#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DroidLock - это программа-вымогатель, нацеленная на испанских пользователей Android, использующая фишинг для установки вредоносного ПО, которое использует службы специальных возможностей и запрашивает разрешения администратора устройства. Он взаимодействует со своим сервером C2 через HTTP и websockets, используя наложения для скрытия пользовательского интерфейса и сбора личной информации, нажатий клавиш и уведомлений, а также отслеживает местоположение и получает доступ к камерам устройств. Вредоносное ПО демонстрирует передовые методы уклонения и соответствует нескольким тактикам в платформе MITRE ATT&CK, включая первоначальный доступ, закрепление и получение учетных данных.
-----

DroidLock - это недавно выявленная программа-вымогатель, нацеленная на испанских пользователей Android, отличающаяся способностью захватывать устройства через веб-сайты фишинга. Атака начинается с дроппера, который обманом заставляет пользователей устанавливать основную полезную нагрузку вредоносного ПО, эффективно обходя ограничения безопасности Android за счет использования служб специальных возможностей. После установки вредоносное ПО запрашивает разрешения администратора устройства и служб специальных возможностей для совершения различных вредоносных действий, включая блокировку доступа пользователей к их устройствам и кражу конфиденциальных учетных данных.

Вредоносное ПО взаимодействует со своим сервером Command & Control (C2), используя как HTTP, так и websockets. Первоначально он устанавливает HTTP-соединение для отправки основных данных устройства для аналитики. Впоследствии он переключается на связь через websocket для приема команд и передачи данных. Одной из его примечательных особенностей является возможность создавать полноэкранное наложение, имитирующее легальные приложения, эффективно принуждая пользователей раскрывать личную информацию или связываться с злоумышленником по электронной почте.

DroidLock использует механизмы двойного наложения для работы с конкретными приложениями. Когда происходит событие, например изменение состояния приложения, оно активирует наложения, которые скрывают пользовательский интерфейс, включая обманчивые экраны, имитирующие обновления системы Android. Эта тактика часто используется для предотвращения взаимодействия с пользователем, в то время как вредоносное ПО выполняет свои операции в фоновом режиме. Кроме того, он обладает возможностями записи экрана и может фиксировать широкий спектр действий пользователя, включая нажатия клавиш и уведомления. Он также может отслеживать SMS-сообщения, отслеживать местоположение и получать доступ как к камере, так и к микрофону для сбора данных с зараженного устройства.

Набор возможностей вредоносного ПО позволяет ему непрерывно выполнять команды с сервера C2, что указывает на надежный механизм для организованных атак. Примечательно, что DroidLock демонстрирует передовые методы уклонения, такие как Маскировка под законные приложения, чтобы избежать обнаружения. Несмотря на свои сложные методы, мобильные платформы защиты от угроз, такие как Zimperium, продемонстрировали способность обнаруживать DroidLock в режиме реального времени, подчеркивая текущие проблемы в борьбе с такими угрозами.

DroidLock совместим с несколькими тактиками в рамках MITRE ATT&CK. Первоначальный доступ достигается с помощью фишинга, в то время как закрепление устанавливается с помощью широковещательных приемников. Вредоносное ПО способно к повышению привилегий, обходу защиты и получению учетных данных с помощью различных средств, таких как Перехват вводимых данных и извлечение Данных из буфера обмена. Его конструкция также облегчает обнаружение системной информации и списков приложений, что делает его мощной угрозой, способной оказать значительное воздействие на скомпрометированные устройства.

#ParsedReport #CompletenessHigh
11-12-2025

GOLD SALEM tradecraft for deploying Warlock ransomware

https://news.sophos.com/en-us/2025/12/11/gold-salem-tradecraft-for-deploying-warlock-ransomware/

Report completeness: High

Actors/Campaigns:
Warlock (motivation: cyber_criminal, cyber_espionage)
Storm-2603
Crimson_palace (motivation: cyber_espionage)
Gold_mystic
Apt31
Emissary_panda
Bronze_starlight (motivation: cyber_espionage)

Threats:
X2anylock
Toolshell_vuln
Av-killer
Dll_sideloading_technique
Cloudflared_tool
Mimikatz_tool
Lockbit
Babuk
Credential_harvesting_technique
Byovd_technique
Radmin_tool
Donutldr
Edr-killer

Victims:
Telecommunications providers, Nuclear energy research companies, Aerospace organizations, Advanced technical research organizations, Government linked organizations

Industry:
Retail, Telco, Aerospace, Transport, Foodtech, Government, Financial, Energy

Geo:
Chinese, Russia, Asia, Russian, Taiwan, China, Taiwanese

TTPs:
Tactics: 6
Technics: 0

IOCs:
Domain: 5
File: 18
Url: 2
Hash: 14

Soft:
Velociraptor, Protonmail, Visual Studio Code, vscode, Azure blob, MinIO, Linux, OpenSSH, UNIX, ESXi, have more...

