#ParsedReport #CompletenessMedium
02-12-2025

Snake Rustamania

https://rt-solar.ru/solar-4rays/blog/6253/

Report completeness: Medium

Actors/Campaigns:
Shedding_zmiy
Overload

Threats:
Kitsune
Octopus
Leech
Pwnkit_tool
Bulldog_backdoor

CVEs:
CVE-2023-4911 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gnu glibc (<2.39)

CVE-2021-3156 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sudo_project sudo (<1.8.32, <1.9.5)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)

CVE-2022-2588 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<4.9.326, <4.14.291, <4.19.256, <5.4.211, <5.10.137)


TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 4
Hash: 11

Soft:
Telegram, Linux, Mycelium, selinux, Debian, Ubuntu, nginx, sudo, mariadb, unix, have more...

Algorithms:
crc-32, sha1, base64, md5, sha256, xor

Functions:
sentmsg, getMyceliumProxyConn

Languages:
php, perl, ruby, python, rust

Links:
have more...
https://github.com/nushell/nushell

#ParsedReport #ExtractedSchema

Classified images:
code: 4, dump: 2, schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2023 года появились новые инструменты под названием Shedding Zmiy, включающие руткиты Puma и Kitsune, а также дополнительные утилиты, разработанные Rust, направленные на облегчение первоначального доступа и поддержание закрепления в скомпрометированных системах. Их дизайн повышает скрытность и эффективность, демонстрируя переход к Rust для создания низкоуровневых системных утилит при разработке вредоносного ПО. Такая эволюция увеличивает риски, позволяя злоумышленникам обходить традиционные меры безопасности для более глубокого доступа к системе.
-----

В марте 2023 года в статье рассказывалось о появлении новых инструментов под названием Shedding Zmiy, которые представили руткиты Puma и Kitsune наряду с различными другими утилитами, разработанными в Rust. Эти инструменты предназначены для оказания помощи злоумышленникам в установлении первоначального доступа к системам и поддержании закрепления после эксплойта.

В статье рассматриваются методы, используемые этими компонентами вредоносного ПО на основе Rust, подчеркивается их оперативное взаимодействие. Сложный характер их конструкции обеспечивает повышенную скрытность и эффективность во время кибератак. Техническое взаимодействие между Puma и Kitsune, а также дополнительные утилиты демонстрируют потенциал использования этих инструментов злоумышленниками для успешной навигации по целевым средам и управления ими. Растущее использование Rust указывает на переход к языкам, позволяющим создавать эффективные и низкоуровневые системные утилиты, что указывает на тенденцию в эволюции методов разработки вредоносного ПО.

Такие усовершенствования сопряжены со значительными рисками, поскольку сочетание этих руткитов и связанных с ними инструментов может позволить злоумышленникам обойти традиционные меры безопасности, получая более глубокий и длительный доступ к скомпрометированным системам. Техническая оценка этих типов вредоносного ПО подчеркивает необходимость постоянной бдительности и адаптации стратегий кибербезопасности для противодействия растущей сложности киберугроз.

#ParsedReport #CompletenessLow
02-12-2025

Cato CTRL Threat Research: From Productivity Boost to Ransomware Nightmare Weaponizing Claude Skills with MedusaLocker

https://www.catonetworks.com/blog/cato-ctrl-weaponizing-claude-skills-with-medusalocker/

Report completeness: Low

Threats:
Medusalocker

Victims:
Enterprise

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1195, T1204, T1486

Links:
https://github.com/anthropics/skills/tree/main/skills/slack-gif-creator
have more...
https://github.com/anthropics/skills

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование Cato CTRL выявило уязвимость в Claude Skills framework, которая позволяет злоумышленникам использовать, казалось бы, безобидные функции для развертывания программ-вымогателей с минимальной осведомленностью пользователя. Модификации законных навыков могут выполнять вредоносные действия, сохраняя видимость законности, что создает серьезную проблему для безопасности. Исследование включало доказательство концепции, демонстрирующее программу-вымогатель MedusaLocker, подчеркивающее эффективность этих вредоносных навыков в уклонении от обнаружения и внедрении пользователями.
-----

Исследование угроз Cato CTRL выявило значительную уязвимость в Claude Skills framework, где, казалось бы, безобидные функции могут быть использованы для развертывания программ-вымогателей с минимальной осведомленностью пользователя. Расследование показало, что лишь незначительные изменения в законном навыке могут облегчить скрытое выполнение вредоносных действий при сохранении видимости законности. Эта демонстрация того, как навыки Клода могут быть использованы в качестве оружия, подчеркивает важнейшую проблему безопасности.

