#ParsedReport #CompletenessMedium
23-10-2025

The Rise of Collaborative Tactics Among China-aligned Cyber Espionage Campaigns

https://www.trendmicro.com/en_us/research/25/j/premier-pass-as-a-service.html

Report completeness: Medium

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)
Earth_naga (motivation: cyber_espionage)
Flax_typhoon
Gamaredon
Turla
Red_delta

Threats:
Trillclient
Crowdoor
Shadowpad
Cobalt_strike_tool
Sparrowdoor
Draculoader
Hemigate
Dll_sideloading_technique
Logserver
Supply_chain_technique
Pteroodd
Pteropaste
Kazuar

Industry:
Government, Retail, Telco, Military

Geo:
Latin america, Taiwan, South africa, China, Apac, Asia-pacific, Asian, Asia, America, Russia, Middle east

CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

IOCs:
Domain: 2
IP: 2
Path: 2
File: 6

Soft:
Windows registry, Ivanti, ORB networks, VSCode

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ показывает стратегии сотрудничества между APT-группировками, ориентированными на Китай, в частности, Earth Estries и Earth Naga, использующими модель под названием "Premier Pass-as-a-Service", где одна группа выступает в качестве посредника доступа для другой. Earth Estries нацелена на критически важные секторы, такие как телекоммуникации и правительственные учреждения, особенно в регионах APAC и НАТО, используя распространяемое вредоносное ПО, такое как TrillClient. Сотрудничество усложняет обнаружение, поскольку множество акторов скрывают свои личности, предоставляя общий доступ к скомпрометированным организациям, что указывает на значительную эволюцию тактики кибершпионажа.
-----

Недавний анализ высвечивает появление стратегий сотрудничества среди связанных с Китаем групп APT (Сложная целенаправленная угроза), в частности, при изучении взаимодействия между Earth Estries и Earth Naga. Это сотрудничество воплощено в развивающейся модели, называемой "Premier Pass-as-a-Service", где одна группа выступает в качестве посредника доступа, облегчая дальнейшую эксплуатацию для другой. Такая тактика усложняет обнаружение и атрибуцию, поскольку множество злоумышленников имеют общий доступ к целевым организациям, тем самым скрывая свою индивидуальность и деятельность.

Earth estries была сосредоточена на важнейших секторах, особенно в сфере телекоммуникаций и государственных учреждений, в различных регионах, включая США, Азиатско-Тихоокеанском регионе, на Ближнем Востоке, и, в более недавнее время, Южная Америка и Южная Африка. В частности, их операции выводится шаблон ориентации в розницу и государственных организаций в Азиатско-Тихоокеанском регионе. Факты свидетельствуют, что Earth estries функционирует в качестве посредника доступа, с общим поведением доступ наблюдается в атаки связаны с обеспечением вредоносное ПО определены как TrillClient.

В ходе совместной операции с участием как Earth Estries, так и Earth Naga, недавние действия выявили попытки скомпрометировать по крайней мере двух крупных телекоммуникационных провайдеров в период с конца апреля по июль этого года, сосредоточив внимание на организациях в странах Азиатско-Тихоокеанского региона и странах - членах НАТО. Набор инструментов для борьбы с вредоносным ПО, использованный в этих инцидентах, еще раз иллюстрирует взаимосвязь этих групп и их операционных структур.

В исследовании подчеркивается необходимость пересмотра аналитического подхода для лучшего понимания современного сотрудничества APT. Традиционная модель Diamond, которая рассматривает противника, инфраструктуру, возможности и жертву в качестве ключевых аспектов киберугрозы, может не учитывать нюансы, привносимые дублирующимися тактиками, техниками и процедурами (TTP) сотрудничающих злоумышленников. Предлагаемая модель предусматривает детальное изучение конкретных ролей каждого актора в рамках операционной динамики, способствуя более глубокому пониманию взаимоотношений и взаимодействий между этими изощренными киберпреступниками.