Algorithms:
md5, sha256, sha1

Functions:
MiniDump

Languages:
powershell, java

Links:
have more...
https://github.com/minio/mc
https://github.com/cloudflare/cloudflared/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года киберпреступная группа GOLD SALEM была связана с деятельностью вымогателей-предшественников, связанной с Warlock, которые использовали уязвимости SharePoint для доступа. Они использовали цепочку эксплойтов ToolShell, упорствовали, создавая административные учетные записи и развертывая Velociraptor для вредоносных целей, наряду с использованием vmtools.exe чтобы избежать обнаружения. Их усилия по командованию и контролю включали использование кода Visual Studio в туннельном режиме и средства туннелирования Cloudflared, имеющего историю нацеливания на чувствительные сектора и жертв в России, что указывает на сложную оперативную тактику и потенциальные связи с интересами национальных государств.
-----

В августе 2025 года исследователи из Подразделения по борьбе с угрозами (CTU) выявили действия, указывающие на операции-предшественники программ-вымогателей, связанные с Warlock ransomware, приписываемой киберпреступной группе GOLD SALEM. Группа в основном использовала уязвимости SharePoint для получения первоначального доступа в определенных инцидентах. В частности, в одном случае они использовали цепочку эксплойтов ToolShell после того, как общедоступный код эксплойта стал доступен на GitHub. Это примечательно, поскольку отражает то, насколько быстро злоумышленники могут использовать обнаруженные уязвимости.

Получив доступ, GOLD SALEM применила методы закрепления, создав новые учетные записи администратора, используя согласованные учетные данные для нескольких инцидентов. Их тактическое выполнение включало использование законного инструмента цифровой криминалистики Velociraptor, который они загрузили из скомпрометированной инфраструктуры, что указывает на его злонамеренное использование. Группа также использовала антивирус и средство обнаружения конечных точек и реагирования на них под названием killer vmtools.exe , тактика уклонения от обороны, указывающая на сложные оперативные возможности.

Для инфраструктуры command and control (C2) GOLD SALEM попыталась настроить каналы связи, используя такие инструменты, как Visual Studio Code, в туннельном режиме. Кроме того, они использовали инструмент туннелирования Cloudflared, что свидетельствует об их усилиях по созданию скрытого операционного пространства. Первоначальная загрузка этих инструментов часто происходила из доменов, которые контролировала группа, что подчеркивает их стратегическую практику размещения инструментов.

КТП расследование показало, что Gold Salem использовал множество рекламных вариантов, в том числе Warlock, LockBit, и Babuk, часто называя их исполняемых файлов после целенаправленной организации. Это свидетельствует о продуманной стратегии усиления психологического воздействия на жертв. Фон пункты потерпевших в отношении организаций, связанных с "чувствительных" секторах, таких как телекоммуникации, атомной энергетики, аэрокосмических исследований, который может привлечь интерес со стороны национально-государственных субъектов, предполагая, что Gold Salem может работать под одеяло финансовой мотивации при совершении кражи данных.

Примечательно, что в виктимологии группы указаны цели в России, несмотря на то, что местные группы вымогателей обычно избегают таких целей, что позволяет предположить, что GOLD SALEM, скорее всего, действует за пределами юрисдикции российских правоохранительных органов.

