#ParsedReport #CompletenessHigh
09-11-2025

State-Sponsored Remote Wipe Tactics Targeting Android Devices

https://www.genians.co.kr/en/blog/threat_intelligence/android

Report completeness: High

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Spear-phishing_technique
Lilith_rat
Endrat
Remcos_rat
Quasar_rat
Rftrat
Xrat_rat

Victims:
Psychological counseling, Human rights advocacy, Government impersonation victims, Individual users via kakaotalk

Geo:
Korean, North korean, Netherlands, Russia, North korea, China, Japan, Korea, Germany

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.005, T1059.003, T1059.007, T1204.002, T1218.007, T1566.001

IOCs:
File: 15
Command: 1
Path: 8
IP: 12
Domain: 8
Hash: 14

Soft:
Android, KakaoTalk, Gmail, Task Scheduler, WordPress

Algorithms:
aes, hmac, md5

Win API:
IoKlTr, CreateProcess

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, windows: 5, table: 2, dump: 4, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания KONNI APT, связанная с северокорейскими акторами Kimsuky или APT37, использует новую тактику, нацеленную на устройства Android с помощью удаленной атаки wipe с помощью функции Google Find Hub. Первоначальный доступ получают с помощью Целевого фишинга, выдавая себя за доверенные организации, для распространения вредоносного ПО, замаскированного под программы для снятия стресса, через KakaoTalk. В кампании используется установочный пакет Microsoft под названием "Stress Clear.msi" и сценарий автоматической загрузки для закрепления, а также RemcosRAT и другие трояны, усиливающие ее сложную стратегию атаки.
-----

Кампания KONNI APT, связанная с северокорейскими злоумышленниками Kimsuky или APT37, появилась с новой тактикой, нацеленной на устройства Android с помощью удаленной атаки Android wipe, использующей функцию отслеживания активов Google Find Hub. Эта атака последовала за продолжавшейся год тайной операцией, в ходе которой злоумышленники выдавали себя за консультантов-психологов и северокорейских правозащитников для распространения вредоносного ПО, замаскированного под программы для снятия стресса, через платформу обмена сообщениями KakaoTalk.

Первоначальный доступ к целевым устройствам был получен с помощью Целевого фишинга, который подделывал доверенные организации, такие как Национальная налоговая служба. Среди жертв были профессиональные консультанты-психологи, работающие с северокорейскими перебежчиками, что свидетельствует о сосредоточенности нападавших на конкретных лицах, которые, вероятно, имели доступ к конфиденциальной информации. После взлома злоумышленники использовали эти устройства в качестве ретрансляторов для распространения дальнейших Вредоносных файлов, эффективно превращая жертв первого этапа в компоненты своей инфраструктуры.

Вредоносное ПО, используемое в этой кампании, структурировано вокруг пакета установщика Microsoft (MSI) под названием "Stress Clear.msi", доставляемого с помощью вредоносных сообщений KakaoTalk. Критическую роль в этой кампании играет сценарий автоматического запуска "IoKlTr.au3", периодически выполняемый планировщиком задач для поддержания постоянной вредоносной активности. Этот скрипт используется в сочетании с RemcosRAT и различными другими троянскими модулями удаленного доступа (RAT), обнаруженными на устройствах жертв, намекая на сложную стратегию создания оружия с использованием сценариев AutoIt.

Цифровой криминалистический анализ скомпрометированных систем выявил комплексную методологию атаки. Этот анализ подтвердил, что после выполнения вредоносного MSI-файла определенные пакетные файлы могут вызывать последующие команды для дальнейшей компрометации системы. Кроме того, недавние проверки логов учетных записей Gmail жертв позволили злоумышленникам получить информацию о последних сеансах входа в систему.

Кампания подчеркивает необходимость усиления мер по кибербезопасности, в частности методов обнаружения, основанных на поведении, и эффективного мониторинга, связанного с индикаторами компрометации (IOCs). Учитывая сложность атак и выявление дублирующих друг друга вредоносных ПО и тактик на устройствах жертв, существует значительная корреляция, свидетельствующая о едином подходе KONNI campaign к реализации этих сложных целенаправленных угроз.

