#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года исследователи обнаружили 131 вредоносное расширение Chrome, использующее WhatsApp Web для рассылки спама и использующее общий сервер для обхода модерации Google. Эта операция, проведенная под руководством DBX Tecnologia и Grupo OPT, включала внедрение вредоносного JavaScript для массового обмена сообщениями и удаления контактов, а также ложную рекламу законных функций. Эта угроза является примером скоординированной кампании, в ходе которой используются законные платформы для распространения вредоносных расширений, что усложняет обнаружение и увеличивает риски для пользователей.
-----

В начале 2025 года исследователи выявили существенную киберугрозу, связанную с 131 вредоносным расширением Chrome, которое использовало WhatsApp Web для широкомасштабной кампании по рассылке спама. Эти расширения, продаваемые как инструменты для улучшения делового общения, имели общую серверную инфраструктуру и кодовую базу, что позволяло им обходить политику модерации в интернет-магазине Google Chrome. Постоянно проводя ребрендинг и публикуя клонированные расширения, злоумышленники смогли получить доступ к широкой базе пользователей, не вызывая тревоги.

Кампания иллюстрирует тревожную тенденцию злоупотребления браузерными расширениями, функционирующими подобно Цепочке поставок. Одна вредоносная кодовая база была перепрофилирована на несколько расширений, что скрывало источник угрозы и усложняло усилия по обнаружению и устранению неполадок. Основными организациями, стоящими за этой операцией, были определены DBX Tecnologia и Grupo OPT, которые действовали по модели white-label. Эти организации разработали средство автоматизации борьбы со спамом, которое позволило третьим лицам проводить ребрендинг и составлять списки этих вредоносных расширений так, как если бы они были их собственными, что указывает на скоординированные усилия, а не на отдельные инциденты.

Эти расширения были специально нацелены на пользователей, которые после установки внедряли вредоносный JavaScript на веб-страницу WhatsApp. Этот внедренный код способствовал автоматическому отправлению массовых сообщений, удалению контактов и планированию рассылки спама. Эти расширения часто ложно рекламируют такие функции, как соблюдение конфиденциальности и интеграция CRM, в то время как на самом деле нарушают условия предоставления услуг как WhatsApp, так и интернет-магазина Chrome. Ничего не подозревающие пользователи, привлеченные заявлениями об улучшении маркетинговой работы, невольно превратили свои браузеры в спам-ботов.

Для снижения рисков, связанных с такими угрозами, рекомендуется использовать несколько стратегий. Организациям следует регулярно проверять установленные расширения на легитимность и вводить списки разрешений/запретов для расширений браузера. Также важно ограничить установку программного обеспечения проверенными источниками, поддерживать актуальность браузеров и операционных систем и информировать пользователей об опасностях, связанных с неизвестными расширениями. Кроме того, использование различных методов обнаружения, согласованных с платформой MITRE ATT&CK framework, может повысить безопасность, включая мониторинг установки новых расширений, ненормального выполнения JavaScript и подозрительного доступа к данным браузера.

Этот инцидент иллюстрирует, что злонамеренные акторы все больше стирают границы между законными маркетинговыми инструментами и вредоносным программным обеспечением, используя надежные платформы, такие как интернет-магазин Chrome, для широкого распространения спам-инструментов. Необходимо совершенствовать меры безопасности, чтобы обеспечить постоянный мониторинг и управление безопасностью расширений браузера, признавая потенциальные угрозы, присущие этим широко используемым инструментам.

#ParsedReport #CompletenessLow
22-10-2025

Unpacking the Phishing Script Behind a Server-Orchestrated Deception

https://cofense.com/blog/unpacking-the-phishing-script-behind-a-server-orchestrated-deception

Report completeness: Low

Threats:
Spear-phishing_technique

TTPs:

ChatGPT TTPs:
do not use without manual check
T1056.003, T1071.001, T1204.001, T1566.002, T1583.001, T1589.002