В результате исторического анализа, хотя Earth Estries и Earth Naga продемонстрировали разные методы работы, обнаружение совпадений инструментов предполагает наличие общего цифрового ресурса, а не прямое сотрудничество. Эта новая тенденция в общих ресурсов и тактика помещенный в "Премьер-пасс-а-а-сервис" модель представляет собой значительные изменения в ландшафте кибершпионаж, ставят новые задачи для кибербезопасность кибербезопасность занимается обнаружения угроз и усилий, атрибуция.

#ParsedReport #CompletenessLow
23-10-2025

The Smishing Deluge: China-Based Campaign Flooding Global Text Messages

https://unit42.paloaltonetworks.com/global-smishing-campaign/

Report completeness: Low

Actors/Campaigns:
Smishing_triad

Threats:
Smishing_technique
Supply_chain_technique
Typosquatting_technique

Victims:
Banking, Mail and delivery services, Toll services, Law enforcement agencies, Government agencies, Police forces, Investment banks, Savings banks, Ecommerce platforms, Online payment platforms, have more...

Industry:
Transport, E-commerce, Financial, Software_development, Healthcare, Entertainment, Government

Geo:
Germany, United arab emirates, Philippines, Poland, France, China, Russia, Middle east, Israel, Canada, Chinese, Malaysia, Arab emirates, Mexico, Hong kong, Ireland, Singapore, Lithuania, Australia, Argentina

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1204.001, T1566.002, T1583.001, T1583.002, T1583.004, T1583.006, T1589.001, T1589.002, T1654, have more...

IOCs:
Domain: 36

Soft:
Telegram, iMessage

Functions:
ReadME

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Текущая кампания Smishing Triad's иллюстрирует сложную эволюцию угроз фишинга с помощью SMS, включая мошеннические уведомления о нарушениях правил взимания платы и проблемах с пакетами, выдавая себя за ключевые сервисы. При значительной подпольной экосистеме фишинга как услуги 68,06% доменов, связанных с этой кампанией, зарегистрированы через Dominet (HK) Limited, а большинство полных доменных имен управляются AliDNS и Cloudflare. Кампания нацелена на различные секторы по всему миру, с акцентом на Имперсонацию почтовой службы США, способствующую краже конфиденциальной личной информации с помощью агрессивной регистрации доменов и разнообразных тактик Имперсонации.
-----

Продолжающаяся кампания smishing, относящаяся к Smishing Triad, представляет собой значительную эволюцию угроз фишинга с помощью текстовых сообщений. Эта кампания включает в себя мошеннические уведомления о нарушениях правил взимания платы за проезд и неправильной доставке посылок, выдавая себя за широкий спектр критически важных услуг в различных секторах, тем самым расширяя свой охват по всему миру. Кампания демонстрирует сложную инфраструктуру, поддерживаемую значительной подпольной экосистемой фишинга как услуги (PhaaS), которую можно наблюдать через Telegram-канал, который превратился из рынка наборов для фишинга в активный центр для различных злоумышленников.

Регистрация доменов, используемых в рамках этой кампании, является высококонцентрированной: ошеломляющие 68,06% (93 197) доменов принадлежат компании Dominet (HK) Limited, регистратору, базирующемуся в Гонконге. Другими крупными регистраторами являются Namesilo (11,85%) и Gname (7,94%). Это распределение дополняется оптимизированной инфраструктурой DNS, в которой более 80% полных доменных имен (FQDNs) управляются всего двумя поставщиками: AliDNS и Cloudflare.

Определение целей кампании показывает, что Почтовая служба США является наиболее обезличенной организацией, насчитывающей 28 045 полных доменных имен. В общей сложности более широкая категория платных сервисов содержит почти 90 000 выделенных доменов для фишинга. Географический охват кампании показывает домены, размещенные на IP-адресах, расположенных в нескольких странах, что указывает на согласованные усилия по нацеливанию на отдельных лиц в различных регионах, особенно в США. Сообщения часто маскируются под сообщения как коммерческих организаций, так и правительственных учреждений, что подчеркивает обширную тактику кампании по Имперсонации.

