов обеспечивает безопасный обмен данными по Зашифрованным каналам, используя разрозненную систему передачи, которая повышает устойчивость к сбоям в работе сети.

Beacon, который является компонентом вредоносного ПО, ответственным за взаимодействие команд и контроля, включает в себя функции для перемещения внутри компании. Это может превратить каждую скомпрометированную систему в прокси-сервер, способствуя более глубокому проникновению в сеть с помощью возможностей переадресации портов TCP и UDP. Эта поворотная функциональность подчеркивает важность сегментации сети как меры защиты, поскольку скомпрометированные системы могут передавать команды по нескольким уровням, нацеливаясь на системы, которые могут не подключаться напрямую к внешним серверам C2.

С точки зрения обнаружения, AdaptixC2 представляет собой уникальные задачи. Традиционные методы часто неэффективны из-за динамичного и настраиваемого подхода фреймворка. Попытки раскрыть его инфраструктуру показали, что было идентифицировано 102 активных сервера C2 у целого ряда хостинг-провайдеров. Такая зависимость от законных инфраструктур усложняет отслеживание и реагирование. Наличие определенных HTTP-заголовков и конфигураций, таких как порты прослушивания по умолчанию и имена сертификатов, может служить индикаторами компрометации, позволяя аналитикам создавать более эффективные правила обнаружения.

Стратегии снижения рисков для организаций включают комплексную защиту на сетевом уровне, включая глубокую проверку пакетов на предмет необычных моделей трафика и мониторинг подключений к Нестандартным портам. Средства защиты на базе хоста должны быть сосредоточены на подозрительной активности в памяти и изменениях реестра, связанных с механизмами закрепления. Организациям рекомендуется использовать методы обнаружения поведения, а не полагаться исключительно на статические индикаторы, что способствует более быстрому реагированию в случае инцидента.

#ParsedReport #CompletenessMedium
09-10-2025

NGC4141: East Asian group attacks custom web applications

https://1.rt-solar.ru/solar-4rays/blog/6097/?_x_tr_enc=1

Report completeness: Medium

Actors/Campaigns:
Ngc4141 (motivation: cyber_espionage)

Threats:
Hping3_tool
Netcat_tool
Netstat_tool
Nmap_tool
Proxychains_tool
Wso_webshell
Godzilla_webshell

Victims:
Web applications

Industry:
Government, Telco

Geo:
Russian, Asian, Asia, Korea

IOCs:
File: 7
IP: 14
Hash: 17

Soft:
WordPress, Bitrix, docker, vim-cmd, curl, sudo

Algorithms:
aes-256-cbc, aes, aes-256, base64, cbc, md5, xor, sha256, sha1

Functions:
eval, getBasicsInfo

Win API:
readfile

Languages:
python, php

Platforms:
x64

Links:
have more...
https://translate.google.com/website?sl=ru&tl=en&hl=ru&client=webapp&u=https://github.com/808Mak1r/GodzillaSource/blob/main/src/main/resources/shell/php/template/base64.bin
https://translate.google.com/website?sl=ru&tl=en&hl=ru&client=webapp&u=https://github.com/mIcHyAmRaNe/wso-webshell/blob/master/wso.php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка NGC4141, происходящая из Восточной Азии, нацелена на пользовательские веб-приложения, используя уязвимости, присущие программному обеспечению с открытым исходным кодом и на заказ. В их атаках используются передовые методы, типичные для киберугроз, включая внедрение SQL, межсайтовый скриптинг (XSS) и обход аутентификации, которые ставят под угрозу конфиденциальность, целостность и доступность этих приложений. Деятельность группы подчеркивает слабые места в системе безопасности, характерные для пользовательских веб-решений, что требует осведомленности об этих уязвимостях для снижения рисков эксплуатации в будущем.
-----

Хакерская группировка NGC4141, идентифицированная как происходящая из Восточной Азии, активно нацеливалась на пользовательские веб-приложения. Их деятельность выявляет уязвимости, присущие как платформам с открытым исходным кодом, так и индивидуальным программным решениям в области веб-приложений. Хотя пользовательские веб-приложения могут предлагать индивидуальные функциональные возможности, которые могут улучшить бизнес-операции, в них часто обнаруживаются уникальные пробелы в безопасности, которыми могут воспользоваться злонамеренные акторы.

