#ParsedReport #CompletenessMedium
13-11-2025

Unleashing the Kraken ransomware group

https://blog.talosintelligence.com/kraken-ransomware-group/

Report completeness: Medium

Actors/Campaigns:
Kraken (motivation: financially_motivated)
Weacorp

Threats:
Kraken
Kraken_cryptor
Hellokitty
Cloudflared_tool

Victims:
Enterprises

Geo:
Denmark, Canada, Kuwait, United kingdom, Panama

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1039, T1041, T1071.001, T1078, T1090, T1190, T1486, T1490, have more...

IOCs:
Registry: 1
File: 1
Hash: 11

Soft:
Linux, ESXi, Hyper-V, Microsoft SQL server, esxcli, Ubuntu Linux, ubuntu, ESXi esxcli

Crypto:
bitcoin

Algorithms:
exhibit, chacha20

Functions:
unlink, fork_as_daemon

Win API:
Wow64EnableWow64FsRedirection, SetErrorMode, SHEmptyRecycleBinA, GetLogicalDrives, GetDriveTypeW

Win Services:
bits

Languages:
powershell, golang

Platforms:
cross-platform, x86

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/11/kraken-ransomware-group.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kraken ransomware group, связанная с картелем HelloKitty, использует передовые тактики, включая охоту на крупную дичь и двойное вымогательство, используя уязвимости малого и среднего бизнеса для первоначального доступа. Оказавшись внутри, они используют такие инструменты, как Cloudflared, для закрепления и выполняют эксфильтрацию данных через SSHFS перед шифрованием с помощью специальных шифровальщиков для Windows, Linux и VMware ESXi. Примечательно, что Kraken выполняет машинные тесты предварительного шифрования, имеет меры защиты от повторного заражения и использует сложное многопоточное выполнение для различных типов файлов, повышая степень скрытия от обнаружения.
-----

В августе 2025 года Kraken ransomware group, которая, как полагают, возникла из картеля вымогателей HelloKitty, занялась изощренной охотой на крупную дичь и тактикой двойного вымогательства. Эта русскоязычная группа использовала уязвимости Server Message Block (SMB) для получения первоначального доступа к сетям жертв. Оказавшись внутри, они использовали такие инструменты, как Cloudflared для закрепления и SSH Filesystem (SSHFS) для эксфильтрации данных перед шифрованием. Отличительной особенностью Kraken являются его кроссплатформенные возможности, благодаря специальным шифровальщикам, разработанным для систем Windows, Linux и VMware ESXi, что позволяет ему работать в различных корпоративных средах.

Цепочка заражения Kraken обычно начинается с использования уязвимостей SMB на серверах, подключенных к Интернету. Затем злоумышленники получают действительные учетные данные администратора, повторно входя в среду жертвы через подключения к удаленному рабочему столу. Такой подход подчеркивает оппортунистическую направленность группы, поскольку они не фокусируются на конкретных секторах бизнеса и затронули жертв во многих географических регионах, включая США, Великобританию, Канаду и Кувейт.

Kraken ransomware сама по себе характеризуется своей сложностью и функциональностью. Он имеет множество опций командной строки для обеспечения гибкости работы, позволяя злоумышленникам выполнять полное или частичное шифрование файлов. Примечательно, что Kraken выполняет машинный тест перед запуском шифрования — редкая особенность в операциях программ—вымогателей - и может нацеливаться на различные типы файлов, такие как базы данных SQL и общие сетевые ресурсы.

Windows-вариант Kraken - это 32-разрядный исполняемый файл, который может быть запутан с помощью упаковщика на базе Golang. Он включает в себя проверку на реинфекцию для предотвращения двойного шифрования и использует методы антианализа, чтобы избежать обнаружения и усложнить судебно-медицинский анализ. Программа-вымогатель добавляет расширение .zpsc к зашифрованным файлам и включает опции для тестирования производительности, которые позволяют злоумышленникам оценить компьютер жертвы перед фактическим шифрованием данных. Процесс шифрования выполняется параллельно в четырех модулях: база данных SQL, общий сетевой ресурс, локальный диск и Hyper-V.