#ParsedReport #CompletenessLow
06-11-2025

9 Malicious NuGet Packages Deliver Time-Delayed Destructive Payloads

https://socket.dev/blog/9-malicious-nuget-packages-deliver-time-delayed-destructive-payloads

Report completeness: Low

Threats:
Typosquatting_technique
Sharp7extend
Supply_chain_technique

Victims:
Software developers, Industrial control systems, Ecommerce, Healthcare, Financial services, Manufacturing

Industry:
E-commerce, Healthcare

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 4

IOCs:
File: 14

Soft:
NuGet, PostgreSQL, Unix, OpenSSL

Functions:
QueryPage, GetMyDateTime, WriteDBSingleByte, WriteDBSingleInt, WriteDBSingleDInt, BeginTran

Win API:
GetCurrentProcess

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее исследование выявило девять вредоносных пакетов NuGet, использующих typosquatting для доставки деструктивной полезной нагрузки, включая триггеры с задержкой по времени для сбоя приложений и повреждения промышленных систем управления. Эти пакеты используют методы расширения C#, интегрируя вредоносную логику в операции с базами данных и ПЛК, с поэтапными датами активации, чтобы максимально увеличить количество жертв, прежде чем вызвать сбои. Использование злоумышленником различных псевдонимов авторов подчеркивает стратегические усилия по уклонению от обнаружения в Цепочке поставок программного обеспечения, согласующиеся с методикой MITRE ATT&CK T1195.002.
-----

Недавнее исследование Socket выявило девять вредоносных пакетов NuGet, предназначенных для доставки деструктивных полезных нагрузок с задержками по времени, направленных на сбой приложений и повреждение промышленных систем управления. Эти пакеты были частью более широкой схемы, включавшей в общей сложности двенадцать пакетов, из которых девять были вредоносными, а три - законными, чтобы повысить доверие к злоумышленнику. Такая тактика typosquatting и сопряжения вредоносных пакетов с законными снижает подозрительность среди разработчиков, которые могут найти автора.

Вредоносные пакеты используют методы расширения C#, которые позволяют добавлять новые методы к существующим типам без изменения исходного кода. Этот метод используется злоумышленником для внедрения вредоносной логики в базу данных и операции программируемого логического контроллера (ПЛК). Добавленные конкретные методы включают метод расширения .Exec() для типов команд базы данных и метод .BeginTran() для объектов S7Client, облегчающий перехват операций с базой данных.

Примечательно, что пакеты используют механизм временной задержки активации; например, запуск одной реализации SQL Server запланирован на 8 августа 2027 года, в то время как другие активируются 29 ноября 2028 года. Напротив, пакет Sharp7Extend разработан таким образом, чтобы активироваться сразу после установки и действовать до 6 июня 2028 года, что приводит к немедленному сбою в работе промышленных систем управления. Эта стратегия поэтапной активации позволяет актору собирать жертв в течение длительного периода времени, прежде чем будут задействованы более разрушительные элементы вредоносного ПО.

Sharp7Extend выделяется как особенно опасный из-за реализации двойных вредоносных механизмов, которые могут нарушить работу различных отраслей промышленности. Например, это может привести к значительным простоям сайтов электронной коммерции, критически важных систем здравоохранения, финансовых платформ и производственных операций, что приведет к серьезным сбоям в работе и нарушениям системы безопасности.

Метаданные этих пакетов отражают стратегическое несоответствие в именах авторов вредоносных предложений, опубликованных под псевдонимом shanhai666. Эта тактика помогает злоумышленнику избежать обнаружения, создавая ложное впечатление, что пакеты исходят от разных разработчиков, что усложняет идентификацию нескольких подозрительных пакетов от одного автора.

Кампании соответствуют методике MITRE ATT&CK T1195.002, которая фокусируется на компромиссах в Цепочке поставок программного обеспечения, иллюстрируя сложный подход к проникновению и нарушению работы целевой среды.