#ParsedReport #CompletenessMedium
11-12-2025

It didnt take long: CVE-2025-55182 is now under active exploitation

https://securelist.com/cve-2025-55182-exploitation/118331/

Report completeness: Medium

Threats:
React2shell_vuln
Xmrig_miner
Mirai
Bashlite
Rondodox
Supply_chain_technique

Victims:
Web applications

Industry:
Iot

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


ChatGPT TTPs:
do not use without manual check
T1005, T1059, T1190, T1565

IOCs:
Url: 39
Hash: 6

Soft:
curl, AppArmor, SELinux, BusyBox, Linux

Crypto:
monero

Algorithms:
base64, md5

Languages:
powershell

Links:
https://github.com/ejpir/CVE-2025-55182-poc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182, критическая уязвимость с рейтингом CVSS 10.0, затрагивает серверные компоненты React, позволяя злоумышленникам выполнять произвольные команды и манипулировать файлами с привилегиями серверного процесса. Классифицированный как CWE-502, он предусматривает десериализацию ненадежных данных и привел к резкому увеличению числа попыток их использования, чему способствует доступное подтверждение концепции. В результате веб-приложения, использующие платформу React, подвергаются повышенному риску кибератак.
-----

CVE-2025-55182 - критическая уязвимость с оценкой CVSS 10,0, недавно обнародованная 4 декабря 2025 года. Эта уязвимость, неофициально называемая React4Shell, оказывает воздействие на функциональность серверных компонентов React (RSC), которая используется в веб-приложениях, созданных с использованием библиотеки React. RSC улучшает визуализацию пользовательского интерфейса за счет разделения рабочих нагрузок между клиентом и сервером, но эта возможность создает значительные риски для безопасности.

Ошибка классифицируется как CWE-502, что указывает на то, что она связана с десериализацией ненадежных данных. Эта уязвимость позволяет злоумышленнику выполнять произвольные команды и получать возможность читать и записывать файлы в каталогах, доступных веб-приложению, работая с привилегиями серверного процесса. Такое повышение привилегий повышает серьезность и привлекательность эксплойта для киберпреступников.

После раскрытия уязвимости произошло заметное увеличение числа попыток ее использования, о чем свидетельствуют данные, собранные с помощью Kaspersky honeypots, отслеживающих атаки. Быстрому внедрению злоумышленниками способствует простота использования в сочетании с наличием рабочей проверки концепции (PoC), которая демонстрирует, как использовать уязвимость. Учитывая эти обстоятельства, ожидается, что объем атак с использованием CVE-2025-55182 в ближайшей перспективе продолжит расти, создавая существенную угрозу для веб-приложений, использующих React framework.

#ParsedReport #CompletenessMedium
11-12-2025

Bellerophon never dreamed of such a thing. The ChimeraWire Trojan boosts website popularity by skillfully impersonating a human.

https://news.drweb.ru/show/?lng=ru&i=15090

Report completeness: Medium

Threats:
Chimerawire
Dllsearchorder_hijacking_technique
Nopecha_tool

Victims:
Web advertising and marketing

TTPs:
Tactics: 2
Technics: 18

IOCs:
File: 16
Path: 5

Soft:
Google Chrome, Linux macOS, Windows Task Scheduler, Windows registry

Algorithms:
aes-gcm

Languages:
powershell, python, visual_basic

Links:
have more...
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/DoctorWebLtd/malware-iocs/blob/master/Trojan.ChimeraWire/README.adoc
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/sohaha/zlsgo

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Trojan.ChimeraWire на базе ОС Windows, вредоносное ПО определены компанией "Доктор Веб", предназначен для раздувания веб-трафик через кликер функциональность. Он поражает, прежде всего, через Python.Загрузчик.208, используя DLL Search Order угон, чтобы манипулировать iscsicpl.exe процесс. Ключевые методы включают пользователей-помогать исполнения, закрепление с помощью планировщика задач Windows, повышение привилегий через DLL hijacking, и тактику уклонения, например, шифрование, обфускацию, и поддерживать двустороннюю связь через веб-протоколы.
-----

Trojan.ChimeraWire - это сложное вредоносное ПО, выявленное специалистами "Доктор Веб", в основном работающее в системах Windows. Этот троянец обладает функциональностью кликера и предназначен для искусственного увеличения посещаемости веб-сайта путем имитации взаимодействия с человеком. Он отличается тем, что разработан на основе проектов с открытым исходным кодом, в частности zlsgo и Rod, которые используются для автоматизированного управления веб-сайтами и веб-приложениями.

Первоначальный метод заражения приписывается Python.Downloader.208, который использует метод перехвата DLL search order, включающий манипулирование iscsicpl.exe процесс для использования ISCSIEXE.библиотека dll в каталоге %SystemRoot%\SysWOW64\.

