#ParsedReport #CompletenessMedium
12-12-2025

ClickFix: DarkGate

https://www.pointwild.com/threat-intelligence/clickfix-darkgate

Report completeness: Medium

Threats:
Clickfix_technique
Darkgate
Clipboard_injection_technique

TTPs:
Tactics: 3
Technics: 5

IOCs:
Path: 1
Hash: 5
Url: 1

Algorithms:
base64, sha256, zip, exhibit, des

Functions:
Set-Clipboard

Languages:
autoit, javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClickFix - это сложная угроза социальной инженерии, которая требует взаимодействия пользователя для выполнения вредоносных команд, облегчая установку вредоносного ПО без традиционного автономного поведения. Он использует PowerShell для многоэтапной атаки, загружая и выполняя вредоносный HTA-файл, используя манипуляции с буфером обмена и завершение сеанса, чтобы избежать обнаружения. Атаки используют тактику платформы MITRE ATT&CK, включая выполнение скриптов в памяти, запутывание с помощью Base64 и замаскированную полезную нагрузку, что в конечном итоге приводит к созданию инструмента удаленного доступа (RAT).
-----

"ClickFix" является примером сложного подхода социальной инженерии, который позволяет злоумышленникам компрометировать системы, заставляя пользователей самостоятельно выполнять вредоносные команды. Эта тактика основана на точной имитации рутинного устранения неполадок, обманом заставляя пользователей совершать действия, которые непреднамеренно устанавливают вредоносное ПО. В отличие от традиционного вредоносного ПО, которое работает автономно, ClickFix требует взаимодействия с пользователем, что затрудняет первоначальное обнаружение с помощью программного обеспечения безопасности.

Как только пользователь выполнит начальную команду, в системе могут проявиться специфические симптомы, указывающие на заражение. Примечательным аспектом ClickFix является использование PowerShell в сценарии многоэтапной атаки. Идентифицированная команда PowerShell не только загружает, но и выполняет вредоносный HTA-файл (HTML-приложение). Кроме того, скрипт объединяет команды манипулирования буфером обмена и завершения сеанса, выявляя намерение избежать обнаружения и скрывая следы атаки.

Фрагмент JavaScript используется как часть механизма доставки полезной нагрузки, выполняя несколько скоординированных действий при взаимодействии. Это подчеркивает многогранную стратегию, используемую злоумышленниками для облегчения развертывания вредоносного ПО за счет вовлечения пользователей.

Угроза демонстрирует специфическую тактику и методы, классифицированные в рамках системы MITRE ATT&CK. Например, выполнение скриптов PowerShell для процессов в памяти отмечено как T1059.001, в то время как тактика запутывания, использующая кодировку Base64 для сокрытия, подпадает под T1027. Для маскировки HTA-файлов под законные инструменты используется T1036, и полезная нагрузка часто извлекается по протоколу HTTP(S), классифицируемому как T1071.001. Конечное воздействие этих действий позволяет создать инструмент удаленного доступа (RAT), предоставляющий злоумышленникам полный контроль над скомпрометированными системами.

Чтобы снизить риск, пользователям рекомендуется проявлять осторожность с неожиданными запросами, запрашивающими выполнение кода, поскольку законные службы не требуют таких действий. Отказ от кода из ненадежных источников, использование надежного антивирусного программного обеспечения, которое фокусируется на поведенческом анализе, и ограничение доступа к потенциально вредоносным командам являются важнейшими превентивными мерами. В корпоративных настройках ИТ-администраторы могут внедрять политики для дополнительной защиты от этих угроз. При подозрении на заражение необходимо немедленно отключиться от Интернета и незамедлительно связаться с ИТ-службой поддержки.

Устранение этой угрозы влечет за собой перезагрузка в безопасном режиме с загрузкой сетевых драйверов и с использованием конкретных антивирусных средств, таких как UltraAV, которые может выявить и устранить вредоносные файлы, связанные с clickfix ClickFix.

Таким образом, ClickFix представляет собой сложный и эволюционирующий ландшафт угроз, в котором методы социальной инженерии все чаще используются для обхода традиционных мер безопасности, особенно подчеркивая необходимость бдительности пользователей и соблюдения передовых методов обеспечения безопасности.