30 октября 2025 года исследовательская группа раскрыла уязвимость модели доверия с одним согласием для Anthropic, предоставив воспроизводимое доказательство концепции, включающее выполнение Ransomware. Основная проблема заключается в скрытом функциональном уровне Skills, который, хотя и кажется выполняющим безобидные задачи, такие как обработка GIF, способен извлекать и запускать вредоносное программное обеспечение в фоновом режиме. Это создает впечатление законного рабочего процесса как для пользователя, так и для системы Claude, маскируя потенциальную возможность эксплуатации.

Быстрое распространение измененных навыков через репозитории Git, форумы и Социальные сети повышает риск, поскольку вредоносные варианты могут легко маскироваться под полезные инструменты для повышения производительности. Используя убедительную документацию или примеры результатов, злоумышленники могут поощрять использование этих вредоносных навыков, не вызывая подозрений, тем самым облегчая их внедрение.

Чтобы проиллюстрировать серьезные последствия этой уязвимости, исследователи успешно провели живую демонстрацию программы-вымогателя MedusaLocker в контролируемой ими среде, подтвердив жизнеспособность своих выводов. Эксперимент показал, что эта проблема не просто гипотетична, но представляет собой воспроизводимую цепочку угроз. По мере расширения экосистемы Claude Skills важно повысить прозрачность, связанную с поведением навыков, внедрить более строгие требования к согласию на конфиденциальные действия и наладить мониторинг в режиме реального времени, чтобы снизить риск широко распространенного компрометирования, связанного с согласием одного пользователя.

#ParsedReport #CompletenessLow
02-12-2025

New Android malware lets criminals control your phone and drain your bank account

https://www.malwarebytes.com/blog/news/2025/12/new-android-malware-lets-criminals-control-your-phone-and-drain-your-bank-account

Report completeness: Low

Threats:
Albiriox
Smishing_technique

Victims:
Android users

Industry:
Retail, Financial

Geo:
Austria

ChatGPT TTPs:
do not use without manual check
T1036, T1056, T1219

IOCs:
Hash: 4

Soft:
Android, Google Play

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Albiriox - это недавно идентифицированное банковское вредоносное ПО для Android, которое предоставляет злоумышленникам удаленный контроль над скомпрометированными устройствами, позволяя им отслеживать текущие банковские сеансы и манипулировать ими. Это сложное вредоносное ПО может выводить средства и компрометировать банковские и криптовалютные счета, действуя так, как если бы оно было законным пользователем. Кроме того, Google исправила 107 уязвимостей в экосистеме Android, подчеркнув сохраняющиеся риски безопасности в мобильных системах.
-----

Albiriox - это недавно идентифицированное семейство банковских вредоносных ПО для Android, которое предоставляет злоумышленникам полный удаленный контроль над скомпрометированными мобильными устройствами. Это вредоносное ПО обеспечивает несанкционированный доступ к устройству, облегчая мониторинг и манипулирование в режиме реального времени во время банковских сеансов. Жертвы могут обнаружить, что их банковская информация и криптовалютные аккаунты находятся под угрозой, поскольку злоумышленники могут тайно выводить средства, в то время как пользователи активно взаимодействуют со своими финансовыми приложениями.

Одним из наиболее важных аспектов Albiriox являются его расширенные возможности, которые обеспечивают уровень контроля, аналогичный уровню физического пользователя. Такой высокий уровень доступа вызывает опасения по поводу возможности совершения сложных мошеннических действий, поскольку злоумышленники могут взаимодействовать с устройством так, как если бы они были законным пользователем. Такой контроль не только ставит под угрозу финансовые активы пользователя, но и имеет более широкие последствия для безопасности персональных данных.

Чтобы снизить риски, связанные с Albiriox и подобными угрозами, пользователям рекомендуется сохранять бдительность в отношении любого необычного поведения на своих устройствах. Наличие подозрительных приложений, особенно с общими названиями, связанными с "утилитами", "безопасностью", "розничным продавцом" или "инвестициями", которые не распознаются как установленные из официального магазина Google Play, может указывать на компромисс. Пользователям, которые подозревают, что они могли пострадать от этого или других видов вредоносного ПО, рекомендуется выполнить комплексное сканирование системы с помощью надежного решения для защиты Android от вредоносного ПО.