Для систем Linux и ESXi Kraken ransomware представляет собой 64-разрядный исполняемый файл, разработанный с использованием crosstool-NG версии 1.26.0, поддерживающий как полное, так и частичное шифрование. Подобно версии для Windows, он выполняет многопоточное шифрование и использует тесты производительности. Примечательно, что вариант Linux использует запутывание потока управления и демонические процессы для улучшения тактики уклонения, что еще больше усложняет потенциальный анализ исследователями безопасности.

#ParsedReport #CompletenessLow
12-11-2025

Phishing emails disguised as spam filter alerts are stealing logins

https://www.malwarebytes.com/blog/news/2025/11/phishing-emails-disguised-as-spam-filter-alerts-are-stealing-logins

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Email users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1566.002

IOCs:
Domain: 10
Url: 11
File: 1
Email: 1

Algorithms:
base64

Languages:
javascript

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-11-07-IOCs-for-phishing-activity-spoofing-spam-filters.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют изощренную тактику фишинга, отправляя электронные письма, которые выглядят как предупреждения от спам-фильтров, с целью кражи учетных данных пользователя для входа в систему. Эти электронные письма, напоминающие законные уведомления, создают срочность и заманивают получателей на сайты фишинга, предназначенные для сбора конфиденциальной информации. Этот метод включает в себя подделку заголовков электронной почты и форматирование для имитации надежных источников, повышая вероятность взаимодействия пользователя с этими вредоносными сообщениями.
-----

Киберпреступники используют изощренную тактику фишинга, маскируя электронные письма под предупреждения спам-фильтра, чтобы украсть учетные данные пользователя для входа в систему. Эти электронные письма создаются таким образом, чтобы они выглядели как законные уведомления от собственной системы фильтрации спама организации, создавая у получателя ощущение срочности действий. Основная цель этой тактики - заманить пользователей на сайты фишинга, предназначенные для получения их регистрационной информации. Эти учетные данные потенциально могут обеспечить доступ к конфиденциальным учетным записям, включая электронную почту, облачное хранилище и другие личные или организационные платформы.

Механизм фишинга основан на подмене заголовков электронной почты и форматировании для имитации надежных внутренних источников, что значительно увеличивает вероятность взаимодействия получателей с этими вредоносными сообщениями. Этот обманчивый подход использует врожденное доверие пользователя к сообщениям, которые, как представляется, исходят из его собственной организации, таким образом обходя многие традиционные средства защиты от фишинга.

Чтобы снизить риски, связанные с такими попытками фишинга, пользователям крайне важно внедрить две фундаментальные меры безопасности. Во-первых, проверка адреса электронной почты отправителя и тщательное изучение любых ссылок, включенных в сообщение, перед переходом по ним могут предотвратить несанкционированный доступ. Во-вторых, осторожность в отношении нежелательных запросов о предоставлении конфиденциальной информации может значительно снизить вероятность стать жертвой этих мошенников. Сохраняя бдительность и принимая на вооружение эти простые правила, люди могут лучше защитить себя от растущей угрозы фишинг-атак, Маскировок под законные сообщения.

#ParsedReport #CompletenessLow
13-11-2025

We opened a fake invoice and fell down a retro XWorm-shaped wormhole

https://www.malwarebytes.com/blog/threats/2025/11/we-opened-a-fake-invoice-and-fell-down-a-retro-xworm-shaped-wormhole

Report completeness: Low

Threats:
Xworm_rat

Victims:
Business email users

ChatGPT TTPs:
do not use without manual check
T1027, T1027.010, T1059.001, T1059.003, T1059.005, T1105, T1140, T1203, T1204.002, T1566.001, have more...