#ParsedReport #CompletenessHigh
19-12-2025

WEBJACK: Evolving IIS Hij

https://labs.withsecure.com/publications/webjack.html

Report completeness: High

Actors/Campaigns:
Webjack (motivation: cyber_criminal, information_theft, financially_motivated)
Dragonrank

Threats:
Badiis
Seo_poisoning_technique
Blackseo_technique
Xlanyloader
Donut
Cobalt_strike_tool
Mimikatz_tool
M0yv
Fscan_tool
Sharp4removelog_tool
Cncrypt_protect_tool
Gotohttp_tool
Plugx_rat
Process_injection_technique
Credential_dumping_technique

Victims:
Government institutions, Universities, Technology sector, Organizations running microsoft iis servers

Industry:
Entertainment, Education, Government

Geo:
Asia, Latin america, Latin american, China, Vietnamese, Spanish, France, Vietnam, Chinese

TTPs:
Tactics: 7
Technics: 10

IOCs:
Path: 2
Domain: 13
Url: 4
File: 1
IP: 1
Hash: 20

Soft:
SoftEther, Telegram

Algorithms:
sha256, base64

Languages:
php

Links:
have more...
https://github.com/TheWover/donut/tree/master

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, chart: 1, windows: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная Кампания WEBJACK нацелена на серверы Microsoft IIS, развертывая модули семейства BadIIS для проведения SEO-мошенничества путем перенаправления пользователей на сайты азартных игр. Ключевые компоненты включают вредоносные модули "fashttp.dll " и "cgihttp.dll ", предназначенные для манипулирования индексацией поисковых систем при маскировке их вредоносной активности. Кампания имеет прочные связи с китайскими хакерскими сообществами и использует такие тактики, как использование общедоступных приложений, уклонение от обнаружения с помощью Упаковки ПО и поддержание закрепления вредоносных модулей IIS.
-----

Вредоносная Кампания WEBJACK, расследуемая STINGR из WithSecure, нацелена на серверы Microsoft IIS для развертывания вредоносных модулей, связанных с семейством вредоносных ПО BadIIS. Эта кампания использует скомпрометированные серверы для SEO-мошенничества, перенаправляя пользователей на сайты азартных игр и казино, одновременно используя репутацию таких авторитетных учреждений, как правительственные учреждения и университеты. Злоумышленник использует вредоносные модули IIS с именем "fashttp.dll " и "cgihttp.dll , " оба оснащены Enigma, программным обеспечением-защитником, которое усложняет обнаружение и анализ.

Главная оперативная тактика подразумевает сложную схему манипуляции поисковик, в котором модулей в IIS выборочно настоящем подконтрольных злоумышленникам контента для поисковых роботов двигателя, в то время как обычные посетители сталкиваются разные ответы, такие как перенаправление или ошибки. Эта манипуляция позволяет мошеннического содержимого для индексации в рамках законного доменов, в конечном счете направляет пользователей на монетизации сайтов. Модули предназначены для получения списка рандомизированных ссылки с сервера злоумышленника и впрыскивают в гусеничные видимой реакции, эффективно маскируя свои вредоносные действия от реальных посетителей.

Кроме того, злоумышленник использует ряд скомпрометированных инструментов, обычно используемых в деятельности red-team, демонстрируя сочетание методов, заимствованных у китайских хакерских сообществ. Анализ инфраструктуры выявил по меньшей мере 112 скомпрометированных доменов, 65% из которых расположены во Вьетнаме, что указывает на географически разнообразную, но заметно концентрированную операционную базу. Внедренный контент ориентирован на ключевые слова, связанные с азартными играми, преимущественно на вьетнамском и испанском языках, что подчеркивает целенаправленную ориентацию на региональные рынки.

Присвоение злоумышленник говорит о сильной связи Китая, поддерживается за счет использования таких инструментов, как XlAnyLoader и cncrypt Protect, которые обычно встречаются в красном команды и сценарии вторжения. В кампании используются различные тактики, методы и процедуры (TTP), соответствующие тем, которые используются в организованной борьбе с киберпреступностью, что указывает на структурированный подход к компрометации и эксплуатации.