Кроме того, важно отметить, что Google недавно устранила несколько уязвимостей в экосистеме Android, исправив 107 недостатков, включая два, которые, как сообщалось, активно эксплуатировались. Это служит напоминанием о сохраняющихся уязвимостях, присутствующих в мобильных операционных системах, и о важности оперативного применения обновлений для системы безопасности.

#ParsedReport #CompletenessHigh
02-12-2025

Dragons in Thunder

https://ptsecurity.com/research/pt-esc-threat-intelligence/dragons-in-thunder/

Report completeness: High

Actors/Campaigns:
Quietcrabs (motivation: cyber_criminal, cyber_espionage)
Emissary_panda
Thor

Threats:
Krustyloader
Tactical_rmm_tool
Sliver_c2_tool
Meshagent_tool
Lockbit
Babuk
Adrecon_tool
Godpotato_tool
Secretsdump_tool
Mimikatz_tool
Meshcentral_tool

Victims:
Military industrial companies, Healthcare companies, Research centers, Small and medium sized businesses

Industry:
Healthcare

Geo:
Usa, Korea, Russian, Philippines, Russia, Taiwan, Czech, Iran, Germany, Asian

CVEs:
CVE-2025-4427 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (<11.12.0.5, <12.3.0.2, <12.4.0.2, 12.5.0.0)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-4428 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (<11.12.0.5, <12.3.0.2, <12.4.0.2, 12.5.0.0)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190

IOCs:
File: 16
Command: 4
Path: 4
IP: 2
Url: 2

Soft:
Microsoft SharePoint, Ivanti, Linux, WireGuard, Active Directory, Microsoft Outlook

Algorithms:
zip, aes, xor, base64

Win API:
RtlCreateUserThread, GetLogicalDrives

Languages:
rust, powershell

Platforms:
x64

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние расследования киберинцидентов, нацеленных на российские компании, выявили использование уязвимостей удаленного выполнения кода, в частности CVE-2025-53770 в Microsoft SharePoint и CVE-2025-4427 и CVE-2025-4428 в Ivanti Endpoint Manager Mobile. Основную ответственность несли группы QuietCrabs и Thor, причем QuietCrabs были связаны с кибершпионажем и использованием вредоносного ПО, такого как KrustyLoader и Sliver. Атаки затронули около 110 компаний, подчеркнув угрозу, исходящую от легкодоступных инструментов эксплуатации.
-----

Недавние расследования киберинцидентов, затрагивающих российские компании, выявили использование нескольких уязвимостей удаленного выполнения кода (RCE), в частности, CVE-2025-53770 в Microsoft SharePoint и CVE-2025-4427 и CVE-2025-4428 в Ivanti Endpoint Manager Mobile. Вредоносная деятельность была, в частности, приписана двум идентифицированным группам: QuietCrabs и Thor. QuietCrabs, также известные как UTA0178 и UNC5221, продемонстрировали быструю адаптацию, используя эти уязвимости вскоре после того, как код проверки концепции (PoC) стал общедоступным. Они подозреваются в связях с более широкой группой APT27 и занимаются главным образом кибершпионажем, используя известные уязвимости.

Группа QuietCrabs, предположительно имеющая азиатское происхождение, была впервые обнаружена в начале 2024 года и продолжает активно действовать. Его деятельность охватывает различные регионы, с выявленными жертвами в таких странах, как США, Великобритания, Германия, Южная Корея, Россия, Тайвань, Филиппины, Иран и Чешская Республика. Их мотивация сосредоточена вокруг кибершпионажа, который согласуется с более широкой тенденцией нацеливания на критически важные секторы, включая военные технологии, здравоохранение и исследовательские учреждения, среди малых и средних предприятий.

Помимо использования уязвимостей, были обнаружены образцы вредоносного ПО KrustyLoader и Sliver, а также артефакты, указывающие на использование инструментов Tactical RMM и MeshAgent. В частности, мишенями стали около 110 российских компаний из различных секторов, что подчеркивает широкий охват этих атак. Несмотря на масштаб, методология, используемая Thor group, была охарактеризована как недостаточно изощренная, что позволяет предположить, что организации с надежными системами безопасности могли бы смягчить или оперативно сдержать эти вторжения.

Результаты этих инцидентов подчеркивают настоятельную необходимость совершенствования процессов обеспечения информационной безопасности для защиты от атак и реагирования на них с использованием хорошо известных уязвимостей и легкодоступных средств их использования.