Эти атаки NGC4141 продемонстрировали глубокое понимание безопасности веб-приложений и потенциальных слабых мест, которые могут быть использованы. Группа использует различные методы, типичные для продвинутых киберугроз, которые могут включать внедрение SQL, межсайтовый скриптинг (XSS) и методы обхода аутентификации. Использование этих методов позволяет NGC4141 потенциально ставить под угрозу конфиденциальность, целостность и доступность целевых приложений.

Более того, деятельность группы вызывает обеспокоенность по поводу общего уровня безопасности организаций, использующих пользовательские веб-решения. Поскольку эти приложения часто разрабатываются без строгих мер безопасности, которые присущи популярным программным платформам, они могут непреднамеренно предоставить злоумышленникам больше возможностей для использования. Постоянная бдительность и активные меры безопасности необходимы организациям для защиты от таких целенаправленных кампаний.

По мере развития ландшафта киберугроз понимание тактики и методов, используемых такими группами, как NGC4141, имеет решающее значение для разработки эффективных контрмер и повышения безопасности веб-приложений. Организации должны оставаться осведомленными о конкретных уязвимостях, связанных с пользовательскими разработками, чтобы эффективно снижать риск будущих атак.

#ParsedReport #CompletenessLow
09-10-2025

Oracle E-Business Suite Zero-Day Exploited in Widespread Extortion Campaign

https://cloud.google.com/blog/topics/threat-intelligence/oracle-ebusiness-suite-zero-day-exploitation/

Report completeness: Low

Actors/Campaigns:
Fin11 (motivation: information_theft)
Scattered_lapsus_hunters
Shinyhunters
Unc6240

Threats:
Clop
Goldvein
Sagegift
Sageleaf
Sagewave_tool
Goldtomb

Victims:
Oracle e business suite users, Enterprises using managed file transfer systems

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1078, T1190, T1555.003, T1566.002, T1656

IOCs:
Email: 2
File: 2
IP: 5

Soft:
GoAnywhere, MOVEit, LexiCom, Telegram, Linux, WebLogic

Algorithms:
aes, zip, base64, cbc

Languages:
java, python, powershell

YARA: Found

Links:
https://github.com/ReaJason/MemShellParty/blob/0c041ee1a97b1af1d677f2d2bc47f325d278da3e/generator/src/main/java/com/reajason/javaweb/memshell/injector/weblogic/WebLogicFilterInjector.java
have more...

#ParsedReport #ExtractedSchema

Classified images:
chats: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Масштабная кампания по вымогательству, связанная с актором CL0P, началась 29 сентября 2025 года, используя уязвимость zero-day в Oracle E-Business Suite, с большим объемом электронных писем, отправленных руководителям со взломанных сторонних учетных записей. Эта кампания свидетельствует о тревожной тенденции использования уязвимостей zero-day в корпоративных приложениях для крупномасштабного вымогательства, когда злоумышленники могут извлекать данные из нескольких организаций, оставаясь незамеченными. Деятельность группы указывает на потенциальное расширение партнерских отношений или появление новых акторов, использующих аналогичные методы.
-----

Начиная с 29 сентября 2025 года, стала известна масштабная кампания вымогательства, связанная с актором CL0P, использующим уязвимость zero-day в Oracle E-Business Suite (EBS). Эта кампания началась с большого количества электронных писем, отправленных руководителям со взломанных сторонних аккаунтов, которые, вероятно, получали учетные данные из журналов вредоносного ПО от стиллера, доступных на подпольных форумах. В электронных письмах ложно заявлялось о нарушениях в Oracle EBS, утверждая о краже конфиденциальных документов. Ко 2 октября Oracle сообщила, что уязвимости, использованные в этих атаках, были устранены в критических исправлениях, выпущенных в июле 2025 года, что побудило их рекомендовать немедленные обновления для всех клиентов.

Сайт утечки данных CL0P, действующий с 2020 года, ранее был связан с группой FIN11, известной многогранной тактикой вымогательства, часто с использованием Ransomware. Однако недавние действия указывают на то, что использование уязвимостей zero-day в системах управляемой передачи файлов (MFT), таких как Accellion и GoAnywhere MFT, стояло за недавними инцидентами с вымогательством данных, что свидетельствует либо о расширении партнерских отношений группы, либо о появлении новых акторов, использующих аналогичные методы.

