#ParsedReport #CompletenessMedium
09-12-2025

EtherRAT: DPRK uses novel Ethereum implant in React2Shell attacks

https://www.sysdig.com/blog/etherrat-dprk-uses-novel-ethereum-implant-in-react2shell-attacks

Report completeness: Medium

Actors/Campaigns:
Contagious_interview
Earth_lamia
Jackpot_panda
Unc5174
Lazarus
Colortoolsv2
Unc5342

Threats:
Etherrat
React2shell_vuln
Cobalt_strike_tool
Sliver_c2_tool
Vshell
Xmrig_miner
Etherhiding_technique
Beavertail
Credential_harvesting_technique
Invisibleferret
Supply_chain_technique
Log4shell_vuln

Victims:
Technology sector, Open source focused companies, Web application developers

Industry:
Financial

Geo:
China, North korean, Korea, Dprk, North korea

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.003, T1059.004, T1071.001, T1102, T1105, T1140, T1190, T1546.004, have more...

IOCs:
File: 23
Coin: 2
IP: 1

Soft:
Linux, Node.js, curl, Systemd, crontab

Crypto:
ethereum

Algorithms:
base64, aes-256-cbc, aes, md5

Functions:
eval

Languages:
python, powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Имплантат EtherRAT, связанный с Северной Кореей, использует недавно раскрытую уязвимость CVE-2025-55182 в серверных компонентах React, позволяющую выполнять удаленный код без проверки подлинности. Он использует многоэтапную цепочку атак, которая начинается с команды оболочки в кодировке base64 для установления первоначального доступа и включает различные методы закрепления, такие как задания cron и измененные профили пользователей для поддержания доступа. EtherRAT также использует смарт-контракты Ethereum для своей инфраструктуры командования и контроля (C2), повышая уклончивость и адаптивность по сравнению с типичным вредоносным ПО.
-----

EtherRAT - это киберугроза, связанная с Северной Кореей, использующая уязвимость серверных компонентов React CVE-2025-55182, позволяющую выполнять удаленный код без проверки подлинности. Эта уязвимость затрагивает React версий 19.x и Next.js фреймворки 15.x и 16.x. EtherRAT - это имплантат постоянного доступа, в отличие от типичных майнеров криптовалют или вредоносного ПО для кражи учетных данных. Цепочка атак состоит из четырех этапов, начиная с команды оболочки в кодировке base64, которая выполняет эксплойт React2Shell. Он устанавливает закрепление с помощью сценария оболочки и использует запутанный JavaScript-дроппер для расшифровки своей полезной нагрузки с помощью шифрования AES-256-CBC. EtherRAT поддерживает свое присутствие с помощью пяти методов закрепления, включая Записи автозапуска XDG и модификации заданий cron. Его инфраструктура командования и контроля использует смарт-контракты Ethereum для разрешения URL-адресов вместо жестко закодированных адресов и выполняет команды на основе ответов сервера C2. Дизайн EtherRAT's позволяет загружать законные Node.js распределения за уклонение. Он демонстрирует сходство с действиями северокорейских и китайских злоумышленников, но выделяется благодаря своему вектору доставки и методам C2, основанным на блокчейне.

#ParsedReport #CompletenessMedium
08-12-2025

Chinese Malware Delivery Domains Part IV

https://dti.domaintools.com/chinese-malware-delivery-domains-part-iv/

Report completeness: Medium

Threats:
Vmprotect_tool
Aspack_tool
Asprotect_tool
Mpress_tool

Victims:
Chinese speaking users

Industry:
Entertainment, Telco

Geo:
Hong kong, China, Chinese, Asia-pacific, Moscow, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071, T1568, T1583, T1583.001, T1583.003, T1585, T1587, T1588, have more...

IOCs:
Domain: 60
Hash: 15
Url: 13

Soft:
Chrome, Telegram, WhatsApp, Youdao, Sogou, Google Chrome

Wallets:
imtoken

Algorithms:
sha256

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, table: 1, chart: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С июня 2023 года было выявлено большое скопление доменов доставки вредоносного ПО, связанных с китайскими злоумышленниками, в общей сложности более 4700 доменов. Их методы работы эволюционировали от централизованной модели к децентрализованной, уменьшая зависимость от отдельных интернет-провайдеров и повышая изощренность их тактики, включая использование больших загрузок файлов, которые препятствуют обнаружению. Кроме того, значительная часть инфраструктуры базируется в Китае, что отражает адаптацию стратегий операционной безопасности и локализации при одновременном использовании анализа, основанного на искусственном интеллекте, для расширения возможностей обнаружения.
-----