#ParsedReport #CompletenessHigh
02-12-2025

One for all and all for one: joint attacks of 4BID, BO Team and Red Likho

https://securelist.ru/sovmestnye-ataki-4bid-bo-team-red-likho/114124/

Report completeness: High

Actors/Campaigns:
Bo_team (motivation: cyber_espionage, hacktivism)
Shedding_zmiy (motivation: cyber_espionage, hacktivism)
4bid (motivation: cyber_espionage, hacktivism)

Threats:
Bulldog_backdoor
Zeronetkit
Blackout_locker
Lockbit
Babuk
Anydesk_tool
Tuoni_tool
Cobalt_strike_tool
Credential_dumping_technique
Ntdsutil_tool
Wevtutil_tool
Adrecon_tool
Viper

Industry:
Healthcare

Geo:
Russian federation, Russian, Usa

TTPs:
Tactics: 1
Technics: 8

IOCs:
File: 30
Registry: 9
Domain: 3
IP: 2
Hash: 13
Path: 3

Soft:
Telegram, bcdedit, firefox, onenote, outlook, steam, thebat, wordpad, Windows service, msexchange, have more...

Algorithms:
aes, zip, xor

Functions:
Get-PnpDevice, DeleteEventsLogs, generate_fernet_key, EncryptData, srand, rand, Get-Date, TaskCache

Win API:
CreateToolhelp32Snapshot, Process32First, Process32Next, TerminateProcess, OpenSCManagerA, OpenServiceA, ControlService, DeleteService, CloseServiceHandle, OpenEventLogA, have more...

Win Services:
ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, tbirdconfig, have more...

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кибератаки привели к сотрудничеству хактивистских групп 4BID, BO Team и Red Likho, что усложнило определение их тактики. В атаках использовались уникальные инструменты, такие как скрипт PowerShell Edgeupdate.ps1 для скрытых операций, программа-вымогатель Blackout Locker на C/C++ и кража учетных данных с помощью сброса Памяти процесса LSASS. Среди выявленных дополнительных вредоносных ПО - бэкдор ZeronetKit от BO Team и GoRed от Red Likho, приложивший значительные усилия для отключения защитника Windows и очистки системных журналов.
-----

Недавние атаки выявили тенденцию к сотрудничеству между группами хактивистов, в частности 4BID, BO Team и Red Likho, что усложняет атрибуцию их соответствующих тактик и приемов. Примечательно, что в атаках использовались уникальные инструменты, включая специализированный скрипт PowerShell с именем Edgeupdate.ps1, который предназначен для скрытных разрушительных операций, позволяющих избежать обнаружения и обеспечить закрепление в системах-жертвах.

Группа 4BID внедрила новую программу-вымогатель, известную как Blackout Locker, написанную на C/C++, что отличает ее от более ранних программ-вымогателей с похожими названиями. Среди жертв также был идентифицирован экземпляр программы-вымогателя Babuk с типичным именем файла e_win.exe ; однако его широкое использование среди различных групп затрудняет атрибуцию. Кроме того, атаки включали проверку на наличие установок AnyDesk в разных сетях для облегчения дальнейшего компрометирования.

Что касается инструментов, то в ходе исследований было обнаружено множество образцов исправленного Process Explorer с вариантами загрузки Tuoni или Cobalt Strike, которые также использовались в атаках Red Likho и BO Team. Бэкдор ZeronetKit, созданный на языке Go и встречающийся в ранних версиях под брендом ZeroNet string, считается собственностью BO Team. Другой бэкдор, связанный с Red Likho, под названием GoRed, также был обнаружен среди жертв.

Были выявлены методы кражи учетных данных, включая попытки сбросить память процесса LSASS — часто критически важную для извлечения учетных данных — с помощью компонента Windows через rundll32.exe . Злоумышленники использовали метод T1562 для Ослабления защиты, в частности, отключили защиту Windows Defender в режиме реального времени, чтобы облегчить выполнение вредоносного ПО без обнаружения. Распространению программы-вымогателя Babuk способствовало использование объектов групповой политики и запланированных заданий, которые беспрепятственно запускали вредоносное ПО из общего сетевого ресурса по всему домену.

Более того, были замечены сознательные усилия по очистке системных журналов, чтобы удалить признаки компрометации. Целями кампании в основном были организации в Российской Федерации, охватывающие различные секторы, такие как производство, здравоохранение и государственные услуги. Недавняя динамика сотрудничества между группами предполагает объединение ресурсов, о чем свидетельствует предложение члена 4BID о сотрудничестве на публичном форуме, что указывает на менее автономный режим работы и готовность использовать инструменты, разработанные другими группами.