IOCs:
File: 4

Soft:
Microsoft OneDrive

Algorithms:
base64

Functions:
uuidv4

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака фишинга использует передовые методы обхода защищенных почтовых шлюзов, используя фрагмент JavaScript, который включает случайный выбор домена и динамическую замену страницы. Этот скрипт повышает свою эффективность за счет использования UUID для отслеживания жертв, позволяя осуществлять персонализированный сбор учетных записей, маскируя вредоносный контент под законные веб-адреса. Такая тактика сигнализирует о тревожной тенденции в области киберугроз, подчеркивая необходимость адаптивных мер безопасности против развивающихся методов фишинга.
-----

Новая атака фишинга является примером сложного метода, который успешно обходит защищенные шлюзы электронной почты (SEGS) и другие средства защиты периметра. В этой атаке используется продвинутый сценарий фишинга, характеризующийся случайным выбором домена и динамической заменой страницы, управляемой сервером, что делает его особенно эффективным при краже учетных данных пользователя и уклонении от обнаружения.

Основной вектор этой кампании по фишингу связан с фрагментом JavaScript, который отличается от традиционных методов. В отличие от распространенных скриптов фишинга, которые в значительной степени полагаются на избыточные повторные попытки домена и статические перенаправления, этот скрипт использует такие тактики, как случайный выбор домена без отработки отказа, генерация UUID и динамическая замена страницы. Отсутствие механизмов обработки ошибок и повторных попыток, на что указывает простая консоль.регистрация запросов AJAX означает более оптимизированный подход, повышающий эффективность кампании.

Одним из существенных компонентов этой атаки является случайный выбор доменов. В качестве примера можно привести использование случайно выбранного домена .org для размещения фишинг-контента, что еще больше усложняет усилия по обнаружению. Кроме того, скрипт включает в себя двойную генерацию UUID — один жестко запрограммированный (предположительно, для идентификации конкретных кампаний или целевых групп) и один динамически генерируемый с использованием uuidv4, что позволяет злоумышленникам отслеживать отдельных жертв и эффективно сопоставлять украденные данные.

Ключевым элементом, который усиливает обман этого скрипта фишинга, является реализация динамической замены страницы. Сервер злоумышленника может заменить всю веб-страницу настроенным вредоносным контентом без изменения видимого веб-адреса. Этот метод вводит пользователей в заблуждение, заставляя их полагать, что они взаимодействуют с законным сайтом, в то время как фактический контент служит для сбора учетных данных.

Понимание этих методов имеет решающее значение для улучшения защиты от таких продвинутых угроз фишинга, которые представляют значительные риски для организаций и их пользователей. Инновационная тактика, использованная в этой конкретной кампании по фишингу, иллюстрирует тревожную тенденцию в эволюции киберугроз, подчеркивая необходимость постоянной бдительности и адаптации мер безопасности.

#ParsedReport #CompletenessHigh
23-10-2025

TA585 In-depth technical analysis of an organization's deployment of MonsterV2 RAT using ClickFix phishing technology

https://www.ctfiot.com/275404.html

Report completeness: High

Actors/Campaigns:
Ta585 (motivation: information_theft, cyber_criminal)

Threats:
Monster_ransomware
Clickfix_technique
Coresecthree
Hvnc_tool
Rhadamanthys
Steganography_technique
Soniccrypt

Victims:
Small and medium sized businesses, Financial industry, Accounting industry

Industry:
Government, Financial, Education

Geo:
Ukraine, Russia, Belarus

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1204.001, T1556.002, T1566.002

IOCs:
Domain: 1
File: 1
Hash: 2

Soft:
Windows runtime, Chrome, Firefox, Outlook, WeChat

Algorithms:
chacha20, base64

Languages:
javascript, typescript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступная группировка TA585 использует передовые методы фишинга для распространения троянца удаленного доступа MonsterV2 (RAT) через электронные письма Налоговой службы, содержащие ссылки на вредоносные PDF-файлы. Эта тактика умело использует срочность, связанную с налоговыми сообщениями, ориентируясь на малые и средние предприятия финансового сектора. RAT MonsterV2 обеспечивает несанкционированный доступ к системам, облегчает кражу данных и допускает дальнейшие вредоносные действия, в то время как технология ClickFix улучшает обман при попытках фишинга.
-----

В феврале 2025 года Proofpoint идентифицировала киберпреступную группу TA585 как использующую сложные методы фишинга для развертывания троянца удаленного доступа MonsterV2 (RAT). Их подход заключается в рассылке фишинг-писем на тему Налогового управления США, содержащих ссылки на вредоносные PDF-файлы. Эти PDF-файлы направляют жертв на мошеннические страницы аутентификации, которые работают с помощью ClickFix, технологии, разработанной для повышения эффективности такой тактики фишинга.