С июня 2023 года китайские злоумышленники управляют инфраструктурой доставки вредоносного ПО, в которой идентифицировано более 4700 доменов. К августу 2025 года инфраструктура перешла от централизованного хостинга к децентрализованному, что повысило операционную безопасность. Зависимость от одного интернет-провайдера снизилась с 90% до 40%, а инфраструктура теперь распределена по пяти странам. Количество используемых регистраторов увеличилось с трех до восьми. Проанализированные образцы вредоносного ПО показали загрузку больших файлов размером от 100 до 250 МБ, что затрудняло обнаружение. Регистрация доменов осуществляется нерегулярно, в соответствии с рабочими часами в Восточной Азии, со значительной активностью в праздничные дни в США. Массовая регистрация 16 октября привела к тому, что 69% доменов были созданы за один раз. 78,9% доменов связаны с .cn или .com.cn Используются исключительно TLD, более 38% из которых зарегистрированы через регистраторов на китайском языке, и местные DNS-провайдеры. Для анализа характеристик вредоносного ПО был внедрен рабочий процесс на базе искусственного интеллекта, который обработал 2000 доменов примерно за 10 часов. Злоумышленники усовершенствовали свою тактику, выдавая себя за популярные китайские приложения, что усложняет усилия по обнаружению.

#ParsedReport #CompletenessHigh
09-12-2025

MetaRAT-based Attack Campaign Targeting Japanese Organizations

https://www.lac.co.jp/lacwatch/report/20251208_004569.html

Report completeness: High

Actors/Campaigns:
Red_delta
Calypso
Stone_panda
Winnti
Luoyu
Redfoxtrot
Webworm
Naikon
Cloudcomputating

Threats:
Metarat
Talisman
Plugx_rat
Shadowpad
Ratels
Antidebugging_technique
Keylogdump_tool
Dll_sideloading_technique
Rainyday
Turian
Timestomp_technique
Eagerbee
Littlelamb_wooltea
Pitsock
Pitfuel

Victims:
Shipping, Transportation, Subsidiaries, Japanese organizations

Industry:
Transport, Ics, Telco, Government

Geo:
Asia, China, Kazakhstan, Japanese, Chinese, Russian

CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.007, T1055, T1056.001, T1071.001, T1095, T1106, T1140, T1190, T1218, have more...

IOCs:
File: 11
Hash: 18
Domain: 6
IP: 9

Soft:
Windows service, Ivanti, Active Directory

Algorithms:
aes-256-ecb, gzip, xor, lznt1, sha256, aes, rc4

Functions:
Code

Win API:
RtlDecompressBuffer, decompress

Languages:
c_language

YARA: Found
SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 12, windows: 3, dump: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2025 года злоумышленники из Китая воспользовались уязвимостями в Ivanti Connect Secure (CVE-2024-21893 и CVE-2024-21887), чтобы атаковать японские судоходные компании, использующие различные варианты PlugX RAT, в частности MetaRAT и Talisman. MetaRAT, известный своим загрузчиком mytilus3.dll , использует шифрование AES и методы защиты от отладки для развертывания в памяти без обнаружения. Характеристики операции предполагают скоординированные усилия злоумышленников, что создает значительные риски для критически важной инфраструктуры.
-----

В ходе кампании атак, подтвержденной Центром по чрезвычайным ситуациям в киберпространстве Lack в апреле 2025 года, группа злоумышленников из Китая использовала уязвимости в Ivanti Connect Secure (ICS), в частности CVE-2024-21893 и CVE-2024-21887, для атаки на японские судоходные и транспортные компании. Злоумышленники использовали несколько вариантов троянца удаленного доступа PlugX (RAT), включая новые варианты, известные как MetaRAT и Talisman.

Первоначальное вторжение кампании было отмечено журналами критических ошибок, идентифицированными как "ERR31093", которые были сгенерированы, когда ICS обрабатывала вредоносные полезные нагрузки SAML. Кроме того, средство проверки целостности Ivanti обнаружило подозрительные файлы, имена которых совпадают с именами других известных вредоносных ПО, включая LITTLELAMB и WOOLTEA.

MetaRAT, идентифицирован как новый вариант PlugX, существует с по крайней мере 2022. Этот вариант характеризуется его использование загрузчика (mytilus3.dll), который является 32-разрядным DLL, которые расшифровывает и развертывает MetaRAT в памяти. Загрузчик использует передовые методы, такие как AES ключ развертывания и анти-отладки меры. В частности, если режим отладки обнаружил, ключ, используемый в процессе расшифровки уничтожены, чтобы предотвратить анализа.