Trojan.ChimeraWire использует различные векторы атак в рамках платформы MITRE ATT&CK. Ключевые методы включают выполнение с помощью пользователя (T1204), при котором вредоносному ПО часто способствует выполнение Вредоносных файлов, библиотек или сценариев PowerShell. Злоумышленники могут использовать такие инструменты, как Командная оболочка Windows, Visual Basic и Python для достижения своих целей. Более того, он использует планировщик задач Windows для закрепления, используя такие методы, как объединение ключей запуска в реестре Windows или запуск запланированных задач.

Вредоносное ПО также включает в себя возможности для повышения привилегий, в частности, путем перехвата поиска DLL-файлов и обхода механизмов контроля учетных записей пользователей (UAC). Чтобы избежать обнаружения, он реализует тактику шифрования и запутывания, наряду с методологиями создания Скрытых окон и Деобфускации файлов или путей. Кроме того, троянец поддерживает двустороннюю связь по Веб-протоколам, что повышает эффективность его работы.

#ParsedReport #CompletenessHigh
11-12-2025

Hamas-Affiliated Ashen Lepus Targets Middle Eastern Diplomatic Entities With New AshTag Malware Suite

https://unit42.paloaltonetworks.com/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag/

Report completeness: High

Actors/Campaigns:
Ashen_lepus (motivation: information_theft, cyber_espionage)
Wirte
Lastconn

Threats:
Ashtag
Ashenloader
Ashenstager
Ashenorchestrator
Dll_sideloading_technique
Rclone_tool
Ironwind

Victims:
Government entities, Diplomatic entities

Industry:
Military, Healthcare, Government

Geo:
Japan, Middle east, Korea, Turkish, Turkey, Egypt, Asia, Palestine, Morocco, Palestinian, Oman, India, Syria, Jordan, Australia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1036, T1041, T1071.001, T1074, T1102, T1104, T1105, T1204.002, have more...

IOCs:
File: 7
Domain: 12
Path: 4
Hash: 19
Url: 1

Algorithms:
sha256, base64, aes-256-ctr, xor, aes

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ashen Lepus, связанная с ХАМАСОМ APT-группировка, с 2018 года атакует дипломатические учреждения на Ближнем Востоке, используя продвинутый пакет вредоносного ПО AshTag. Их стратегия заражения начинается с доброкачественных PDF-файлов, которые приводят к загрузке архивов RAR, содержащих вредоносную полезную нагрузку, используя архитектуру C2, сочетающуюся с законными доменами для дополнительной скрытности. Пакет AshTag оснащен сложным .NET-бэкдором, расширяющим возможности для закрепления и удаленных команд, в то время как группа продолжает извлекать ценные данные после первоначальных компрометаций, усиливая текущие угрозы кибербезопасности в регионе.
-----

Ashen Lepus, связанная с ХАМАСОМ APT-группировка, известная своими операциями по кибершпионажу, нацелена на дипломатические учреждения по всему Ближнему Востоку с помощью сложного вредоносного ПО, получившего название AshTag. С момента своего основания в 2018 году, Ashen Lepus в основном сосредоточена на сборе информации из государственных структур в территориально ближайший таких областях, как Палестинской автономии, Египта и Иордании, с недавним расширением в таких странах, как Оман и Марокко.

Стратегия заражения группы использует многоэтапный подход, который начинается с, казалось бы, безобидного PDF-файла. Этот файл направляет жертв к файлообменным сервисам для загрузки RAR-архива, содержащего вредоносные полезные файлы. Заметен сдвиг в архитектуре command and control (C2); теперь группа регистрирует поддомены законных доменов, связанных с API и службами аутентификации, повышая операционную безопасность за счет смешивания вредоносной активности с обычным сетевым трафиком. Примерами могут служить домены с тематикой здравоохранения или технологий, что усиливает их усилия по сокрытию злонамеренных намерений.

Пакет вредоносных ПО AshTag представляет собой значительное усовершенствование по сравнению с предыдущими операционными инструментами. Более ранние кампании включали менее сложные методы доставки полезной нагрузки, в первую очередь завершение родительских процессов, что указывало на этапы тестирования разработки. Однако в текущей кампании используется полноценный модульный бэкдор .NET, предназначенный для скрытого закрепления и удаленного выполнения команд. Этот бэкдор маскируется под законную утилиту VisualServer, одновременно облегчая обмен данными C2 и выполнение дополнительных полезных нагрузок в памяти.