Сфера действия Имперсонации включает в себя критически важные сервисы в нескольких странах: банковские и почтовые службы США, немецкие инвестиционные банки и различные правительственные учреждения в Великобритании и ОАЭ, среди прочих. Также на видном месте находятся общие сервисы, в том числе приложения для объединения автомобилей и онлайн-платформы, в то время как тактика typosquatting способствует Имперсонации популярных приложений и платформ электронной коммерции. Тактика кампании распространяется на криптовалютные биржи и включает попытки фишинга, имитирующие страницы входа в систему и проверки личности известных фирм по производству бытовой электроники и финансовых услуг.

Особую тревогу вызывают попытки выдать себя за государственные службы, такие как Налоговое управление США и государственные транспортные департаменты, что свидетельствует о прямой угрозе конфиденциальной личной информации. Полученные данные указывают на то, что эта кампания по smishing не только широко распространена, но и в высшей степени децентрализована: злоумышленники быстро регистрируются и ежедневно просматривают тысячи доменов. Этот агрессивный и динамичный подход подчеркивает сложность и риск, связанные с Smishing Triad, подчеркивая необходимость повышенной осведомленности и упреждающих стратегий защиты от таких угроз фишинга.

#ParsedReport #CompletenessMedium
23-10-2025

ToolShell Used to Compromise Telecoms Company in Middle East

https://www.security.com/threat-intelligence/toolshell-china-zingdoor

Report completeness: Medium

Actors/Campaigns:
Ghostemperor
Unc5221
Emissary_panda (motivation: cyber_espionage)
Apt31 (motivation: cyber_espionage)
Storm-2603
Winnti
Axiom
Volt_typhoon

Threats:
Toolshell_vuln
Zingdoor
Krustyloader
X2anylock
Shadowpad
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Sliver_c2_tool
Lolbin_technique
Revsocks_tool
Procdump_tool
Minidump_tool
Powersploit_tool
Lsass_dumper_tool
Petitpotam_vuln

Victims:
Telecommunications, Government agencies

Industry:
Education, Telco, Government, Financial

Geo:
America, Chinese, American, Middle east, African, China, Africa

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-36942 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49704 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53771 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1505.003

IOCs:
File: 4
Hash: 16
Url: 2

Soft:
Adobe ColdFusion, Sysinternals, Local Security Authority, Windows LSA

Algorithms:
sha256

Languages:
rust

Platforms:
cross-platform

Links:
https://github.com/chainreactors/gogo
have more...
https://github.com/BishopFox/sliver

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Базирующиеся в Китае злоумышленники воспользовались уязвимостью ToolShell (CVE-2025-53770) вскоре после ее раскрытия в июле 2025 года, скомпрометировав телекоммуникационную компанию. Эта критическая уязвимость на локальных серверах SharePoint позволяет выполнять удаленный код без проверки подлинности, который злоумышленники использовали для получения доступа к содержимому сервера и файловым системам. Инцидент свидетельствует о быстром использовании уязвимостей в телекоммуникационном секторе более широким кругом злоумышленников, чем предполагалось ранее.
-----

Базирующиеся в Китае злоумышленники воспользовались уязвимостью ToolShell (CVE-2025-53770) для компрометации телекоммуникационной компании на Ближнем Востоке вскоре после ее публичного раскрытия и последующего исправления в июле 2025 года. ToolShell - это критическая уязвимость, затрагивающая локальные серверы SharePoint, которая допускает несанкционированный доступ, позволяя злоумышленникам удаленно выполнять код и получать доступ к содержимому сервера и файловым системам. Эта уязвимость, которая функционировала как эксплойт zero-day, последовала за связанной уязвимостью (CVE-2025-49704), которая также была исправлена в то же время. Кроме того, другая связанная с этим уязвимость (CVE-2025-53771), ошибка обхода пути, допускающая подмену сети авторизованными злоумышленниками, была устранена вместе с ToolShell, и она также была основана на более старой уязвимости (CVE-2025-49706), которая была устранена ранее.