Конкретные TTP включают использование общедоступных приложений для первоначального доступа и закрепление, достигаемое за счет регистрации вредоносных модулей в IIS. Кроме того, методы обхода защиты, такие как Упаковка ПО и очистка журнала событий, иллюстрируют акцент на скрытность.

Таким образом, кампания WEBJACK представляет собой эволюцию тактики взлома IIS, использующую специализированное вредоносное ПО и инструменты для облегчения масштабных манипуляций с SEO для получения финансовой выгоды, оставаясь скрытой от типичных методов обнаружения.

#ParsedReport #CompletenessMedium
18-12-2025

A Series of Unfortunate (RMM) Events

https://www.huntress.com/blog/series-of-unfortunate-rmm-events

Report completeness: Medium

Threats:
Gotoresolve_tool
Screenconnect_tool
Simplehelp_tool
Itarian_tool
Teamviewer_tool
Atera_tool
Ninjarmm_tool
Lolbin_technique

Victims:
Real estate sector, Car dealership

Geo:
Usa

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1105, T1204, T1219, T1566, T1566.002

IOCs:
Path: 7
Hash: 1
Url: 5
File: 10
Domain: 7

Soft:
Outlook, Windows Scheduled task, Chrome, Firefox, Microsoft Teams, ChatGPT, Claude

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние наблюдения за киберугрозами свидетельствуют об использовании программного обеспечения удаленного мониторинга и управления (RMM) злоумышленниками, часто с помощью фишинга электронных писем, которые доставляют вредоносное ПО, замаскированное под законные приложения. Известные примеры включают использование переименованных исполняемых файлов GoTo Resolve, а также использование законного программного обеспечения, такого как PDQ, для последующего развертывания вредоносных инструментов RMM, что усложняет усилия по обнаружению. Кроме того, тактика социальной инженерии все чаще используется для облегчения установки вредоносного программного обеспечения, затрудняя операциям безопасности проведение различия между законным поведением и вредоносными действиями.
-----

В ходе недавних наблюдений за киберугрозами сообщалось о серии инцидентов, связанных с использованием программного обеспечения для удаленного мониторинга и управления (RMM) злоумышленниками. 7 октября сотрудник компании, занимающейся недвижимостью, стал жертвой фишинга по электронной почте, который привел к установке вредоносного исполняемого файла Open Revised Contract (2).exe. Этот файл маскировался под законное приложение, в частности, переименованный экземпляр GoTo Resolve, подписанный компанией GoTo Technologies USA, LLC. Такая тактика подчеркивает использование социальной инженерии, распространенного метода, применяемого злоумышленниками для того, чтобы обманом заставить людей запускать вредоносное ПО.

Была отмечена последовательность атак, в которых первоначальная установка законного программного обеспечения, такого как PDQ, служит предшественником последующего развертывания дополнительных инструментов RMM. Такая тактика не только усиливает цепочку атак, но и усложняет обнаружение вредоносной активности, поскольку легальные инструменты сами по себе не вызывают немедленных подозрений. Также были обнаружены экземпляры других приложений RMM, таких как Chrome Remote Desktop, Atera и ITarian, причем ITarian конкретно был причастен к более ранним инцидентам, когда злоумышленники запускали дополнительные установщики ScreenConnect.

В другом примечательном случае пользователь в автосалоне запустил вредоносную программу установки GoTo Resolve, OPENINVITATION.exe , загруженный с домена abre.ai . Этот инцидент высвечивает более широкую тенденцию, в рамках которой злоумышленники используют электронные письма с фишингом, содержащие тактику социальной инженерии, для распространения инструментов RMM, используя легитимность этих приложений, чтобы избежать обнаружения.

Продолжающееся использование программного обеспечения RMM злоумышленниками-акторами оказалось проблемой для центров управления безопасностью (SOCS), поскольку провести различие между законным поведением пользователей и злонамеренным намерением может быть чрезвычайно сложно. Поскольку эти инструменты предназначены для удаленного управления, их присутствие в скомпрометированных системах стирает границы, что делает необходимым для организаций внедрение комплексных стратегий обнаружения угроз и реагирования на них для защиты от этих развивающихся методов.