Поток выполнения MetaRAT включает в себя командный код, который выполняет хэширование API для получения необходимых адресов функций Windows API. Зашифрованная полезная нагрузка, защищенная шифрованием AES-256-ECB, расшифровывается и распаковывается до того, как командный код выполнит вызовы функций экспорта MetaRAT. Примечательно, что полезная нагрузка вызывает связь с серверами командования и контроля (C2), используя несколько протоколов, таких как TCP, UDP, HTTP, HTTPS и ICMP.

Talisman, другой plugx PlugX, применяемых в этой акции, действует аналогично при загрузке оболочки-код с зашифрованной полезной нагрузки из каталога. Исследования показывают, что злоумышленник групп за MetaRAT и Talisman могут пересекаться, разделяя некоторые характеристики, в том числе аналогичные дорожки в файлы с указанием ПДБ скоординированной операции.

Меры по обнаружению и смягчению последствий для MetaRAT включают мониторинг определенных разделов реестра, создание служб и генерацию файла журнала ключей, типичных для действий RAT. Например, ключи реестра для механизмов автозапуска и наличие файлов, созданных плагином KeylogDump, могут помочь подтвердить активность вредоносного ПО. Коммуникационные и операционные схемы кампании также могут быть проанализированы с использованием существующих правил обнаружения, включая правила Sigma, разработанные специально для выявления подозрительных действий DLL, связанных с MetaRAT.

Подводя итог, кампания attack подчеркивает эволюционирующую природу вариантов PlugX и их продолжающееся использование организованными злоумышленниками, такими как Calypso и SpacePirates. MetaRAT, с его сложными функциями и механизмами уклонения от обнаружения, подчеркивает постоянную угрозу, которую представляют эти продвинутые киберпреступники для критически важной инфраструктуры Японии.

#ParsedReport #CompletenessMedium
09-12-2025

Threat Spotlight: Storm-0249 Moves from Mass Phishing to Precision EDR Exploitation

https://reliaquest.com/threat-spotlight-storm-0249-precision-endpoint-exploitation/

Report completeness: Medium

Actors/Campaigns:
Storm-0249 (motivation: cyber_criminal, financially_motivated)

Threats:
Dll_sideloading_technique
Lolbin_technique
Clickfix_technique
Lockbit
Blackcat
Spear-phishing_technique

Victims:
Enterprises, Edr platforms, Ransomware victims

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 6
Domain: 3
Url: 1
Hash: 2
IP: 2

Soft:
curl, Windows Installer, Microsoft Defender, Windows Registry

Win Services:
SentinelAgent

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Storm-0249 прошел путь от обычного фишинга до сложных методов постэксплуатации, нацеленных на уязвимости программного обеспечения для обнаружения конечных точек и реагирования на них (EDR). Они используют надежные процессы, в частности, превращая в оружие SentinelOne SentinelAgentWorker.exe , чтобы запутывать вредоносные действия и встраивать команды в законные операции по обеспечению безопасности, облегчая скрытую связь. Используя такие тактики, как DLL sideloading и выполнение без файлов, группа поддерживает закрепление и усложняет усилия по обнаружению, что делает их серьезной проблемой на нескольких платформах EDR.
-----

Storm-0249-это эволюционирующее злоумышленник, который был переведен из общей фишинг тактики на более сложный пост-эксплуатации методов, специально ориентированных на недостатки в конечную точку обнаружения и реагирования (EDR и) программного обеспечения. Эта группа, в частности, начали использовать надежные процессы, в том числе с использованием sentinelagentworker.exe SentinelOne, чтобы скрыть вредоносную активность, как и нормальной работы. Путем встраивания их команды и управление (С2) движения внутри легитимных процессов безопасности, злоумышленники могут избежать обнаружения и поддержания закрепление в скомпрометированной среде.

Группа внедрила новые стратегии, которые используют преимущества доверия, связанного с программным обеспечением безопасности. Например, манипулируя законным исполняемым файлом SentinelOne для скрытой загрузки своего вредоносного кода, Storm-0249 может маскировать свои действия под обычные операции безопасности, эффективно обходя традиционные средства защиты. Такой подход позволяет не только методов скрытного общения, но и позволяет выполнять разведка деятельности маскируются под законные задачи, используя надежные утилиты Windows, такие как reg.exe и findstr.exe.