#ParsedReport #CompletenessHigh
02-12-2025

Analysis of StreamSpy, a new Trojan horse utilizing WebSocket in Mahabusa (APT-Q-36)

https://www.ctfiot.com/284804.html

Report completeness: High

Actors/Campaigns:
Donot (motivation: cyber_espionage)
Mahabharata

Threats:
Streamspy
Spyder

Industry:
Government, Military, Education

Geo:
Asian

TTPs:
Tactics: 2
Technics: 0

IOCs:
Hash: 9
Url: 16
File: 1
Domain: 2

Soft:
Android, WeChat

Algorithms:
aes, md5, zip

Functions:
getCommand

Win API:
ShellExecuteExW, ShellExecuteA, deleteFile, CreateProcessW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец StreamSpy, приписываемый группе Mahabusa (APT-Q-36), использует WebSocket для постоянной связи со своими серверами командования и контроля, расширяя возможности извлечения данных и уклоняясь от обнаружения. Эта группа, специализирующаяся на кибершпионаже в различных секторах Азии, демонстрирует передовые оперативные навыки и готовность использовать уязвимости, обусловленные геополитическими мотивами. Использование WebSocket знаменует собой значительную эволюцию в их методологии атак, бросая вызов средствам защиты от кибербезопасности.
-----

Анализ троянца StreamSpy, приписываемого группе Mahabusa (также известной как APT-Q-36), показывает инновационное использование WebSocket для связи, что знаменует собой значительную эволюцию в методологии атаки. Эта группа действует уже более десяти лет, уделяя особое внимание кибершпионажу, направленному на различные секторы Азиатского региона, включая правительственные, военные, энергетические, промышленные, исследовательские, образовательные, дипломатические и экономические организации.

StreamSpy использует протокол WebSocket для поддержания постоянной связи в режиме реального времени со своими серверами управления (C2), что позволяет осуществлять динамическое и скрытое извлечение данных. Этот метод обладает преимуществами по сравнению с традиционными коммуникациями на основе HTTP, поскольку обеспечивает двусторонний интерактивный канал, способный обходить определенные сетевые средства защиты. Использование WebSocket также может затруднить обнаружение шаблонов трафика, увеличивая скрытность вредоносного ПО и продолжительность его работы.

Историческое прошлое группировки Mahabusa указывает на сложные оперативные возможности и региональную направленность, что может свидетельствовать о том, что их угрозы продиктованы геополитическими интересами. Их многолетняя деятельность указывает на устойчивую приверженность кибероперациям, предполагая, что они могут использовать передовые технологии, чтобы избежать обнаружения и воспользоваться уязвимостями в системах безопасности своих целей.

Нацеливание на различные секторы предполагает высокий уровень оперативной адаптивности и стратегический подход к сбору разведывательных данных, которые могут послужить основой для будущих атак или более широких киберкампаний. Поскольку эта группа продолжает развиваться, мониторинг их методов и методологий, особенно с внедрением таких технологий, как WebSocket, будет иметь решающее значение для стратегий обнаружения угроз и защиты.

Таким образом, появление StreamSpy в качестве троянца, использующего WebSocket, представляет собой заметную проблему для защиты кибербезопасности, особенно из-за его возможностей для постоянной связи. Угроза, исходящая от группировки Mahabusa, значительна, учитывая их исторический контекст и разнообразный круг целей.

#ParsedReport #CompletenessHigh
02-12-2025

Arkanix Stealer Jumps from Discord to Browser Sessions and Corporate Logins

https://cybersecsentinel.com/arkanix-stealer-jumps-from-discord-to-browser-sessions-and-corporate-logins/

Report completeness: High

Threats:
Arkanix
Process_injection_technique
Clickfix_technique
Vmprotect_tool
Credential_dumping_technique

Victims:
Corporate environments, Consumers, Cloud service users, Gaming communities

Industry:
Entertainment

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1055, T1056.004, T1059.006, T1071.001, T1082, T1105, T1119, have more...

IOCs:
Domain: 3
Command: 1
Url: 3
Hash: 7
File: 1

Soft:
Discord, Chromium, Chrome, Google Chrome, PyInstaller, DirectX, Opera, Vivaldi, Steam, Roblox, have more...

Wallets:
metamask, tronlink, electrum

Crypto:
binance

Algorithms:
sha256, md5

Languages:
python, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4