#ParsedReport #CompletenessHigh
07-11-2025

Lazarus Group targets Aerospace and Defense with new Comebacker variant

https://www.enki.co.kr/en/media-center/blog/lazarus-group-targets-aerospace-and-defense-with-new-comebacker-variant

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)

Threats:
Comebacker
Typosquatting_technique
Spear-phishing_technique

Victims:
Aerospace sector, Defense sector

Industry:
Aerospace

Geo:
Indian, North korea, Dprk

TTPs:
Tactics: 7
Technics: 18

IOCs:
Domain: 3
File: 7
Hash: 9
Path: 4
Command: 2
Url: 2

Soft:
Microsoft Word, Visual Studio, Internet Explorer

Algorithms:
aes, sha256, base64, xor, hc-256, rc4, md5, chacha20, aes-128-cbc

Functions:
GetWindowSizedW, GetSysStartTime

Languages:
powershell, python, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus нацелена на аэрокосмический и оборонный секторы с помощью нового варианта вредоносного ПО под названием Comebacker, распространяемого через вредоносные документы Word, предназначенные для манипулирования жертвами. Это вредоносное ПО работает как загрузчик и бэкдор, используя многоэтапное выполнение, которое начинается при включении макросов. Связь с серверами командования и контроля шифруется с помощью AES-128-CBC, что демонстрирует эволюцию их тактики безопасного обмена данными и подтверждает изощренность их шпионских усилий.
-----

Группа Lazarus в настоящее время проводит целенаправленную шпионскую кампанию против аэрокосмического и оборонного секторов, используя новый вариант вредоносного ПО, известный как Comebacker. Первоначальные признаки этой кампании появились после публичных сообщений о вредоносном домене, связанном с группой. Анализ показывает, что вредоносное ПО обычно доставляется с помощью документов Word, оригинально оформленных в тематике авторитетных аэрокосмических и оборонных организаций, с целью психологического манипулирования целями.

Вредоносное ПО Comebacker функционирует как загрузчик и бэкдор, предназначенный для извлечения и выполнения полезной нагрузки DLL с серверов командования и контроля (C&C). В последнем варианте цепочка заражения инициируется, когда жертвы открывают вредоносный файл .docx и включают макросы. Встроенный код VBA в этих файлах запускает многоэтапный процесс выполнения, что в конечном итоге приводит к доставке полезной нагрузки Comebacker. Этот процесс включает загрузчик первого этапа и загрузчик второго этапа, который выполняется из памяти, что указывает на сложный механизм поддержания скрытности и эффективности.

Связь между вредоносным ПО и его C&C-серверами шифруется с использованием AES-128-CBC, при этом к исходящим данным применяется дополнительная кодировка Base64. Первоначальный маяк вредоносного ПО включает закодированные данные, встроенные в строку запроса URL. Кроме того, чтобы обеспечить целостность своих операций, вредоносное ПО сравнивает хэш MD5 загруженных полезных файлов с заранее определенными хэшами, чтобы проверить их подлинность. Этот критический шаг предотвращает выполнение поврежденных или подделанных файлов.

Анализ показателей выявил расширение инфраструктуры C&C, выявив дополнительный домен, связанный с злоумышленниками. Примечательно, что предыдущие варианты Comebacker обменивались данными с серверами C&C открытым текстом, в отличие от зашифрованных сообщений этого нового варианта, которые демонстрируют усовершенствованный подход злоумышленника к безопасному обмену данными.

Подводя итог, можно сказать, что активное использование бэкдора Comebacker группой Lazarus против аэрокосмического и оборонного секторов подчеркивает меняющийся ландшафт угроз с усовершенствованной тактикой, отражающей давний акцент группы на кибершпионаже. Это событие подчеркивает необходимость постоянной бдительности и передовых мер безопасности в целевых секторах, поскольку используемое вредоносное ПО и методы демонстрируют высокую степень изощренности и адаптивности.