#ParsedReport #CompletenessHigh
18-12-2025

I am not a robot: ClickFix used to deploy StealC and Qilin

https://www.sophos.com/en-us/blog/i-am-not-a-robot-clickfix-used-to-deploy-stealc-and-qilin

Report completeness: High

Actors/Campaigns:
Qilin

Threats:
Clickfix_technique
Stealc
Qilin_ransomware
Netsupportmanager_rat
Shanya_tool

Industry:
E-commerce

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1189, T1204.001, T1218.011, T1574.002

IOCs:
Domain: 2
Url: 2
File: 2
Path: 1
IP: 1
Hash: 4

Algorithms:
sha256, zip, md5, sha1

Languages:
javascript, php

#ParsedReport #ExtractedSchema

Classified images:
code: 1, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака включала в себя развертывание программ-вымогателей StealC стиллер и Qilin через взломанный веб-сайт с использованием поддельного процесса верификации человеком. Вредоносный скрипт извлек запутанный файл JavaScript из внешнего домена и доставил NetSupport RAT, который действовал как загрузчик для StealC, с вредоносным ПО и его компонентами, сохраненными в ZIP-файле в системе жертвы. Использование тактики социальной инженерии и конкретных путей к файлам, наряду с соответствующими хэшами, выделяет критические показатели для идентификации и анализа атаки.
-----

Описанное происшествие предполагает развертывание StealC Стиллер и Qilin вымогателей с помощью взломанного веб-сайта, что заниматься пользователям с поддельным процесс проверки человека. Нападение началось, когда жертва доступ к сайту aquafestonline.com, который укрывал внедренный вредоносный скрипт. Этот скрипт отвечает за извлечение внешнего файла обфусцированный JavaScript и определены как D.Яш, от данного домена islonline.org.

В атаке использовался инструмент удаленного администрирования NetSupport (RAT) для облегчения процесса заражения. После выполнения клиент NetSupport (client32.exe ), который был доставлен в ZIP-архиве, помеченном как Loy.zip , функционировал как загрузчик для пакета StealC V2. Этот пакет, также доставленный через тот же ZIP-файл, впоследствии был сохранен в локальной файловой системе по пути c://users/public/mir2.zip . Различные хэши, связанные с этими артефактами — MD5, SHA1 и SHA256 — предоставляют исчерпывающие идентификаторы компонентов, задействованных в атаке. Примечательно, что вредоносный DLL-файл (rtworkq.dll ) был загружен для выполнения вредоносного ПО StealC.

Атака иллюстрирует многоуровневый подход, начинающийся с тактики социальной инженерии, вводящей пользователей в заблуждение, чтобы они взаимодействовали с кажущимся безобидным процессом проверки, что приводит их к выполнению вредоносного скрипта, который в конечном итоге облегчает загрузку и выполнение вредоносного ПО для кражи данных и Ransomware. Специфические пути к файлам и хэши служат критическими показателями для аналитиков при обнаружении и расследовании заражения в нацеленных системах.

#ParsedReport #CompletenessMedium
19-12-2025

TangleCrypt: a sophisticated but buggy

https://labs.withsecure.com/publications/tanglecrypt.html

Report completeness: Medium

Threats:
Tanglecrypt_tool
Edr-killer
Stonestop
Abyssworker
Byovd_technique
Qilin_ransomware
Vmprotect_tool
Poortry
Burntcigar
Code_virtualizer_tool
Heartcrypt_tool
Xworm_rat
Bloat_technique

ChatGPT TTPs:
do not use without manual check
T1027, T1027.007, T1055.012, T1068, T1543.003, T1553.006, T1562.001, T1622

IOCs:
File: 31
Hash: 37

Soft:
Visual Studio, Microsoft Defender

Algorithms:
sha256, base64, xor

Win API:
LocalHandle, GlobalSize, LoadResource, SizeofResource, decompress, VirtualAlloc, CreateProcessW, WriteProcessMemory, ResumeThread, MessageBoxA, have more...