IOCs:
File: 5
Path: 2
Command: 3
Hash: 1

Algorithms:
zip, aes, gzip, sha256, base64

Functions:
WriteLine

Languages:
python, powershell, visual_basic

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье обсуждается кампания по вредоносному ПО, использующая Backdoor.Троянец удаленного доступа XWorm, доставленный через обманчивое электронное письмо, содержащее вложение скрипта Visual Basic (.vbs), что необычно в бизнес-контексте. Файл .vbs использует метод заполнения, чтобы скрыть вредоносный код, и включает в себя скрипт PowerShell для извлечения полезной нагрузки. Это отражает изменение тактики злоумышленников, которые сосредотачиваются на необычных типах файлов, чтобы избежать обнаружения, подчеркивая необходимость бдительности при выявлении таких угроз.
-----

В статье описывается угроза, исходящая от кампании по распространению вредоносного ПО, включающей Backdoor.Троянец удаленного доступа XWorm, который доставляется по ложному электронному письму, содержащему вложение скрипта Visual Basic (.vbs). Само электронное письмо кажется безобидным, запрашивающим подтверждение оплаты счетов-фактур, но включение файла .vbs является нетипичным в бизнес-контексте, сигнализируя о потенциальном злонамерении. Современные деловые коммуникации обычно отдают предпочтение использованию более безопасных и универсальных языков сценариев, таких как PowerShell, а не Visual Basic Script, что усиливает подозрительность электронного письма.

Выбор в пользу использования файла .vbs вместо более традиционных векторов, таких как файлы Excel с вредоносными макросами VBA, предполагает попытку обойти осведомленность пользователя. Хотя макросы Excel часто используются и могут обманом заставить пользователей включить вредоносный контент, использование файла .vbs заслуживает внимания из-за его редкости и присущих ему рисков, связанных с непосредственным выполнением скриптов. Этот метод отражает сдвиг в методологиях злоумышленников, когда они иногда используют менее распространенные типы файлов, чтобы обойти обнаружение.

При проверке файл .vbs содержал переменные, которым не были присвоены значения, что указывает на метод заполнения, используемый авторами вредоносного ПО. Эта тактика предназначена для того, чтобы запутать реальный вредоносный код и усложнить анализ специалистами по кибербезопасности. Когда автор дополнительно проанализировал содержимое файла, они расшифровали скрипт PowerShell, который мог бы облегчить извлечение полезной нагрузки, позволяя идентифицировать и исследовать вредоносное ПО.

Чтобы безопасно извлекать и анализировать полезную нагрузку вредоносного ПО, не запуская выполнение, автор разработал скрипт на Python. Такой подход позволил им выделить и идентифицировать два исполняемых образца из исходного сценария. Общий анализ освещает эволюцию методов доставки вредоносного ПО, подчеркивая важность тщательного изучения необычных типов файлов и использования надежных стратегий обнаружения и анализа вредоносного ПО в операциях по кибербезопасности.

#ParsedReport #CompletenessHigh
13-11-2025

Operation Endgame Quakes Rhadamanthys

https://www.proofpoint.com/us/blog/threat-insight/operation-endgame-quakes-rhadamanthys

Report completeness: High

Actors/Campaigns:
Ta585
Ta2541
Scully_spider
Ta571 (motivation: cyber_criminal)
Ta866 (motivation: cyber_criminal)
Aggaa

Threats:
Rhadamanthys
Elysium_stealer
Clickfix_technique
Hijackloader
Icedid
Bumblebee
Systembc
Pikabot
Smokeloader
Danabot
Warmcookie
Trickbot
Lumma_stealer
Steganography_technique
Seo_poisoning_technique
Darkgate
Cloudeye
Smartloader
Doubleloader
Doiloader
Latrodectus
Castleloader
Amadey
Remcos_rat
Quasar_rat
Ahkbot
Screenshotter
Bitrat
Xworm_rat
Formbook
Macropack_tool
Amatera_stealer
Nightshade

Victims:
Entertainment and media sector, Logistics sector

Industry:
Entertainment, Financial, Logistic

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1071.001, T1105, T1190, T1199, T1204, T1566, T1568, T1573, T1583.001, have more...