#ParsedReport #CompletenessMedium
10-11-2025

No Place Like Localhost: Unauthenticated Remote Access via Triofox Vulnerability CVE-2025-12480

https://cloud.google.com/blog/topics/threat-intelligence/triofox-vulnerability-cve-2025-12480/

Report completeness: Medium

Actors/Campaigns:
Unc6485

Threats:
Plink_tool
Zoho_assist_tool
Anydesk_tool
Putty_tool

Victims:
Triofox customers, Software platform users

CVEs:
CVE-2025-12480 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1036, T1059.001, T1059.003, T1078.003, T1087.001, T1087.002, T1090.001, T1105, T1135, have more...

IOCs:
Path: 9
IP: 4
File: 15
Command: 2
Url: 1
Hash: 4

Soft:
Triofox, MySQL, ASP.NET, telnet client

Algorithms:
zip, sha256

Functions:
CanRunCrticalPage, CanRunCriticalPage

Languages:
powershell

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 6, chats: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mandiant Threat Defense обнаружила использование CVE-2025-12480 на платформе Triofox от Gladinet, позволяющее осуществлять несанкционированный удаленный доступ и выполнять произвольные полезные нагрузки из-за ошибки на странице AdminAccount.aspx. Злоумышленники использовали PLINK для туннелирования RDP и использовали различные скрипты для выполнения вредоносных команд PowerShell, используя переименованные исполняемые файлы для уклонения от обнаружения. Атака включала в себя создание обратных туннелей SSH и сбор системной разведки, что выявило сложную природу методов злоумышленника.
-----

Компания Mandiant Threat Defense выявила использование уязвимости, обозначенной как CVE-2025-12480, в платформе обмена файлами и удаленного доступа Triofox от Gladinet, позволяющей осуществлять несанкционированный удаленный доступ. Эта уязвимость представляла собой уязвимость доступа без проверки подлинности, которая позволяла злоумышленникам обходить механизмы аутентификации и получать доступ к страницам конфигурации приложения. Следовательно, это позволяло загружать и выполнять произвольную полезную нагрузку на сервер.

Первоначальное обнаружение атаки произошло с помощью предупреждений, указывающих на подозрительную активность на сервере Triofox, выявляющую использование ПО для удаленного доступа, в частности PLINK для туннелирования RDP, и связанную с этим файловую активность в промежуточных каталогах, включая загрузку файлов на C:\WINDOWS\Temp . Сама уязвимость связана со страницей AdminAccount.aspx, которая автоматически отображается при первоначальной установке и настройке программного обеспечения Triofox. На этой странице представлены различные функции настройки, такие как настройка базы данных и создание учетных записей администратора.

Во время эксплуатации злоумышленник использовал возможности антивирусной функции, встроенной в Triofox, для запуска Вредоносных файлов. Это было достигнуто после создания учетной записи администратора, что позволило злоумышленнику указать произвольный путь к антивирусному компоненту. Важно отметить, что код, выполненный таким образом, выполнялся в контексте системной учетной записи, таким образом наследуя ее высокие привилегии.

Далее злоумышленник развернул скрипты, включая centre_report.bat, для загрузки и выполнения дополнительных полезных нагрузок с помощью команд PowerShell. Кроме того, были замечены усилия по разведке, в ходе которых злоумышленник использовал Zoho Assist для сбора информации об активных сеансах SMB и учетных записях пользователей как локальных, так и доменных в скомпрометированной системе.

Методы обхода защиты включали использование переименованных исполняемых файлов, таких как sihosts.exe (экземпляр PLINK) и silcon.exe (переименованный в PuTTY), которые сыграли важную роль в создании обратных SSH-туннелей. Сетевая активность, связанная с атакой, была прослежена до нескольких IP-адресов, связанных с различными хостинг-провайдерами, что указывает на инфраструктуру, используемую злоумышленником для запуска и поддержания доступа к скомпрометированному экземпляру Triofox.

Чтобы снизить риски, пользователям рекомендуется обновиться до исправленной версии Triofox 16.7.10368.56560, провести аудит существующих учетных записей администраторов и убедиться, что антивирусная функция не настроена на выполнение несанкционированных сценариев. Кроме того, команды безопасности должны активно отслеживать исходящий трафик SSH и выполнять поисковые запросы для обнаружения артефактов, связанных с этой методологией атаки.