Последовательность событий указывает на то, что вредоносные действия начались в телекоммуникационной компании 21 июля 2025 года, всего через два дня после установки исправления, поскольку злоумышленники развернули вероятную веб-оболочку. Этот инцидент подчеркивает серьезность уязвимости ToolShell, показывая, что она была нацелена не только на конкретные группы, но и на более широкий круг китайских злоумышленников, чем первоначально предполагалось. Своевременное использование таких уязвимостей подчеркивает риски, с которыми сталкиваются организации, особенно в таких секторах, как телекоммуникации, где системы безопасности могут быть уязвимы перед быстро развивающимися киберугрозами. Кроме того, это сигнализирует о необходимости повышенной бдительности и оперативного внедрения исправлений безопасности для предотвращения использования аналогичных уязвимостей в будущем.

#ParsedReport #CompletenessLow
23-10-2025

Bitter (APT-Q-37) uses diverse means to deliver new backdoor components

https://ti.qianxin.com/blog/articles/bitter-uses-diverse-means-to-deliver-new-backdoor-components-en/

Report completeness: Low

Actors/Campaigns:
Bitter

Victims:
Government, Electric power, Military

Industry:
Government, Energy, Military

Geo:
China, Asia, Asian, Pakistan

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.005, T1105, T1127, T1140, T1204.002, T1566.001, T1574.002, T1583.001, have more...

IOCs:
File: 7
Url: 6
Hash: 5

Soft:
NET framework

Algorithms:
zip, md5, base64, aes

Win API:
decompress

Win Services:
bits

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Биттер, также известный как APT-Q-37, является южноазиатским злоумышленником, нацеленным в первую очередь на правительственный, военный и электроэнергетический секторы Китая и Пакистана с целью получения конфиденциальных данных. Недавние результаты показывают, что они использовали бэкдор на C#, предоставляемый различными методами, включая макросы Excel и уязвимость WinRAR для обхода пути в версии 7.11. Бэкдор "cayote.log" использует шифрование AES и взаимодействует с недавно зарегистрированным сервером командования и контроля, что указывает на постоянные инновации и планирование в их методах атаки.
-----

Bitter, также известная как APT-Q-37, является хакерской группировкой, предположительно имеющей южноазиатское происхождение, в первую очередь нацеленной на правительственный, военный секторы и электроэнергетику в Китае, Пакистане и других странах. Их цель заключается в сборе конфиденциальных данных. Недавно Центр анализа угроз Qi'anxin обнаружил образцы атак, связанных с Bitter, которые используют различные методы для развертывания бэкдора на C#, способного получать произвольные исполняемые файлы с удаленного сервера.

Анализ этих образцов выявляет несколько способов доставки, включая макрос Excel, встроенный во вредоносный файл .xlam. Этот макрос декодирует исходный код бэкдора на C# и компилирует его в DLL-файл с использованием .NET Framework `csc.exe `, впоследствии устанавливая его через `InstallUtil.exe `. Кроме того, злоумышленники воспользовались уязвимостью в WinRAR, первоначально считавшейся связанной с CVE-2025-8088, но дальнейшее тестирование показало, что они использовали еще более старую уязвимость, которая позволяет обходить путь при использовании WinRAR версии 7.11, в то время как вредоносный архив RAR завершается сбоем в версии 7.12.

Бэкдор, идентифицированный как "cayote.log", содержит комментарии к функциям и использует шифрование AES для расшифровки строк. Исследование показывает, что командно-контрольная связь (C&C) бэкдора связана с поддоменом esanojinjasvc.com , который был зарегистрирован с апреля 2023 года, что указывает на согласованность методов развертывания и инфраструктуры, используемых этой хакерской группировкой.

Анализ подчеркивает инновационность Биттера в стратегиях атак, использующего новые приемы наряду с традиционными методами. Используя ресурсы устройства жертвы для компиляции бэкдора, злоумышленники стремятся избежать обнаружения с помощью статического анализа хэша. В целом, эта тактика предполагает тщательное планирование и сбор разведданных злоумышленниками для понимания оперативной обстановки своих целей, что указывает на то, что образцы могут служить как в качестве ознакомительных тестов для новых методологий, так и в качестве реальных инструментов для дальнейшего использования. Развертывание бэкдора C# создает плацдарм для выполнения дополнительных атак, подчеркивая постоянный и эволюционирующий характер угроз, исходящих от этой группы.

