#ParsedReport #CompletenessLow
15-12-2025

GhostPairing Attacks: from phone number to full access in WhatsApp

https://www.gendigital.com/blog/insights/research/ghostpairing-whatsapp-attack

Report completeness: Low

Threats:
Ghostpairing_technique

Victims:
Whatsapp users

Geo:
Czechia

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1566.002

IOCs:
Domain: 7

Soft:
WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Нападение GhostPairing подвиги связь устройств особенностью WhatsApp, позволяющую злоумышленникам получить несанкционированный доступ к аккаунтам пользователей с помощью номеров телефонов и кодов сопряжения похож на двухфакторную аутентификацию. Изначально появившись в Чехии, взломанные аккаунты, отправлять обманные сообщения со ссылками на поддельные страницы, имитирующие Facebook, запросы пользователей, чтобы проверить их личности. Этот метод атаки использует налаженные взаимоотношения пользователей, с указанием организованных усилий по субъектам опасным и предполагая, что подобные уязвимости могут существовать в механизмах сопряжения других платформ.
-----

Атака GhostPairing - это серьезная киберугроза, которая использует функцию привязки устройств WhatsApp, позволяя злоумышленникам получать несанкционированный доступ к учетным записям пользователей. Первоначально эта кампания появилась в Чехии, где скомпрометированные аккаунты отправляли контактам вводящие в заблуждение сообщения, обычно содержащие ссылку на фотографию, которая, по-видимому, отображалась как элемент Facebook в WhatsApp. Когда пользователи переходили по этим ссылкам, они попадали на минималистичную веб-страницу с логотипом Facebook, что наводило их на мысль, что для доступа к контенту им необходимо подтвердить свою личность.

В контексте переходного процесса в WhatsApp злоумышленники используют более сложный метод, связанных телефонных номеров, и коды, которые более тесно связаны с двухфакторной протоколы проверки подлинности. Этот метод является особенно опасным, так как он позволяет обойти традиционные меры безопасности без необходимости красть пароли или перехватить сообщения. Как только пользователь устройства связан, атакующему получить полный доступ эквивалентна любой легальный пользователь, используя WhatsApp Web и, таким образом предоставляя им возможность совершать различные противозаконные действия.

Что повышает эффективность кампании по поиску призраков, так это ее опора на установившееся доверие среди пользователей. Вместо рассылки спама потенциальным жертвам злоумышленники используют связи, уже присутствующие в списках контактов пользователей. Это создает ощущение знакомости и безопасности, что способствует распространению мошенничества. Кроме того, показатели указывают на то, что злоумышленники-акторы могут использовать многоразовый инструментарий, что указывает на организованное злоупотребление, а не на изолированные атаки.

Последствия атаки GhostPairing выходят за рамки одного только WhatsApp, указывая на более широкую тенденцию, когда аналогичным образом могут использоваться механизмы сопряжения устройств на различных платформах. Как показывает эта атака, меры безопасности должны эволюционировать, чтобы справляться со сложными манипуляциями с законными функциями в приложениях, подчеркивая необходимость повышенной бдительности при защите целостности учетных записей пользователей.

#ParsedReport #CompletenessLow
22-12-2025

UEFI Firmack Flaw Bypasses Early-Boot DMA Protections

https://www.secureblink.com/cyber-security-news/uefi-firmack-flaw-bypasses-early-boot-dma-protections

Report completeness: Low

TTPs:
Tactics: 7
Technics: 7

Soft:
Linux

Functions:
EnableDmaProtection, Get-WmiObject

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критическая уязвимость в прошивке UEFI связана с неправильной инициализацией модуля управления памятью ввода-вывода (IOMMU), что позволяет злоумышленникам, имеющим физический доступ, использовать вредоносные устройства PCIe для чтения и записи в системную память. Этот недостаток, возникающий из-за невозможности вызова функции EnableDmaProtection(), обеспечивает управление с высокими привилегиями и потенциальное внедрение буткитов или манипулирование точками входа в ядро. Идентифицированная как уязвимость CERT/CC, примечание VU#382314, она представляет значительные риски, особенно для общедоступных систем.
-----

В различных реализациях прошивки UEFI была выявлена критическая уязвимость, которая ставит под угрозу безопасность, обеспечиваемую модулем управления памятью ввода/вывода (IOMMU) на ранней стадии загрузки. Этот недостаток возникает из-за невозможности надлежащим образом инициализировать IOMMU, который предназначен для управления транзакциями прямого доступа к памяти (DMA) с устройств PCIe для предотвращения несанкционированного доступа к системной памяти. Без инициализации IOMMU злоумышленник, имеющий физический доступ, может развернуть вредоносное PCIe-устройство для свободного чтения и записи в системную память, потенциально извлекая конфиденциальную информацию или внедряя постоянные буткиты.

Специфика уязвимости связана с невозможностью вызова функции EnableDmaProtection() в коде UEFI. Злоумышленники-акторы могут воспользоваться этим, используя доступное программируемое Аппаратное обеспечение PCIe для создания устройства с поддержкой DMA, которое затем может изменять критически важные системные компоненты в памяти, эффективно получая контроль на высоком уровне привилегий. Это позволяет злоумышленникам вводить полезные данные в загрузчик операционной системы или манипулировать точками входа в ядро, не обнаруживаемыми стандартными мерами безопасности.

Исследование этой уязвимости, обозначенной как CERT /CC Vulnerability Note VU#382314, было инициировано исследователями Riot Games, а публичная информация была опубликована в конце декабря 2025 года. Поскольку многие поставщики Аппаратного обеспечения начинают устранять этот недостаток с помощью обновлений прошивки, администраторам важно отслеживать рекомендации поставщиков и оперативно применять исправления.