IOCs:
Url: 8
Domain: 33
Hash: 6
IP: 4

Soft:
Cloudflare turnstile

Crypto:
ripple

Algorithms:
sha256, base64

Win API:
VirtualAlloc, CreateThread, RtlMoveMemory

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rhadamanthys - это модульное вредоносное ПО, идентифицированное в 2022 году, которое функционирует как стиллер информации, нацеливаясь на конфиденциальные данные с помощью модели MaaS, позволяющей настраивать и распространять с помощью различных методов, таких как фишинг электронной почты и скомпрометированные сайты. Злоумышленники, стоящие за этим вредоносным ПО, связанные с группами TA571 и TA866, были известны тем, что использовали как пользовательское, так и легкодоступное вредоносное ПО. Недавние операции правоохранительных органов нарушили инфраструктуру Rhadamanthys, потенциально вынудив филиалы искать альтернативные решения для борьбы с вредоносным ПО, одновременно изменяя динамику в сетях киберпреступников.
-----

Rhadamanthys - это сложное модульное вредоносное ПО, впервые выявленное в 2022 году, в основном функционирующее как стиллер информации, нацеленный на конфиденциальные данные, такие как учетные данные пользователя для входа в систему и финансовая информация. Вредоносное ПО получило популярность в сообществе киберпреступников благодаря своим настраиваемым функциям и доступности на подпольных форумах, продаваемых под псевдонимом "kingcrete2022". Оно работает по модели "Вредоносное ПО как услуга" (MaaS), что позволяет различным филиалам использовать вредоносное ПО, настраивая его с помощью различных плагинов и работая независимо.

Методы распространения вредоносного ПО разнообразны, включая кампании по электронной почте, скомпрометированные веб-сайты и методы Вредоносной рекламы. Например, в недавних кампаниях использовались ссылки в электронных письмах, направленные на скомпрометированные сайты или веб-страницы для фишинга, выдающие себя за законные сервисы, такие как логистические компании и YouTube. Было замечено, что Rhadamanthys может быть развернут как самостоятельная полезная нагрузка, так и как часть стратегии борьбы с несколькими вредоносными ПО наряду с другими вредоносными инструментами.

Примечательно, что злоумышленник, стоящий за Rhadamanthys, был связан с группой под названием TA571, известной тем, что использует как эксклюзивное, так и легкодоступное вредоносное ПО, в то время как другой актор, TA866, участвует в уникальных кампаниях по вредоносному ПО. Эффективность и интеграция Rhadamanthys в деятельность этих акторов подчеркивают его приоритетный статус для отслеживания аналитиками по кибербезопасности.

Операция "Эндшпиль", проведенная 13 ноября 2025 года, ознаменовала значительное нарушение инфраструктуры Rhadamanthys, поскольку международные правоохранительные органы демонтировали ключевые серверы, связанные с ее оперативным управлением. Эта операция не только оказала воздействие на экосистему Rhadamanthys, но и затронула дочерние сервисы, такие как прокси-бот Elysium. Целью сбоя является создание недоверия и оперативных трудностей для вовлеченных преступников, что вынуждает их адаптировать вредоносное ПО или отказаться от него.

Поскольку действия правоохранительных органов продолжаются, последствия сказываются на киберпреступности, побуждая филиалы искать альтернативные решения для борьбы с вредоносным ПО, такие как Amatera Stealer или CastleRAT. Однако такие сбои могут также привести к росту напряженности и ужесточению мер контроля внутри подпольного сообщества в отношении распространения вредоносного ПО. Понимание и мониторинг этих изменений жизненно важны для организаций, стремящихся к упреждающей защите от развивающихся киберугроз и тактики, применяемой злонамеренными акторами.