#ParsedReport #CompletenessLow
23-10-2025

SessionReaper (CVE-2025-54236): Critical Adobe Commerce Vulnerability Actively Exploited

https://socradar.io/sessionreaper-cve-2025-54236-adobe-commerce-exploit/

Report completeness: Low

Threats:
Cosmicsting_vuln
Trojanorder_vuln

Victims:
Online stores, Ecommerce sites using adobe commerce, Magento open source users

CVEs:
CVE-2025-54236 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1082, T1190, T1505.003

IOCs:
IP: 5

Functions:
phpinfo

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критическая уязвимость SessionReaper (CVE-2025-54236) в Adobe Commerce и Magento с открытым исходным кодом с рейтингом CVSS 9.1 позволяет активно использовать ее путем неправильной проверки ввода в модуле сериализуемых пользовательских атрибутов. Злоумышленники внедряют PHP Веб-шеллы и проводят проверки phpinfo, чтобы воспользоваться этим недостатком, причем охранная фирма Sansec зафиксировала более 250 попыток за один день. Несмотря на наличие исправления, примерно 62% магазинов Magento остаются непатченными, что указывает на значительный риск эксплуатации.
-----

Критическая уязвимость, известная как SessionReaper (CVE-2025-54236), появилась в Adobe Commerce и Magento с открытым исходным кодом, и сообщалось об активном использовании в дикой природе. Эта уязвимость, получившая оценку CVSS 9.1, связана с неправильной проверкой входных данных в модуле сериализуемых пользовательских атрибутов, что оказывает воздействие на версии с 0.1.0 по 0.3.0, которые нуждаются в обновлении до версии 0.4.0 или выше.

Недавние отчеты указывают на то, что злоумышленники использовали этот недостаток для развертывания PHP Веб-шеллов и выполнения тестов phpinfo, которые помогают оценить системные конфигурации и определить потенциальные пути использования. В течение одного дня охранная фирма Sansec зафиксировала более 250 попыток эксплуатации, что подчеркивает срочность и масштаб угрозы. Аналитики предполагают, что SessionReaper представляет значительные риски, аналогичные другим печально известным уязвимостям Magento, таким как CosmicSting и Shoplift.

Несмотря на наличие исправления, темпы внедрения были низкими. Примерно 62% магазинов Magento остаются непатченными почти шесть недель после выпуска исправления, что делает уязвимым значительное число интернет-магазинов. Первоначальные ответы показали, что только около трети магазинов внедрили исправление вскоре после его выпуска.

Для обнаружения угроз администраторы должны отслеживать необычную активность, включая неожиданные файлы PHP, странные ответы от phpinfo(), всплески запросов POST к конечным точкам REST API и новые пользовательские сеансы, созданные без каких-либо действий. Кроме того, IP-адреса, связанные с атакуемым трафиком, могут быть временно заблокированы в качестве дополнительной меры предосторожности.

#ParsedReport #CompletenessHigh
23-10-2025

Vault Viper: High Stakes, Hidden Threats

https://blogs.infoblox.com/threat-intelligence/vault-viper-high-stakes-hidden-threats/

Report completeness: High

Actors/Campaigns:
Vault_viper (motivation: information_theft, financially_motivated, cyber_criminal)
Pig_butchering

Threats:
Vigorish_viper
Supply_chain_technique
Domain_fronting_technique
Ramnit
Alman
Bankreptile_tool
Cloaking_technique

Victims:
Online gambling users, Financial sector, Casinos, Technology sector, Telecommunications infrastructure users

Industry:
Entertainment, Foodtech, Financial, Aerospace, Government, Game_industry

Geo:
Philippines, America, Taiwan, China, Malaysia, Macau, Hong kong, Myanmar, Malta, Asia, Latin america, Asia-pacific, United kingdom, Korea, Dprk, Cambodia, Asian, Chinese, Philippine, Samoa, Australia, Pacific, Vietnam, Belize

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1055, T1056.001, T1059.007, T1071.001, T1090, T1105, have more...