Переход Storm-0249's к высокоточному таргетингу означает переход от методов фишинга, основанных на объемах, к усовершенствованным методам атаки, которые используют доверенные процессы с помощью таких механизмов, как дополнительная загрузка библиотеки динамических ссылок (DLL) и выполнение без файлов. Эти методы особенно опасны, поскольку они легко интегрируют вредоносные действия в ожидаемые процессы, что усложняет усилия по обнаружению. Закрепление группы за счет использования пакетов MSI с системными привилегиями гарантирует, что их позиции сохранятся даже при стандартных мерах по исправлению, таких как обычная переустановка программного обеспечения или исправления.

Кроме того, методы, используемые Storm-0249, включая те, которые включают DLL sideloading, не ограничиваются продуктами SentinelOne, что делает их актуальными для различных платформ EDR. Такая адаптивность позволяет Storm-0249 продавать предварительный доступ аффилированным лицам программ-вымогателей, упрощая развертывание программ-вымогателей и усугубляя распространение атак в различных секторах.

Учитывая изощренность этих тактик, организациям настоятельно рекомендуется усовершенствовать свои защитные стратегии, переключив внимание с традиционного обнаружения на основе сигнатур на поведенческую аналитику. Выявляя аномалии, такие как неправильное использование законных исполняемых файлов или необычное выполнение команд, организации могут превентивно устранять такие угрозы. Службы безопасности должны уделять приоритетное внимание механизмам видимости и быстрого реагирования, чтобы противостоять передовым методам, используемым злоумышленниками, такими как Storm-0249.

#ParsedReport #CompletenessLow
09-12-2025

New eBPF Filters for Symbiote and BPFdoor Malware

https://www.fortinet.com/blog/threat-research/new-ebpf-filters-for-symbiote-and-bpfdoor-malware

Report completeness: Low

Threats:
Symbiote
Bpfdoor
Bvp47
Ebpfkit
Triplecross
Timestomp_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1040

IOCs:
File: 2
Hash: 2

Soft:
Linux, Claude

Algorithms:
rc4

Platforms:
x86, arm

Links:
https://github.com/radareorg/radare2-mcp
https://github.com/radareorg/radare2
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году семейства вредоносных ПО, такие как Symbiote и BPFDoor, усовершенствовали свою тактику обхода с использованием технологий eBPF, усложнив анализ за счет более интеллектуальных методов фильтрации. Эти руткиты часто используют Нестандартные порты для передачи команд и контроля, используя пробелы в традиционных средствах безопасности. Кроме того, появилось множество вариантов BPFDoor, причем в этом году было обнаружено заметное увеличение количества образцов, что вызывает вопросы о потенциальных новых функциональных возможностях в их дизайне.
-----

В 2025 году вредоносное ПО, использующее технологии eBPF (Extended Berkeley Packet Filter), получило развитие, особенно в таких семействах, как Symbiote и BPFDoor. Эти руткиты внедрили более интеллектуальные методы фильтрации, чтобы избежать обнаружения, что значительно усложняет их анализ. Архитектура набора команд eBPF упрощает определенные процессы, но создает дополнительные проблемы для обратного проектирования вредоносного ПО. Хотя для работы с байт-кодом BPF доступны различные инструменты, такие как bpftool и движок Capstone, необходимость понимания конкретной архитектуры может препятствовать эффективному анализу.

Передача команд и контрольных данных (C2) этих типов вредоносного ПО часто осуществляется через Нестандартные порты. Эта тактика распространена среди ботнет и использует тенденцию обычных средств безопасности — таких как базовые брандмауэры и системы обнаружения/предотвращения вторжений — сосредотачивать свои проверки главным образом на стандартных портах, таких как HTTP. Следовательно, вредоносный трафик, связанный с Symbiote, часто упускается из виду, поскольку эти инструменты могут регистрировать минимальную активность, а предупреждения обычно ограничиваются уведомлениями о "неизвестном порту", которые можно легко отклонить как доброкачественные.

В рамках платформы BPF были достигнуты заметные успехи, включая добавление поддержки IPv6 в BPFDoor. Это наблюдалось в конкретном образце, где фильтр BPF применялся к необработанному сокету, что свидетельствует об изменении возможностей, которые используют авторы вредоносного ПО. Более того, появление вариантов BPFDoor было значительным: с момента его создания в 2021 году было обнаружено 240 образцов, из которых 150 были отмечены только в 2025 году. Характеристики этих вариантов вызвали интерес к тому, представляют ли они собой просто постепенные изменения или вводят существенные новые функциональные возможности.