Кампании TA585's в основном ориентированы на малые и средние предприятия финансового и бухгалтерского секторов, используя доверие и срочность, часто связанные с сообщениями налоговых органов. Использование электронных писем на тему Налогового управления США служит эффективной приманкой, учитывая легитимность такого контента, связанного с правительством, тем самым повышая вероятность успешных попыток фишинга.

RAT MonsterV2 примечателен своими возможностями, позволяющими злоумышленникам получать несанкционированный доступ к скомпрометированным системам. После запуска это вредоносное ПО, вероятно, облегчит дальнейшую эксплуатацию, включая кражу конфиденциальных данных, развертывание дополнительных полезных нагрузок или закрепление на зараженных компьютерах. Технология ClickFix, используемая в этих атаках фишинга, упрощает переход жертвы к поддельным порталам входа в систему, повышая шансы атаки обмануть цель.

#ParsedReport #CompletenessLow
22-10-2025

Deep analysis of the flaw in BetterBank reward logic

https://securelist.com/betterbank-defi-protocol-esteem-token-bonus-minting/117822/

Report completeness: Low

Victims:
Betterbank, Defi protocol users

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1565.002, T1608, T1656

IOCs:
File: 2
Coin: 4

Soft:
BetterBank, PulseX

Wallets:
mainnet

Crypto:
ethereum

Functions:
logBuy, _transfer, getTokenTWAP, swapExactTokensForFavorAndTrackBonus, calculateFavorBonuses, createPair, setAllowedDirectPair

#ParsedReport #ExtractedSchema

Classified images:
schema: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года BetterBank, протокол DeFi на PulseChain, подвергся серьезной атаке из-за уязвимости в функции swapExactTokensForFavorAndTrackBonus, что привело к краже цифровых активов на сумму около 5 миллионов долларов. Этот эксплойт, основанный на предыдущем аудите безопасности, который преуменьшил серьезность критической уязвимости, позволил злоумышленнику истощить резервы ликвидности с помощью серии запланированных транзакций с использованием мгновенных займов. Атака была связана с недостатками в функции logBuy() контракта favorPLS.sol, что выявило трудности в сетевой экспертизе на фоне недостаточного количества инструментов отслеживания.
-----

В августе 2025 года BetterBank, децентрализованный финансовый протокол (DeFi) на платформе PulseChain, столкнулся со значительным взломом, который привел к краже цифровых активов на сумму около 5 миллионов долларов. Основная уязвимость была обнаружена в функции swapExactTokensForFavorAndTrackBonus системы бонусного вознаграждения протокола. Эта функция была предназначена для чеканки вознаграждающих токенов ESTEEM на основе сделок с использованием токенов FAVOR, но в ней отсутствовала необходимая проверка для подтверждения того, что обмены происходили в рамках законных пулов ликвидности, внесенных в белый список.

Эксплойт стал конечным результатом событий, произошедших в июле 2025 года, когда аудит безопасности, проведенный компанией Zokyo, выявил критическую уязвимость в системе бонусного вознаграждения. Несмотря на выявление проблемы, которая касалась способности злоумышленников получать бонусы с помощью поддельных токенов, степень ее серьезности была снижена до "Информационной" и помечена как "Устраненная", что привело к недостаточному устранению проблемы со стороны команды BetterBank.

Сама атака была нацелена на пулы ликвидности BetterBank, в результате чего были выведены активы, такие как 891 миллион токенов DAI и более 16 миллиардов токенов PLSX и WPLS. Злоумышленник выполнил серию тщательно спланированных транзакций, используя срочный кредит для получения больших сумм капитала, необходимых для эффективного манипулирования ликвидностью в рамках протокола.