#ParsedReport #CompletenessLow
10-11-2025

Threat Actors Using Paste-Jacking to Achieve Remote Code Execution

https://www.truesec.com/hub/blog/threat-actors-paste-jacking-remote-code-execution

Report completeness: Low

Actors/Campaigns:
Evil_corp

Threats:
Paste-jacking_technique
Clickfix_technique
Lumma_stealer
Raspberry_robin
Socgholish_loader

IOCs:
File: 1
Url: 2

Soft:
macOS

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году появилась технология фишинга, известная как paste-jacking, позволяющая злоумышленникам добиваться удаленного выполнения кода на компьютерах-жертвах путем обмана пользователей, заставляя их выполнять вредоносный код. Этот сдвиг подчеркивает, как киберпреступники используют взаимодействие с пользователями в качестве уязвимости в средствах защиты от кибербезопасности. Растущая распространенность paste-jacking подчеркивает необходимость повышения осведомленности пользователей и просвещения по поводу развивающихся стратегий фишинга.
-----

В 2025 году появился метод фишинга, известный как paste-jacking, который открывает перед злоумышленниками новые возможности для удаленного выполнения кода на компьютерах-жертвах. Этот метод манипулирует пользователями, заставляя их невольно выполнять вредоносный код, позволяя злоумышленникам выполнять команды в скомпрометированной системе. Рост paste-jacking указывает на изменение стратегий, используемых киберпреступниками, которые используют взаимодействие с пользователем как уязвимость в средствах защиты кибербезопасности.

Для устранения рисков, связанных с paste-jacking, организациям рекомендуется информировать своих пользователей об этом и других развивающихся методах фишинга. Поскольку внедрение paste-jacking становится все более распространенным среди злоумышленников, повышенная бдительность и осведомленность необходимы для смягчения последствий потенциальных атак. Одной из практических мер, рекомендуемых для снижения риска таких атак, является отключение команды "Выполнить" (Windows + R) с помощью групповой политики (GPO). Прежде чем внедрять эту контрмеру, организациям следует провести внутреннюю оценку, чтобы убедиться, что она согласуется с их операционными процессами и не нарушает функциональность.

Появление paste-jacking подчеркивает продолжающуюся эволюцию методов фишинга, что требует постоянного внимания к обучению пользователей и упреждающим мерам безопасности для предотвращения использования киберпреступниками.

#ParsedReport #CompletenessLow
06-11-2025

Close Those Ports: Exploring Splashtop RMM and Relays

https://blog.axelarator.net/close-those-ports-exploring-splashtop-rmm-and-relays/

Report completeness: Low

Actors/Campaigns:
Sandworm
Dragonforce
0ktapus

Threats:
Splashtop_tool
Winvnc_tool
Teamviewer_tool
Anydesk_tool
Medusa_ransomware
Simplehelp_tool
Tailscale_tool
Empire_loader

Victims:
Rmm users, Home users

ChatGPT TTPs:
do not use without manual check
T1219, T1583.003, T1589.003, T1595, T1596

IOCs:
File: 3

Soft:
Android, curl, Wireguard, Nginx, Docker, Linux

Algorithms:
zip

Languages:
python

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье определяются потенциальные уязвимости, связанные с возможностями Splashtop's Remote Monitoring and Management (RMM), в частности, с акцентом на общий целевой порт 6783 для запросов. Это подчеркивает наличие самозаверяющего SSL-сертификата ", - Splashtop Inc. Self CA" и отмечает, что злоумышленники могут использовать открытые каталоги для размещения вредоносного контента в безопасных в остальном пространствах. Анализ выявил 2610 активных хостов, использующих этот сертификат, и подчеркивает сложность сетевой безопасности, связанной с ПО для удаленного доступа.
-----

В статье обсуждается использование Splashtop, особое внимание уделяется его возможностям удаленного мониторинга и управления (RMM) и потенциальным уязвимостям, связанным с ними. Порт 6783 был определен в качестве общей цели для запросов, связанных с Splashtop, но усилия столкнулись с проблемами из-за высокого числа ложноположительных результатов, учитывая объем результатов. Важным аспектом анализа была проверка SSL-сертификатов, преимущественно "Splashtop Inc. Self CA", который представляет собой самозаверяющий сертификат, используемый Splashtop для своего программного обеспечения Streamer.