Эксплуатация серверов Oracle EBS, по-видимому, началась еще до кампании по вымогательству и продолжалась до июля 2025 года. Несмотря на использование бренда CL0P и методов коммуникации, которые перекликаются с операциями FIN11, GTIG официально не приписывала эту конкретную деятельность какой-либо известной хакерской группировке. В то время как оперативная тактика напоминает те, которые исторически были связаны с FIN11, что указывает на потенциально взаимосвязанное или дублирующее взаимодействие, имеющиеся данные свидетельствуют о вовлечении акторов, использующих персонализированные подходы.

Эта кампания подчеркивает тревожную тенденцию, при которой злоумышленники используют уязвимости zero-day в широко используемых корпоративных приложениях и впоследствии предпринимают крупномасштабные попытки вымогательства неделями позже. Эта тактика повышает эффективность кражи данных, позволяя злоумышленникам осуществлять фильтрацию из нескольких организаций, не прибегая к защитным мерам, поскольку они избегают обнаружения во время перемещения внутри компании. Воздействие усиливается, поскольку злоумышленники могут нацеливаться на множество жертв одновременно. Более того, организации, связанные с CL0P, весьма вероятно, считают эту тактику массового использования успешной, и, таким образом, ожидается, что они будут упорствовать в своих усилиях по обеспечению использования эксплойтов zero-day для других приложений в обозримом будущем.

#ParsedReport #CompletenessMedium
09-10-2025

175 Malicious npm Packages Host Phishing Infrastructure Targeting 135+ Organizations

https://socket.dev/blog/175-malicious-npm-packages-host-phishing-infrastructure

Report completeness: Medium

Threats:
Supply_chain_technique
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Industrial sector, Technology sector, Energy sector, Croatian industrial organization

Industry:
Energy, Chemical

Geo:
Asia-pacific, Italy, Dutch, Belgium, Germany, Netherlands, Mozambique

TTPs:
Tactics: 1
Technics: 6

IOCs:
Domain: 7
File: 20

Soft:
Office 365, Nginx

Algorithms:
base64

Functions:
npm_logged_in, generate_random_package_name

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена угроза кибербезопасности, связанная со 175 вредоносными пакетами npm, используемыми в кампаниях фишинга против более чем 135 организаций, в основном в промышленном, технологическом и энергетическом секторах. Эти пакеты используют npm в качестве услуги хостинга, включая скрипты, которые перенаправляют пользователей на страницы фишинга, предварительно заполняя формы входа с их Адресами эл. почты для повышения доверия. Акторы эксплуатируют unpkg.com для хостинга и применили автоматизацию с помощью скриптов на Python, что указывает на стратегический, скоординированный подход к их фишинг-атакам.
-----

Возникла серьезная угроза кибербезопасности, связанная с 175 вредоносными пакетами npm, связанными с кампаниями фишинга, нацеленными на более чем 135 организаций в различных секторах, включая промышленность, технологии и энергетику. Эти пакеты, которые были загружены более чем 26 000 раз, не выполняют вредоносный код при установке, а скорее используют npm в качестве инфраструктуры бесплатного хостинга для совершения фишинг-атак. Злоумышленники используют законный сервис CDN, unpkg.com , размещать свои ресурсы для фишинга без затрат на сервер или SSL-сертификат.

Автоматизированные инструменты, в частности скрипты на Python, были созданы злоумышленниками для облегчения их работы с несколькими пакетами npm. Примечательно, что redirect_generator.py скрипты и исполняемые файлы, скомпилированные PyInstaller, используются для автоматического перенаправления на страницы фишинга. При выполнении эти скрипты манипулируют адресом электронной почты жертвы в URL-адресе в виде фрагмента, который остается невидимым веб-серверами во время стандартных HTTP-запросов. Этот метод позволяет страницам фишинга предварительно заполнять регистрационные формы электронной почтой жертвы, что повышает достоверность атаки.

Инфраструктура фишинга использует HTML-файлы, запрограммированные для загрузки JavaScript из unpkg.com . Этот JavaScript имеет решающее значение, поскольку он инициирует перенаправление на страницы фишинга с учетными данными при доступе через веб-браузер. Для поддержания своей деятельности злоумышленники используют семь различных доменных имен для фишинга, что указывает на хорошо скоординированную кампанию. Частое появление конкретных целей, таких как хорватская промышленная организация, представленная электронной почтой sraka@hust.отдел кадров в 19 различных пакетах указывает либо на целенаправленных лиц, либо на продолжающиеся, настойчивые усилия против этой организации.