В основе эксплойта лежала логика контракта favorPLS.sol, в частности функция logBuy(). Используя конструктивный недостаток системы начисления вознаграждений, злоумышленник смог создать прибыль, используя поддельные пулы ликвидности. Этот инцидент также выявил проблемы в сетевой криминалистике, поскольку отслеживание потока украденных средств было затруднено из-за недостаточного доступа к общедоступным аналитикам блокчейнов в PulseChain. Аналитические системы с открытым исходным кодом, такие как Blockscout, оказались незаменимыми для отслеживания незаконных транзакций.

#ParsedReport #CompletenessMedium
23-10-2025

Jingle Thief: Inside a Cloud-Based Gift Card Fraud Campaign

https://unit42.paloaltonetworks.com/cloud-based-gift-card-fraud-campaign/

Report completeness: Medium

Actors/Campaigns:
Jingle_thief (motivation: financially_motivated)
Cl-cri-1032
Atlas_lion

Threats:
Smishing_technique

Industry:
Telco, Ngo, Critical_infrastructure, Retail

Geo:
India, Australia, Asia, Japan, Middle east, Morocco

TTPs:
Tactics: 2
Technics: 5

IOCs:
Url: 1
IP: 22

Soft:
WordPress, ServiceNow, Microsoft Entra

Languages:
php

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Jingle Thief - это финансово мотивированная киберугроза, нацеленная в первую очередь на сектор розничной торговли и потребительских услуг с целью мошенничества с подарочными картами, с использованием тактики, включающей фишинг и smishing. Злоумышленники получают первоначальный доступ через поддельные страницы входа в систему Microsoft 365, проводят разведку возможностей финансового мошенничества и используют внутренний фишинг для распространения в скомпрометированных организациях. Акторы используют Microsoft Entra ID для постоянного доступа, используя слабый контроль в системах подарочных карт для создания карт высокой стоимости, способствуя отмыванию денег с минимальным обнаружением.
-----

Кампания Jingle Thief, организованная финансово мотивированными злоумышленниками из Марокко, нацелена на глобальный сектор розничной торговли и потребительских услуг, уделяя особое внимание мошенничеству с подарочными картами в праздничные дни. Эти злоумышленники используют тактику фишинга и smishing для получения несанкционированного доступа к организациям, которые выпускают подарочные карты, а затем добиваются необходимого доступа для выпуска этих карт обманным путем. Кампания, которая, по оценкам со средней степенью уверенности, проводится с 2021 года, демонстрирует передовую тактику и четкую оперативную направленность, хотя и не спонсируется государством.

Первоначальный доступ в основном осуществляется с помощью тщательно подобранных электронных писем и SMS-сообщений фишинга, которые направляют жертв на поддельные порталы входа в систему Microsoft 365, часто предназначенные для того, чтобы казаться заслуживающими доверия, выдавая себя за законные организации, такие как НПО. После успешной кражи учетных данных злоумышленники проводят тщательную разведку окружения объекта, используя полученную информацию для выявления возможностей финансового мошенничества. Это включает в себя интеллектуальный анализ данных с таких платформ, как SharePoint и OneDrive, где они ищут рабочие процессы выдачи подарочных карт и внутренние руководства по доступу.

Вместо того чтобы использовать вредоносное ПО, Jingle Thief использует внутреннюю тактику фишинга, чтобы расширить свой охват внутри организаций. После компрометации учетной записи пользователя они отправляют другим сотрудникам электронные письма с фишингом с законных учетных записей, маскируя свои действия под уведомления ИТ-служб. Примечательно, что акторы внедряют методы скрытой рассылки электронной почты, такие как скрытное перемещение отправленных фишинг-писем в удаленные элементы, чтобы избежать обнаружения.

Злоумышленники также доминируют на несанкционированных устройствах, используя функции самообслуживания законных пользователей Microsoft Entra ID для постоянного доступа, тем самым обходя типичные меры безопасности, такие как сброс пароля. Их деятельность характеризуется особым поведенческим профилем и в значительной степени прослеживается по IP-адресам, геолокированным в Марокко, с тенденцией отказываться от инструментов анонимности, которые используют многие другие киберпреступники. Этот дерзкий метод работы облегчает мониторинг внутренних коммуникаций без срабатывания аварийных сигналов.