Platforms:
x64, x86

YARA: Found

Links:
https://github.com/WithSecureLabs/iocs/blob/master/TangleCrypt/TangleCrypt\_YARA.yar
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TangleCrypt - это новый упаковщик вредоносного ПО для Windows, используемый при атаках вымогателей, работающий совместно с STONESTOP, который нарушает работу программного обеспечения безопасности, такого как Microsoft Defender, путем использования драйверов. TangleCrypt шифрует свою полезную нагрузку в разделе ресурсов PE, чтобы скрыть ее, используя минимальные методы антианализа, включая базовое шифрование строк и динамическое разрешение импорта. Он выполняет полезную нагрузку с помощью таких методов, как выделение памяти или приостановка дочерних процессов, выявляя проблемы для обнаружения и принятия контрмер в развивающихся киберугрозах.
-----

TangleCrypt - это недавно проанализированный пакет вредоносного ПО для Windows, используемый при атаках программ-вымогателей, в частности, выявленный в сочетании с EDR killer STONESTOP. STONESTOP работает путем принудительного отключения продуктов безопасности в системах либо путем использования уязвимых драйверов, либо с помощью пользовательского вредоносного драйвера. В ходе исследований, проведенных группой WithSecure STINGR, они обнаружили, что STONESTOP специально нацелен на Microsoft Defender, а также на другие антивирусные решения с различными возможностями в разных образцах.

Основная цель TangleCrypt - замаскировать фактическую полезную нагрузку внутри зараженных исполняемых файлов, используя методы, типичные для упаковщиков вредоносного ПО. Полезная нагрузка зашифрована в разделе ресурсов PE, в то время как остальная часть файла служит загрузчиком. Методы антианализа, используемые TangleCrypt, ограничены, но включают методы строкового шифрования и динамического разрешения импорта, которые затрудняют легкую идентификацию его возможностей. Анти-отладка загрузчика минимальна и предназначена для запуска исключения нарушения доступа, которое может быть обойдено опытным аналитиком.

Примечательно, что TangleCrypt компилируется без оптимизации, что приводит к bloated загрузчику, что усложняет процессы отладки. Он устраняет функции KERNEL32.DLL используя расшифрованные строки, вытекает из его зашифрованных ресурсов. Выполнение вредоносное ПО вредоносных программ варьируется; один способ выделения памяти в процессе ее через VirtualAlloc Для, в то время как другая предполагает создание процесс приостановлен ребенка писать и исполнять расшифрованы полезные данные, как показано на примерах, как 4cBh.exe' и 'b1.exe'.

Анализ выявил своеобразное поведение в конкретных образцах, таких как '4cBh.exe "сбой из-за отсутствия прав администратора, который позже был связан с TangleCrypt's обработкой среды выполнения. Традиционные функции среды выполнения C становятся критически важными в ‘b1.exe ’, который статически связан и настроен для методов внедрения, которые определяют, какой импорт заменяется TangleCrypt во время процесса загрузки.

TangleCrypt является примером продолжающейся эволюции EDR killers и их методов сокрытия вредоносных операций. Поскольку злоумышленники продолжают разрабатывать все более изощренные методологии уклонения от обнаружения и выполнения своих полезных задач, TangleCrypt является свидетельством этих проблем в современной киберзащите.

#ParsedReport #CompletenessHigh
19-12-2025

Tracing a Paper Werewolf campaign through AI-generated decoys and Excel XLLs

https://intezer.com/blog/tracing-a-paper-werewolf-campaign-through-ai-generated-decoys-and-excel-xlls/

Report completeness: High

Actors/Campaigns:
Paper_werewolf (motivation: cyber_espionage)
Stone_panda

Threats:
Echogather
Agent_tesla
Dridex
Romcom_rat

Victims:
Russian organizations

Industry:
Government

Geo:
Israel, Ukraine, Russian federation, Russian, Russia

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.003, T1105, T1137.006

IOCs:
Hash: 14
Path: 3
File: 3
Url: 3
Command: 1
IP: 6
Domain: 1

Soft:
Microsoft Excel

Algorithms:
base64, xor, sha256

Win API:
LoadLibrary, CreateProcessW, NetBIOS

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Paper Werewolf использует вредоносные файлы Excel XLL для развертывания бэкдора EchoGather, использующего функцию dllmain для скрытого выполнения полезной нагрузки при взаимодействии с пользователем. EchoGather обеспечивает удаленное выполнение команд и эксфильтрацию файлов, кодирование сообщений с помощью Base64 и управление передачей данных с помощью идентификаторов запросов. Злоумышленники продемонстрировали эволюцию в своей тактике, о чем свидетельствует инфраструктура, связанная с российскими IP-адресами, и продолжающаяся адаптация к новым механизмам доставки.
-----