Дальнейшие исследования показали, что некоторые пакеты содержали документацию, в частности файл под названием cdn_setup_guide.txt , описывающий, как создать независимую инфраструктуру хостинга с использованием Виртуально выделенных серверов (VPS) и Nginx. Это предполагает долгосрочное стратегическое планирование, позволяющее акторам уменьшить зависимость от unpkg.com CDN с течением времени. Используемая тактика согласуется с методикой MITRE ATT&CK T1195.002, подчеркивающей компрометацию Цепочки поставок программного обеспечения как значительный вектор угрозы. В целом, этот случай иллюстрирует инновационное злоупотребление надежными системами распространения программного обеспечения для облегчения атак фишинга, подчеркивая необходимость постоянной бдительности и надежных мер безопасности в средах разработки и развертывания программного обеспечения.

#ParsedReport #CompletenessHigh
09-10-2025

New Rust Malware "ChaosBot" Uses Discord for Command and Control

https://www.esentire.com/blog/new-rust-malware-chaosbot-uses-discord-for-command-and-control

Report completeness: High

Actors/Campaigns:
Chaos_00019

Threats:
Chaosbot
Lolbin_technique
Frpc_tool

Victims:
Financial services

Industry:
Financial

Geo:
Hong kong, Vietnam, Vietnamese, Chinese, Asia pacific

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1078, T1090.001, T1102, T1140, T1204.002, T1218.011

IOCs:
Path: 2
File: 10
Hash: 37
Command: 30
Url: 9
IP: 1

Soft:
Discord, Visual Studio Code, Active Directory, Microsoft Edge, VirtualBox

Algorithms:
xor, sha256

Languages:
rust, powershell

YARA: Found

Links:
https://github.com/eSentire/iocs/blob/main/ChaosBot/ChaosBot-IoCs-09-24-2025.txt
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 5, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце сентября 2025 года вредоносное ПО на базе Rust "ChaosBot" было обнаружено в среде финансовых служб, использующей скомпрометированные учетные данные Cisco VPN и учетную запись Active Directory для доступа. ChaosBot взаимодействует через Discord для C2 и развертывается с помощью удаленных команд с использованием Инструментария управления Windows(WMI) или кампаний фишинга с использованием вредоносных файлов ярлыков Windows. Вредоносное ПО включает конфигурацию с необходимыми идентификаторами Discord и использует такие инструменты, как быстрый обратный прокси-сервер и потенциальное туннелирование кода Visual Studio для постоянного доступа.
-----

В конце сентября 2025 года исследователи выявили вредоносное ПО на базе Rust под названием "ChaosBot", работающее в среде финансовых услуг. Это вредоносное ПО использует законные службы Discord для своих операций командования и контроля (C2), что делает его особенно сложным для обнаружения. В атаке в основном использовались скомпрометированные учетные данные, связанные с Cisco VPN, и чрезмерно привилегированная учетная запись Active Directory с надписью "serviceaccount". Злоумышленники выполняли команды удаленно по сети с помощью Инструментария управления Windows(WMI), что облегчило развертывание ChaosBot.

Альтернативный метод первоначального доступа, о котором сообщил Сабольч Шмидт, включает кампании фишинга, использующие вредоносные файлы ярлыков Windows, которые служат векторами для установки вредоносного ПО. Архитектура ChaosBot примечательна тем, что написана на Rust и использует сетевые библиотеки, такие как reqwest или serenity, для взаимодействия с Discord API. Этот вариант вредоносного ПО включает в себя определенную конфигурацию, которая содержит важные идентификаторы, включая токен Discord bot, идентификатор сервера (guild) и идентификатор канала, которые он использует для оповещения злоумышленника о новых скомпрометированных устройствах.

Злоумышленники, стоящие за ChaosBot, также использовали дополнительные инструменты для расширения своих командных возможностей. Примечательно, что они скачали быстрый обратный прокси (FRP), сохранив его как node.exe в общедоступном пользовательском каталоге, а его конфигурация хранится в файле с именем node.ini. Кроме того, они попытались настроить туннель кода Visual Studio (отмеченный SHA256: f764ff0750aab9f2fc4cd9ec90c58f1fc85ac74330fc623104d42dfaaf825103) в качестве дополнительного бэкдора для постоянного доступа. В результате анализа более двенадцати образцов ChaosBot были выявлены две конкретные учетные записи пользователей Discord, связанные с операционной деятельностью вредоносного ПО.