#ParsedReport #CompletenessLow
12-11-2025

Malicious Chrome Extension Exfiltrates Seed Phrases, Enabling Wallet Takeover

https://socket.dev/blog/malicious-chrome-extension-exfiltrates-seed-phrases

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Cryptocurrency users, Browser extension users

Industry:
Financial

TTPs:
Tactics: 2
Technics: 5

IOCs:
File: 2

Soft:
Chrome

Wallets:
safery_wallet, sui_wallet, metamask, enkrypt

Crypto:
ethereum

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное расширение Chrome, Маскировка под кошелек Ethereum под названием Safery, создано для кражи исходных фраз пользователей и завладения криптовалютными кошельками. Он использует скрытый метод, включающий транзакции Sui, для кодирования захваченных мнемоник BIP-39 в шестнадцатеричные адреса, умело маскируя их. Эта атака классифицируется в рамках MITRE ATT&CK и использует такие тактики, как Компрометация цепочки поставок, Выполнение с участием пользователя и Веб-сервисы для эксфильтрации, в конечном счете нацеленные на Кражу денежных средств.
-----

Вредоносное расширение Chrome, замаскированное под кошелек Ethereum под названием Safery, предназначено для кражи начальных фраз пользователей, способствуя полному захвату криптовалютных кошельков. Расширение позиционирует себя как надежный и удобный в использовании инструмент для транзакций Ethereum, хвастаясь заявлениями о безопасности и конфиденциальности, которые вводят в заблуждение. С помощью вводящего в заблуждение рекламного контента он гарантирует пользователям, что их Закрытые ключи надежно хранятся на их устройствах и что никакие пользовательские данные не собираются.

Механизм кражи данных особенно коварен, поскольку использует скрытый канал, использующий транзакции Sui. После получения мнемонического кода BIP-39 модуль кодирует его в один или два шестнадцатеричных адреса в стиле Sui. Этот процесс включает загрузку стандартного списка слов, сопоставление слов с их соответствующими числовыми индексами и упаковку этих индексов в шестнадцатеричную строку. После правильного форматирования вредоносное расширение добавляет отступы, длина которых достигает 64 символов, что еще больше маскирует отфильтрованную исходную фразу под законный адрес Sui.

С точки зрения кибербезопасности, в этой атаке используются различные методы, классифицированные в рамках MITRE ATT&CK framework. Это включает в себя Компрометацию цепочки поставок (T1195.002) посредством использования расширения браузера (T1176.001), наряду с такими тактиками, как Выполнение с участием пользователя (T1204) и манипулирование командами JavaScript (T1059.007). Примечательно, что в нем также подчеркивается уязвимость, связанная с незащищенными учетными данными, в частности, с Закрытыми ключами (T1552.004), и используются Веб-сервисы для эксфильтрации (T1567), что приводит к Краже денежных средств (T1657).

Этот инцидент подчеркивает острую необходимость повышенной бдительности при установке расширений для браузера и важность обеспечения подлинности программного обеспечения для защиты от потенциальных захватов кошельков и связанного с ними мошенничества с криптовалютой.

#ParsedReport #CompletenessLow
13-11-2025

NGate: NFC Relay Malware Enabling ATM Withdrawals Without Physical Cards

https://zimperium.com/blog/ngate-nfc-relay-malware-enabling-atm-withdrawals-without-physical-cards

Report completeness: Low

Threats:
Ngate

Victims:
Bank customers

Industry:
Financial

Geo:
Polish

ChatGPT TTPs:
do not use without manual check
T1409, T1557

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CERT Polska выявила вредоносное ПО NGate, сложную угрозу для Android, предназначенную для атак с использованием NFC-ретрансляции на пользователей польских банков. Это вредоносное ПО использует технологию эмуляции хост-карты (HCE) для перехвата платежных данных NFC и обеспечения возможности несанкционированного снятия наличных со взломанных устройств без доступа к банковской карте пользователя. Появление NGate высвечивает уязвимости в мобильном банкинге, подчеркивая меняющийся ландшафт киберугроз в финансовых транзакциях.
-----

CERT Polska выявила сложное семейство вредоносных ПО для Android под названием NGate, специально разработанное для выполнения атак с ретрансляцией NFC, нацеленных на пользователей польских банков. Это вредоносное ПО представляет собой значительный прогресс в методах мобильного финансового мошенничества. Вредоносное ПО NGate использует технологию эмуляции хост-карты (HCE) для захвата платежных данных Near Field Communication (NFC) с мобильного устройства жертвы и пересылки их в банкоматы, находящиеся под контролем злоумышленников.