#ParsedReport #CompletenessLow
09-12-2025

Lumma Stealer: Danger lurking in fake game updates from itch.io and Patreon

https://www.gdatasoftware.com/blog/2025/12/38310-lumma-stealer-itchio-patreon

Report completeness: Low

Threats:
Lumma_stealer

Victims:
Gaming users

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036, T1105, T1199, T1204.002, T1497.001, T1566.002, T1659

IOCs:
File: 88
Command: 1
Hash: 5

Soft:
Steam, Node.js, burpsuite, virtualbox, hyper-v, qemu, BlockBlasters

Algorithms:
base64, sha256

Languages:
powershell, javascript

Links:
have more...
https://github.com/nexe/nexe
https://github.com/unex/nexeDecompiler

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma Stealer - это недавно выявленное вредоносное ПО, которое нацелено на пользователей с помощью поддельных обновлений игр на таких платформах, как Itch.io и Patreon, доставляющий исполняемый файл, замаскированный под "game.exe - в архиве. Это вредоносное ПО использует nexe для упаковки Node.js приложение и использует сложные методы антианализа, включая обнаружение виртуальных машин, чтобы обойти меры безопасности. Кроме того, он декодирует полезную нагрузку Base64, которая действует как вариант Lumma Stealer, указывая на методический подход злоумышленника к распространению вредоносного ПО через различные учетные записи и закодированные файлы.
-----

Lumma Stealer - это появляющаяся киберугроза, которая использует поддельные обновления игр на таких платформах, как Itch.io и Патреон. Злоумышленники создают несколько спам-аккаунтов для публикации комментариев к легальным играм, направляя ничего не подозревающих пользователей загружать архив с надписью "Обновлено Version.zip " под видом обновлений игры. В то время как большая часть содержимого этого архива кажется безобидной, основной исполняемый файл, "game.exe ," вот где кроется угроза.

После исполнения,"game.exe " не выполняет никаких законных действий по обновлению. Статический анализ показывает, что он скомпилирован с помощью nexe, что позволяет Node.js приложения должны быть упакованы в виде исполняемых файлов PE. Это примечательно, поскольку представляет собой новый метод доставки вредоносного ПО, о котором ранее широко не сообщалось в связи с угрозами, с которыми сталкивались.

Вредоносное ПО использует передовые методы антианализа, включая механизм обнаружения виртуальной машины (ВМ). Он проверяет системную память и количество ядер процессора, определяя, запущен ли он в среде виртуальной машины. Если система идентифицируется как виртуальная, вредоносное ПО прекращает выполнение, что эффективно защищает ее от анализа.

Кроме того, исполняемый файл декодирует полезную нагрузку в кодировке Base64, которая является вариантом Lumma Stealer, эффективно загружая ее как Node.js модуль. Это указывает на систематический подход одного злоумышленника, который использует несколько учетных записей и различные ссылки для скачивания для распространения различных файлов, скомпилированных nexe, с использованием различных методов кодирования. Несмотря на усилия по маскировке вредоносного ПО, различия в именах переменных и функций остаются идентифицируемыми даже после расшифровки, что свидетельствует о структурированной, но легко адаптируемой стратегии оператора. Такое динамичное использование nexe и внедренные контрмеры подчеркивают растущую сложность развертывания вредоносного ПО.

#ParsedReport #CompletenessMedium
09-12-2025

New BYOVD loader behind DeadLock ransomware attack

https://blog.talosintelligence.com/byovd-loader-deadlock-ransomware/

Report completeness: Medium

Threats:
Byovd_technique
Deadlock
Shadow_copies_delete_technique
Winrm_tool
Anydesk_tool
Mstsc_tool
Process_hollowing_technique
Rustdesk_tool

Victims:
Enterprise environments

CVEs:
CVE-2024-51324 [Vulners]
CVSS V3.1: 3.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 3

IOCs:
File: 12
Command: 1

Soft:
Windows Defender, Windows service, Dropbox, Microsoft SQL Server, MySQL, QuickBooks, Microsoft Exchange, Apache Tomcat

Crypto:
bitcoin, monero

Algorithms:
sha256

Functions:
CreateFile, ZwTerminateProcess, Test-Admin

Win API:
DeviceIOControl, GetSystemTimeAsFileTime

Win Services:
Eventlog, msmpeng, MSSQL$VEEAMSQL2012, FishbowlMySQL, VeeamTransportSvc, ccEvtMgr, RTVscan, MVArmor

Languages:
powershell

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/12/