После выполнения компонент AshenLoader отправляет данные разведки на сервер C2 злоумышленника. Это демонстрирует умный механизм, при котором полезная нагрузка AshenStager встроена в HTML-теги веб-страницы сервера C2, метод, задокументированный в предыдущих действиях группы. Ashen Lepus продолжает активно заниматься кражей персональных данных после первоначального заражения, при этом злоумышленники позже получают доступ к скомпрометированным системам для подготовки документов к эксфильтрации.

Оперативные характеристики Ashen Lepus подчеркивают, что это постоянный злоумышленник, занимающийся текущими разведывательными операциями, особенно в контексте эскалации регионального конфликта. Их методов, тактик и процедур (ТПД) остаются неизменными с предыдущих кампаний, подчеркивая важность изучения арабского языка приманки, которые резонируют с нынешних ближневосточных политических и военных рассказов. Как эти субъекты угрозы адаптировать и расширять свои возможности, сохраняющаяся угроза нацелен лиц в области подчеркивает значительное и развивается кибербезопасность кибербезопасность.

#ParsedReport #CompletenessLow
11-12-2025

Hunting for Mythic in network traffic

https://securelist.com/detecting-mythic-in-network-traffic/118291/

Report completeness: Low

Actors/Campaigns:
Mythic_likho
Paper_werewolf
Unc2190

Threats:
Mythic_c2
Cobalt_strike_tool
Brc4_tool
Sliver_c2_tool
Havoc
Adaptixc2_tool

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071, T1090, T1090.001, T1102, T1132, T1572, T1573

Soft:
Docker, macOS, Linux, Discord, Slack

Algorithms:
base64, aes-256

Functions:
WriteRequest, Discord

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
code: 10, dump: 4, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фреймворк Mythic - это продвинутый инструмент постэксплуатации, используемый хакерскими группировками, обладающий надежными возможностями командования и контроля (C2) с помощью архитектуры Docker. Он поддерживает различные языки программирования и коммуникационные протоколы, включая P2P и прямую исходящую связь, часто скрывая свой трафик, чтобы он не мешал обычной активности пользователя. Возникают проблемы с обнаружением, особенно при использовании зашифрованного трафика по протоколу HTTPS и таких платформ, как Discord и GitHub для скрытых операций, что указывает на продолжающуюся эволюцию фреймворка в области угроз.
-----

Фреймворк Mythic, растущий инструмент для постэксплуатации среди хакерских группировок, занимающихся киберугрозами, примечателен своими возможностями командования и контроля (C2). Построенный с использованием контейнерной архитектуры Docker, Mythic позволяет операторам управлять различными агентами, написанными на языках программирования, включая Go, Python и C#. Платформа поддерживает множество коммуникационных протоколов, таких как HTTP/S, WebSocket, TCP, SMB, DNS и MQTT, облегчая передачу данных между различными платформами, такими как Windows, macOS и Linux.

В структуре мифическая, две модели коммуникации особенно актуальны: одноранговая (P2P) и сообщения выход. Р2Р возможности очевидны при анализе сетевого трафика через примечательными показателями нашли в пакетах записи запрос SMB и стандартных моделей инициализацию TCP-соединений. Обнаружение P2P—трафика может использовать правила обнаружения Suricata, фокусируясь на конкретных структурах пакетов - особенно там, где определенные поля обнулены, а данные закодированы в формате base64, что предполагает действия по управлению.

Для тайных операций Mythic использует такие платформы, как Discord и GitHub, в качестве транспортных модулей, чтобы скрывать свой трафик, делая его похожим на обычную активность пользователя. При использовании Discord команды и результаты выполнения маскируются под обычные сообщения, при этом передача происходит по протоколу HTTPS и шифруется с помощью TLS. Аналогичным образом, транспортный модуль GitHub использует API GitHub для взаимодействия с агентами, позволяя агентам управлять проблемами и разветвлять файлы непосредственно в репозитории, таким образом обходя прямые взаимодействия C2.

В дополнение к скрытым моделям Mythic также поддерживает прямую исходящую связь, позволяя агентам напрямую взаимодействовать с сервером C2 через HTTP и HTTPS. Хотя HTTP-коммуникации подвержены обнаружению на основе сигнатур из-за незашифрованных метаданных, HTTPS-коммуникации усложняют обнаружение из-за шифрования, хотя агенты, использующие SSL-сертификаты по умолчанию, все еще могут выдавать идентифицируемые шаблоны трафика.