Кампания Paper Werewolf создала значительную угрозу благодаря использованию вредоносных файлов Excel XLL, которые служат вектором для их бэкдора EchoGather. Файл XLL, запущенный пользователем, запускает Excel и позволяет встроенной библиотеке DLL выполнять определенные функции. В отличие от законных Надстроек XLL, этот вредоносный вариант использует функцию dllmain вместо того, чтобы полагаться на стандартные функции, такие как xlAutoOpen. Полезная нагрузка активируется, когда потоки в Excel завершаются, что обеспечивает скрытное выполнение.

EchoGather был разработан для системной разведки и связи с сервером управления (C2). Он использует кодировку Base64 для всех исходящих сообщений. Бэкдор получает команды, связанные с уникальным идентификатором запроса, который помогает управлять передачей данных в нескольких пакетах. Примечательно, что он использует жестко закодированный ключ XOR для выполнения команд, в частности, с помощью шаблона, который предполагает выполнение команд с использованием cmd.exe , при этом выходные данные отправляются обратно в C2 вместе с соответствующим идентификатором запроса.

Бэкдор поддерживает несколько функциональных возможностей, включая удаленное выполнение команд, отправку конфигурационных данных обратно в C2, эксфильтрацию файлов и удаленную запись файлов. Для эксфильтрации файлов EchoGather делит файлы на управляемые фрагменты для передачи, отправляя заголовки, которые предоставляют метаданные для каждой передачи. Возможность удаленной записи файлов позволяет бэкдору восстанавливать файлы в целевых системах на основе входящих фрагментов.

Анализ инфраструктуры показал, что домен, подключенный к этой кампании, был зарегистрирован в сентябре 2025 года и отображал различные разрешения, связанные с Cloudflare и геолокированными российскими IP-адресами. Это наводит на мысль о попытке замаскировать их деятельность, используя при этом существующую инфраструктуру для проведения операций.

Отнесение кампании к хакерской группировке Paper Werewolf подтверждается общей инфраструктурой и методами, которые отражают их предыдущие действия. Недавняя адаптация группы к использованию файлов XLL указывает на продолжающуюся эволюцию их методологий атак, намекая на двойную стратегию использования новых механизмов доставки при одновременном использовании знакомых инструментов. Наблюдаемые ошибки в исполнении и лингвистической точности подразумевают, что, хотя тактика группы совершенствуется, ее оперативная зрелость, возможно, все еще развивается, выявляя возникающие киберугрозы, нацеленные на организации, особенно в России.

#ParsedReport #CompletenessMedium
18-12-2025

Prince of Persia: A Decade of Iranian Nation-State APT Campaign Activity under the Microscope

https://www.safebreach.com/blog/prince-of-persia-a-decade-of-an-iranian-nation-state-apt-campaign-activity/

Report completeness: Medium

Actors/Campaigns:
Ferocious_kitten (motivation: cyber_espionage, financially_motivated)
Operation_mermaid (motivation: cyber_espionage)

Threats:
Foudre
Tonnerre
Maxpinner
Rugissement
Deep_freeze
Amaqfinder

Victims:
Diplomatic sector

Industry:
Government, Telco, Critical_infrastructure

Geo:
French, Iraq, Iranian, Canada, Tehran, Brazil, Danish, Germany, Turkey, India, Iran, Saudi arabia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1070.004, T1071.001, T1105, T1204.002, T1566.001, T1568.002, T1583.006

IOCs:
File: 14
Hash: 30
IP: 12
Domain: 6
Url: 5

Soft:
Telegram, Microsoft Excel, windows media player, Linux, LiteSpeed

Algorithms:
crc-32, zip

Languages:
php