Кампания подчеркивает уязвимости, присутствующие в системах подарочных карт, которые часто имеют слабый внутренний контроль и мониторинг. Тщательно отслеживая эти системы, Jingle Thief может создавать подарочные карты высокой стоимости для перепродажи или для отмывания денег, при этом их вредоносная деятельность остается практически незаметной. В целом, эта кампания иллюстрирует растущий уровень угроз, когда атаки на основе личных данных используют слабо защищенные корпоративные системы для совершения крупномасштабных финансовых преступлений.

#ParsedReport #CompletenessHigh
23-10-2025

TransparentTribe targets Indian military organisations with DeskRAT

https://blog.sekoia.io/transparenttribe-targets-indian-military-organisations-with-deskrat/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Deskrat
Spear-phishing_technique

Victims:
Indian military organisations, Indian government entities, Local entities in ladakh

Industry:
Government, Military

Geo:
Indian, India, China, Kashmir, Pakistan, Pakistani

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001, T1566.002

IOCs:
File: 10
Hash: 2
Url: 4

Soft:
Firefox, curl, Linux, Chrome

Algorithms:
md5, zip, base64

Functions:
RunInStealthMode, InstallPersistenceFeatures, CreateSystemdServiceUnit, CreateAutostartDesktopFile, CreateBashStartupScript, NewClientInstance, EstablishConnection, math_rand_Float64

Languages:
golang, javascript, python

Links:
https://github.com/gorilla/websocket

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года кибершпионажная группа TransparentTribe, связанная с пакистанскими интересами, провела кампанию фишинга, нацеленную на системы Linux индийских правительственных организаций. Процесс заражения включал фишинг-рассылку по электронной почте, ведущую к ZIP-архиву, содержащему вредоносный файл DESKTOP со скрытыми командами Bash, с использованием вредоносного ПО DeskRAT, разработанного в Golang. DeskRAT после выполнения подключается к скрытым серверам управления по порту 8080, используя поддельные документы для повышения вероятности взаимодействия с пользователем.
-----

В июле 2025 года CYFIRMA сообщила о кампании фишинга, связанной с группой кибершпионажа TransparentTribe, также известной как APT36. Эта кампания была специально нацелена на операционные системы на базе Linux в индийских правительственных организациях, активность в которых началась в июне 2025 года. TransparentTribe связана с интересами Пакистана и действует по меньшей мере с 2013 года, уделяя особое внимание кибершпионажу для достижения дальнейших военных целей.

Процесс заражения начался с сообщения электронной почты, отправленного с помощью фишинга, хотя исходное электронное письмо было недоступно для анализа. Вероятно, он содержал URL-адрес, перенаправляющий на ZIP-архив, который мог быть либо прикреплен напрямую, либо размещен на законных сторонних Облачных сервисах, таких как Google Drive. В конце концов, кампания перешла к использованию выделенных промежуточных серверов для размещения этих ZIP-файлов. ZIP-архив содержал вредоносный файл рабочего стола, который скрывал вредоносные команды Bash в закомментированных PNG-данных, занимающих тысячи строк. Такой подход помог избежать немедленного обнаружения пользователями, что привело к запуску многоэтапного механизма доставки полезной нагрузки, направленного на развертывание дополнительного вредоносного ПО.

Основным вредоносным ПО, выявленным в ходе этой кампании, является DeskRAT, разработанное в Golang. DeskRAT работает путем установления соединения WebSocket с определенной конечной точкой на порту 8080 после выполнения. Серверы управления (C2), используемые DeskRAT, описываются как "скрытые серверы", что означает, что они не отображаются в общедоступных записях сервера имен для связанных с ними доменов. Кроме того, идентифицированные серверы C2 также предоставляют страницу аутентификации в конечной точке /login, указывающую на структурированный доступ к функциям управления вредоносным ПО.