IOCs:
Domain: 40
File: 9
IP: 10
Email: 2
Hash: 1
Url: 2

Soft:
Telegram, Android, Chromium, Chrome, Google Chrome, Instagram, Windows installer

Algorithms:
sha256, 7zip, zip

Functions:
QT

Languages:
javascript, visual_basic

Platforms:
apple, intel

Links:
https://github.com/infobloxopen/threat-intelligence

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 4, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Vault Viper, также известная как Baoying Group, занимается изощренной киберпреступной деятельностью, связанной с азартными играми онлайн, используя пользовательский браузер Universe Browser, предназначенный для обхода ограничений на азартные игры. Этот модифицированный вариант Chrome демонстрирует поведение, подобное вредоносному ПО, такое как мониторинг буфера обмена и внедрение кода со скрытым исполняемым файлом "UB-Launcher.exe " это обходит антивирусные меры, изменяя при этом законные установки. Кроме того, группа использует различные сферы командования и контроля для содействия деятельности, что указывает на связи с организованной преступностью и более широкую сеть, включающую незаконные финансовые операции.
-----

Vault Viper, также известная как Baoying Group, является частью сложной экосистемы киберпреступности, возникающей в Юго-Восточной Азии, которая использует платформы онлайн-гемблинга для крупномасштабной незаконной деятельности, такой как мошенничество и торговля людьми. Примечательно, что эта сеть управляет несколькими веб-сайтами онлайн-гемблинга, использующими веб-шаблон, связанный с общим поставщиком программного обеспечения для азартных игр, что подчеркивает ее скоординированные усилия.

Технический анализ подчеркивает разработку Vault Viper браузера Universe, предназначенного для обхода ограничений на доступ к онлайн-азартным играм, особенно ориентированного на рынки, где такая деятельность запрещена, такие как Китай. Браузер представляет собой модифицированную версию Chrome, способную выполнять двоичные файлы и использовать поведение, подобное вредоносному ПО, включая мониторинг буфера обмена и внедрение кода. Вариант Windows, идентифицированный как "UB-Launcher.exe " демонстрирует значительную скрытность, уклоняясь от обнаружения антивирусом и изменяя законные установки Chrome в браузере Universe. Этот вариант устанавливает множество компонентов, включая библиотеки динамических ссылок (DLL) и расширения для браузера, которые облегчают его работу.

Ключевые функции браузера Universe включают мониторинг активности пользователей и контролируемые прокси-соединения со специализированным расширением, предназначенным для обнаружения подключений к доменам азартных игр Vault Viper's. Это расширение может изменять свое поведение в зависимости от активности пользователя, возможно, служа как инструментом наблюдения, так и средством управления сетевым трафиком через точки выхода, знакомые злоумышленнику. Недавний анализ инфраструктуры показывает, что Vault Viper использует множество доменов, размещенных как в частных, так и в общедоступных облаках, для командно-контрольных операций, что еще больше затрудняет его работу.

С точки зрения эксплуатационной безопасности, большая следственная работа связана различные IP-адреса, данные WHOIS, и другие идентификаторы, чтобы разгадать связей между Vault Viper и синдикаты организованной преступности, в том числе отношения к ООО Группа во главе с Элвином Чау. Кроме того, группа была связана в прошлом лица, как vigorish Viper, что указывает на более широкие синдиката используя современные методы злоумышленников.

Кроме того, уникальная инфраструктура Vault Viper включает в себя давно существующие домены управления, такие как ac101.net , который имеет историю распространения различных вредоносных полезных нагрузок. Также были получены данные, связанные с незаконными банковскими проектами по созданию вредоносного ПО, что позволяет предположить диверсификацию преступных возможностей группы в области финансового мошенничества.