Кроме того, протокол WebSocket обеспечивает непрерывный цикл связи между агентами и их сервером C2, облегчая управление агентами mythic в режиме реального времени. Эволюционирующий характер фреймворка Mythic указывает на его постоянное внедрение и адаптацию злоумышленниками, в то время как последовательность в его коммуникационной стратегии предоставляет возможности для принятия защитных мер посредством анализа сетевого трафика. В целом, фреймворк Mythic демонстрирует как расширенные возможности в тактике постэксплуатации, так и проблемы, связанные с обнаружением таких сложных киберугроз.

#ParsedReport #CompletenessMedium
11-12-2025

Analyzing the Gentlemen Ransomware: The Threat Behind a Gentleman's Mask

https://asec.ahnlab.com/ko/91514/

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware

Threats:
Gentlemen_ransomware
Byovd_technique
Ransomware/win.gentlemencrypt.c5799091
Ransomware/win.gentlemencrypt.c5825597
Ransom/mdp.decoy.m961
Ransom/mdp.delete.m1105
Ransom/mdp.event.m1784
Ransom/mdp.command.m2255

Victims:
Corporate networks

Industry:
Healthcare

Geo:
America, Pacific, Apac, Middle east, Asia

TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 1

Soft:
Windows Defender, MSSQL

Algorithms:
xchacha20, ecdh, base64, curve25519, md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель The Gentlemen, выявленная в августе 2025 года, использует метод двойного вымогательства, проникая в корпоративные сети для эксфильтрации и шифрования данных, полагаясь на передовые методы, такие как изменение объектов групповой политики и использование неподписанных драйверов. Он разработан в Go и ограничивает свои операции с помощью проверки паролей, отключения защитника Windows и служб резервного копирования перед шифрованием. Используя X25519 для генерации общего секрета и XChaCha20 для шифрования файлов, он также изменяет фон рабочего стола зараженной системы и создает записку с требованием выкупа для жертв после заражения.
-----

Программа-вымогатель The Gentlemen, выявленная примерно в августе 2025 года, работает по модели двойного вымогательства, которая включает проникновение в корпоративные сети для эксфильтрации и шифрования данных, используя эту украденную информацию для вымогательства у жертв. Эта группа использует несколько передовых методов, обычно связанных со сложными операциями программ—вымогателей, таких как изменение объектов групповой политики (GPO) и использование неподписанных драйверов - практика, известная как "Принесите свой собственный уязвимый драйвер" (BYOVD). На данном этапе остается неясным, работает ли программа-вымогатель The Gentlemen по модели "Программа-вымогатель как услуга" (RaaS), поскольку не было выявлено никаких действий по ребрендингу или подгруппировке, связывающих ее с существующими семействами программ-вымогателей.

Разработанное на языке программирования Go, Gentlemen ransomware реализует различные меры для ограничения своей функциональности предполагаемой средой жертвы, полагаясь на проверку паролей в параметрах выполнения. Перед началом процесса шифрования он выполняет ряд предварительных действий: отключает защитник Windows и останавливает службы резервного копирования, такие как Veeam, а также службы баз данных, включая MSSQL и MongoDB. Кроме того, он эффективно очищает любые журналы или следы своей активности, чтобы препятствовать обнаружению.

Программа-вымогатель анализирует аргументы командной строки в начале своего выполнения, позволяя злоумышленникам указать критические параметры для управления целью шифрования, параметрами производительности и режимом работы. Примечательным аспектом его функциональности является использование алгоритмов шифрования. Он использует X25519 для установления общего секрета, полученного из случайно сгенерированного числа, с последующим использованием этого секрета с потоковым шифром XChaCha20 для шифрования файлов, обеспечивая генерацию уникального ключа и одноразового номера для каждого целевого файла.

После того, как вымогателей определяет, какие файлы для шифрования, он выполняет свою рутинную шифрования файла, который характеризуется структурированный подход к генерации ключей и использование. Кроме того, в качестве части своего поста-шифрование деятельности, Джентльмены изменяет фоновый рисунок рабочего стола из зараженной системе и выдает записку с требованием выкупа с именем "README-GENTLEMEN.txt", которая находится в каждом каталоге, где шифрования. Эта записка послужит прямой способ коммуникации с жертвами, информируя их о вымогательствах после сквозного шифрования важных данных.