Чтобы заманить цели к выполнению вредоносной полезной нагрузки, ZIP-архив содержал документы-приманки, предназначенные для того, чтобы побудить пользователей открыть файлы и запустить DeskRAT. Нацеливание на индийские правительственные структуры, особенно в отношении геополитики региона Ладакх — области интересов между Индией, Китаем и Пакистаном — подчеркивает стратегический характер операций TransparentTribe's.

#ParsedReport #CompletenessHigh
22-10-2025

PhantomCaptcha \| Multi-Stage WebSocket RAT Targets Ukraine in Single-Day Spearphishing Operation

https://www.sentinelone.com/labs/phantomcaptcha-multi-stage-websocket-rat-targets-ukraine-in-single-day-spearphishing-operation/

Report completeness: High

Actors/Campaigns:
Phantomcaptcha
Seaborgium

Threats:
Spear-phishing_technique
Clickfix_technique

Victims:
International red cross, Norwegian refugee council, Unicef, Nongovernmental organizations, Ukrainian regional government administration, Aid and relief organizations

Industry:
Ngo, Entertainment, Government

Geo:
Norwegian, Russia, India, Belarus, Russian, Finland, Slovakia, Donetsk, Ukraine, Italy, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1105, T1204.002, T1566.001

IOCs:
Hash: 12
Domain: 7
IP: 6
Url: 5
Command: 1
File: 1

Soft:
Android, Zoom

Algorithms:
sha256, xor, base64

Functions:
generateRandomId, JavaScript, copyToken, Set-PSReadlineOption, collectAndSendAllData

Languages:
powershell, javascript, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания PhantomCaptcha, выявленная SentinelLabs, нацелена на гуманитарные организации в Украине с помощью spearphishing, начиная с 8 октября 2025 года, используя защищенные PDF-файлы, чтобы привести жертв к поддельной странице Cloudflare captcha для запуска вредоносного ПО. Основной полезной нагрузкой является WebSocket RAT, размещенный на российских серверах, обеспечивающий удаленное выполнение команд и эксфильтрацию данных. Атака использует запутанные скрипты PowerShell для доставки полезной нагрузки, демонстрируя оперативную безопасность и планирование, с акцентом на мобильные угрозы, нацеленные на Android для сбора данных.
-----

Кампания PhantomCaptcha, раскрытая SentinelLabs и Лабораторией цифровой безопасности Украины, представляет собой скоординированную акцию spearphishing, направленную против гуманитарных организаций, оказывающих помощь в Украине. Эта кампания была запущена 8 октября 2025 года, когда злоумышленники выдавали себя за офис президента Украины. Метод включал отправку защищенных PDF-файлов, которые перенаправляли жертв на мошенническую страницу Cloudflare captcha, предназначенную для облегчения выполнения вредоносного ПО. Ключевой вредоносной полезной нагрузкой является троян удаленного доступа WebSocket (RAT), размещенный в российской инфраструктуре, позволяющий удаленно выполнять команды, эксфильтрацию данных и развертывание дополнительного вредоносного ПО.

На первом этапе атаки использовался запутанный скрипт PowerShell, идентифицированный по его хэшу SHA-256, который в первую очередь служил для загрузки вторичной полезной нагрузки с указанного URL. Эта начальная фаза демонстрирует, что злоумышленники полагаются на методы обфускации, чтобы избежать обнаружения. Второй этап состоял из облегченного бэкдора PowerShell, который устанавливал соединение с удаленным сервером WebSocket, облегчая обмен данными с помощью сообщений JSON в кодировке Base64. Инфраструктура просуществовала недолго и функционировала всего около 24 часов, что свидетельствует о высокой степени оперативной безопасности и тщательном планировании злоумышленниками.

Анализ инфраструктуры показал, что домен управления был подключен к VPS-серверу в России, с немедленными признаками отключения после атаки. Злоумышленники, начавшие свои операции еще в марте 2025 года, продемонстрировали тщательную проработку своего планирования: вредоносные скрипты были протестированы на VirusTotal до фактической отправки электронных писем с фишингом. Также был выявлен поворот к мобильным атакам с использованием поддельных приложений, нацеленных на устройства Android для сбора данных, что указывает на более широкую стратегию кампании.