Операционный механизм NGate вызывает особую тревогу, поскольку он позволяет злоумышленникам осуществлять несанкционированное снятие наличных без необходимости физического обладания банковской картой жертвы. Передавая конфиденциальную финансовую информацию непосредственно со взломанных устройств в целевые банкоматы, злоумышленники могут обойти традиционные меры безопасности, связанные с использованием карт. Внедрение HCE в этот метод не только выявляет уязвимости, связанные с мобильным банкингом, но и подчеркивает потенциал для широкого использования пользователями, которые полагаются на финансовые транзакции с поддержкой NFC.

Этот инцидент с вредоносным ПО иллюстрирует растущую тенденцию в области киберугроз, когда развиваются методы, позволяющие использовать как технологические достижения, так и поведение пользователей в сфере цифровых финансов. Поскольку финансовые учреждения работают над защитой своих систем от несанкционированного доступа, пользователям крайне важно сохранять бдительность и принимать дополнительные меры безопасности для снижения рисков, связанных с таким продвинутым вредоносным ПО.

#ParsedReport #CompletenessLow
13-11-2025

Security brief: VenomRAT is defanged

https://www.proofpoint.com/us/blog/threat-insight/security-brief-venomrat-defanged

Report completeness: Low

Actors/Campaigns:
Ta558
Ta2541

Threats:
Venomrat
Quasar_rat
Remcos_rat
Pdq_connect_tool
Njrat
Xworm_rat
Hijackloader
Icedid
Bumblebee
Systembc
Pikabot
Smokeloader
Danabot
Warmcookie
Trickbot
Lumma_stealer

Victims:
Hotel and hospitality

Industry:
Entertainment, Aerospace

Geo:
Portuguese, Spanish, America, Greece, Latin america

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 2

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VenomRAT, троян удаленного доступа, связанный с хакерской группировкой TA558, действует с 2020 года, в частности, нацеливаясь на гостиничный сектор с помощью кампаний по электронной почте. Его использование увеличивалось до середины 2024 года, но с сентября 2025 года столкнулось со значительными сбоями, что привело к снижению активности и переходу на другие вредоносные ПО, такие как Remcos RAT и XWorm. Этот переход отражает адаптацию тактики киберпреступников в ответ на усиленные меры по обнаружению и кибербезопасности.
-----

VenomRAT - это троян удаленного доступа (RAT), который использовался различными киберпреступниками с момента его появления в 2020 году, при этом значительная активность, зафиксированная Proofpoint, началась в 2022 году. Это вредоносное ПО является производным от Quasar RAT с открытым исходным кодом, включающим дополнительные элементы из других источников. VenomRAT, который в основном используется хакерской группировкой TA558, нацеленной на гостиничный сектор, регулярно фигурирует в кампаниях атак по электронной почте.

С середины 2024 года по лето 2025 года наблюдалось увеличение использования VenomRAT's как среди приписываемых, так и не приписываемых злоумышленников. Однако недавний сбой в работе VenomRAT's существенно повлиял на его развертывание. С сентября 2025 года Proofpoint не сообщала ни о каких случаях VenomRAT в активных кампаниях. Следовательно, TA558 переключился на альтернативные решения для защиты от вредоносного ПО, в частности Remcos RAT и XWorm, при этом начиная с октября наблюдается снижение общей активности.

Прекращение деятельности VenomRAT's говорит о том, что киберпреступники, использующие эту RAT, теперь адаптируются к ландшафту, переключаясь на новые полезные нагрузки. Такое поведение иллюстрирует потенциальную эволюцию их тактики, поскольку они стремятся обойти обнаружение и сохранить свои оперативные возможности в условиях возросших усилий по кибербезопасности.