Чтобы помочь в обнаружении и реагировании, были разработаны правила YARA для идентификации известных вариантов ChaosBot, а также связанного с ним дроппера PowerShell, используемого совместно с вредоносным ПО.

#ParsedReport #CompletenessMedium
10-10-2025

Astaroth: Banking Trojan Abusing GitHub for Resilience

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/astaroth-banking-trojan-abusing-github-for-resilience/

Report completeness: Medium

Threats:
Astaroth
Ngrok_tool
Steganography_technique

Victims:
Banking users, Cryptocurrency users

Industry:
Financial

Geo:
Ecuador, Chile, Panama, Portugal, Mexico, Uruguay, American, Venezuela, America, Bolivia, Brazil, Argentina, Peru, Colombia, Italy, Paraguay

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.003, T1027.009, T1041, T1055, T1056.001, T1059.007, T1071.004, T1090, have more...

IOCs:
File: 6
Url: 15
Hash: 9
Domain: 11

Soft:
chrome

Wallets:
metamask

Crypto:
binance

Algorithms:
zip

Languages:
delphi, autoit, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 3, dump: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Astaroth - это сложный банковский троянец, нацеленный в первую очередь на Южную Америку и некоторые европейские страны с помощью фишинг-писем, в которых используется файл быстрого доступа Windows для установки вредоносного ПО. Он использует Регистрацию нажатий клавиш для сбора конфиденциальной информации с банковских сайтов и сайтов с криптовалютами и взаимодействует с обратным прокси-сервисом Ngrok. Вредоносное ПО разработано на Delphi, использует методы антианализа и обновляет свою тактику с помощью конфигураций, размещенных на GitHub, используя Стеганографию для скрытности и закрепления.
-----

Astaroth - это сложный банковский троян, идентифицированный как серьезная угроза, нацеленный в первую очередь на пользователей в Южной Америке и некоторых европейских странах. Вредоносное ПО получает первоначальный доступ с помощью фишинг-писем, содержащих ссылку на сжатый файл ярлыка Windows (.lnk). После выполнения этот файл устанавливает вредоносное ПО Astaroth. Одной из его примечательных особенностей является его способность определять, когда пользователи посещают банковские сайты или веб-сайты с криптовалютами, используя методы Регистрации нажатием клавиш для сбора конфиденциальных учетных данных. Затем украденные данные передаются злоумышленникам через службу обратного прокси-сервера Ngrok.

Astaroth отличается тем, что использует GitHub в качестве хостинга для своих конфигурационных файлов. Эта стратегия позволяет вредоносному ПО обновлять свою тактику работы, обходя традиционные зависимости сервера командования и контроля (C2). Встраивая соответствующую информацию в изображения с помощью Стеганографии в репозиториях GitHub, Astaroth остается устойчивым к попыткам удаления. Даже когда о вредоносных репозиториях сообщается и они удаляются, вредоносное ПО может продолжать функционировать благодаря своей способности извлекать сведения о конфигурации из альтернативных источников на GitHub.

Вредоносное ПО создано на Delphi и включает в себя различные методы антианализа, предназначенные для предотвращения обнаружения и анализа, включая самоуничтожение при обнаружении среды отладки. Механизм закрепления инфекции использует ярлык, размещенный в папке автозагрузки системы, который запускает сценарий автозагрузки для повторного запуска вредоносного ПО во время загрузки системы.

Связь с его инфраструктурой C2 осуществляется с помощью пользовательских двоичных протоколов, что еще больше усложняет меры обнаружения. Данные конфигурации зашифрованы и хранятся в файле с именем dump.log, что указывает на высокий уровень изощренности вредоносного ПО в защите своих рабочих параметров.

Оперативные детали, связанные с Astaroth, включают в себя нацеливание на многочисленные страны Южной Америки, такие как Бразилия, Аргентина и Колумбия, а также на части Европы, включая Португалию и Италию. Обнаружение McAfee этой кампании привело к их сотрудничеству с GitHub для окончательного удаления вредоносных репозиториев, что временно нарушило работу Astaroth's, но указывает на продолжающуюся борьбу с такими скрытыми киберугрозами. Широкое использование вредоносным ПО законных платформ, таких как GitHub, подчеркивает эволюционирующую тактику, используемую киберпреступниками для поддержания закрепления и уклонения от обнаружения во все более защищенной цифровой экосистеме.