В результате анализа были отмечены "Подозрительные каталоги", которые относятся к открытым каталогам, в которых могут содержаться потенциально опасные файлы. Этот аспект запросов Splashtop предполагает, что злоумышленники могут использовать инструменты RMM для размещения вредоносного контента в явно безопасных местах. В статье подчеркивается необходимость обеспечения безопасности персональных устройств и подчеркивается важность мониторинга любых общедоступных сервисов в глобальной сети с использованием таких инструментов, как Censys или Shodan. Пользователям рекомендуется ознакомиться с любыми сервисами, размещенными на их IP-адресе, и рассмотреть варианты безопасного доступа, такие как WireGuard или обратные прокси-серверы.

Более того, результаты, касающиеся стримера Splashtop, указывают на значительное число активных хостов — 2610 на момент написания статьи, — которые используют определенный сертификат. Анализ также касался ретрансляционных служб Splashtop, указывая на то, что сертификаты как от мобильных, так и от обычных ретрансляторов данных имеют решающее значение при исследовании этой технологии в контексте безопасности, поскольку они могут вызывать ложные срабатывания из-за того, что другие несвязанные службы используют аналогичные соглашения об именовании.

Общий анализ показывает, что, хотя такие инструменты, как Splashtop, могут улучшить удаленный доступ и управление, они представляют собой заманчивую цель для злоумышленников. Осведомленность о безопасности и упреждающие меры имеют решающее значение для снижения рисков, связанных с такими услугами. Кроме того, выявление потенциально вредоносных действий, связанных с открытыми каталогами и службами, работающими по одному и тому же IP-адресу, подчеркивает сложную природу сетевой безопасности, где часто требуется дальнейший анализ для установления законности наблюдаемого поведения.

#ParsedReport #CompletenessHigh
10-11-2025

BlueNoroff Group cryptoaffair: "ghost" investments and bogus job offers

https://securelist.ru/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/113883/

Report completeness: High

Actors/Campaigns:
Bluenoroff (motivation: financially_motivated)
Snatchcrypto
Ghostcall
Ghosthire
Contagious_interview
Lazarus

Threats:
Rustbucket
Clickfix_technique
Downtroy
Cosmicdoor
Rootroy
Sysphon
Sneakmain
Zoomclutch
Realtimetroy
Sysphone
Teamsclutch
Gillyinjector
Viper
Silentsiphon
Supply_chain_technique
Nimcore
Xscreen
Cryptobot
Nimdoor
Corekitagent
Sugarloader
Kandykorn
Uac_bypass_technique
Pid_spoofing_technique
Goloader
Themida_tool
Objcshellz
Trojan.vbs.agent.gen
Sbadur
Trojan.vbs.cobalt.gen
Trojan.vbs.runner
Kryptik
Nukesped_rat
Netchk_tool
Triplewatch

Industry:
Financial

Geo:
Italy, Indian, India, Sweden, Spain, Australia, Asia-pacific, Japan, France, Turkey, Singapore, Hong kong

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 47
Hash: 59
Url: 26
Domain: 25
Path: 5
Command: 2
IP: 1

Soft:
macOS, Telegram, Zoom, Microsoft Teams, OpenAI, curl, Bitwarden, LastPass, 1Password, Dashlane, have more...

Wallets:
exodus_wallet, coinbase, coin98, sui_wallet, tonkeeper, mytonwallet, metamask

Crypto:
solana, algorand

Algorithms:
aes, aes-256, sha256, xor, md5, base64, pbkdf2, zip, rc4

Functions:
GetUniRoute, getenv, posix_spawn

Win API:
Arc, CreateThread, SeDebugPrivilege, NtCreateThreadEx

Languages:
rust, typescript, python, powershell, applescript, javascript, swift

Platforms:
cross-platform, apple