Что касается обнаружения, организации могут проводить аудит, используя такие инструменты, как fwupdmgr в Linux или другие инструменты CLI конкретного производителя, для обеспечения соответствия прошивки. Кроме того, системы, в которых параметры переназначения IOMMU/DMA включены, но неактивны, следует исследовать с помощью запросов PowerShell. Для смягчения последствий основной рекомендацией является обновление прошивки от соответствующих поставщиков Аппаратного обеспечения, наряду с мерами по ограничению физического доступа к системам, чтобы снизить риск атаки DMA.

Эта уязвимость создает значительные риски для безопасности, особенно затрагивая системы, которые являются общедоступными или расположены в небезопасных средах, что требует немедленных действий по внедрению эффективных исправлений и усилению протоколов физической безопасности вокруг критически важных компонентов Аппаратного обеспечения.

#ParsedReport #CompletenessLow
20-12-2025

Original Paper \| React2Shell Exploit Analysis Report

https://www.ctfiot.com/287795.html

Report completeness: Low

Threats:
React2shell_vuln

Victims:
Technology sector

Geo:
China, Germany

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2025-66478 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1105, T1190, T1210

IOCs:
File: 4
Hash: 5

Soft:
curl, busybox, WeChat

Languages:
javascript, java

Platforms:
x64, x86, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость React2Shell в серверных компонентах React вызвала серьезные опасения по поводу Удаленного Выполнения Кода (RCE), вызванного небезопасной десериализацией, особенно в react-server-dom-webpack. Злоумышленники воспользовались этой уязвимостью, отправив обработанные запросы с использованием данных протокола полета без аутентификации, что привело примерно к 760 386 попыткам использования в период с 4 по 17 декабря 2025 года, в основном из Германии. Метод эксплуатации включал в себя обычные инструменты командной строки, такие как curl и wget, облегчающие загрузку вредоносных полезных файлов с удаленных серверов.
-----

Уязвимость React2Shell выявила значительные проблемы, связанные с Удаленным Выполнением Кода (RCE) из-за небезопасной десериализации в компонентах сервера React, особенно в таких пакетах, как react-server-dom-webpack. Эта уязвимость позволяет злоумышленникам использовать данные протокола полета, используемые Next.js без необходимости аутентификации путем отправки специально созданных запросов.

С 4 по 17 декабря 2025 года Genuine Security отслеживала приблизительно 760 386 попыток использования этой уязвимости, причем 11 декабря число попыток заметно увеличилось, достигнув своего пика на следующий день. Большинство этих атак было совершено из Германии, на долю которой приходится 86,5% от общего числа инцидентов, за которыми следуют Китай и Соединенные Штаты.

Первоначальное обнаружение попыток эксплойта было отслежено по определенной строке пользовательского агента, которая характеризуется как "Mozilla/5.0 (аудит безопасности; CVE-2025-55182- Сканер)". Этот зонд был обнаружен 4 декабря 2025 года, когда ранние запросы начинались с пустой полезной нагрузки, которая стала действительной только после публичного раскрытия доказательства концепции. Анализ показал, что инструмент, связанный с этим пользовательским агентом, был взят из репозитория GitHub, предназначенного для поиска уязвимости.

Злоумышленники используют распространенные инструменты командной строки, такие как curl и wget, чтобы упростить процесс загрузки вредоносных полезных файлов с удаленных серверов. Этот метод не только упрощает выполнение атаки, но и сводит к минимуму необходимость в сложных настройках, тем самым повышая вероятность успешного взлома. По мере развития ландшафта угроз, окружающего React2Shell, немедленное внимание к защите уязвимых систем и мониторингу попыток таких эксплойтов имеет решающее значение для смягчения потенциальных воздействий.

#ParsedReport #CompletenessMedium
22-12-2025

Malicious Chrome Extensions Phantom Shuttle Masquerade as a VPN to Intercept Traffic and Exfiltrate Credentials

https://socket.dev/blog/malicious-chrome-extensions-phantom-shuttle

Report completeness: Medium

Actors/Campaigns:
Phantom_shuttle (motivation: information_theft)

Threats:
Mitm_technique
Supply_chain_technique
Aitm_technique

Victims:
Developers, Foreign trade personnel

Geo:
Chinese, Hong kong, China

TTPs:
Tactics: 3
Technics: 8

IOCs:
Email: 1
Domain: 1
File: 22
Url: 4
IP: 1

Soft:
Chrome, Outlook, WeChat, docker, twitter, instagram

Functions:
FindProxyForURL, Q, U, setProxyMode, jerry

Languages:
php, javascript

Links:
http://github.com

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные расширения Chrome "Phantom Shuttle" маскируются под VPN-сервисы для перехвата аутентификации через прокси-сервер и извлечения учетных данных пользователя, используя запутанный JavaScript для автоматического ввода учетных данных на различные веб-сайты. Эти расширения настраивают параметры прокси-сервера Chrome в трех режимах работы, специально ориентируясь на более чем 170 ценных доменов. Злоумышленник поддерживает непрерывное соединение с сервером управления для эксфильтрации данных, что вызывает серьезные опасения по поводу безопасности пользователей, работающих с конфиденциальной информацией.
-----

Вредоносные расширения Chrome, идентифицированные как "Phantom Shuttle", активны с 2017 года и предназначены для маскировки под законные VPN-сервисы при перехвате аутентификации через прокси-сервер для перехвата сетевого трафика и передачи учетных данных пользователя в инфраструктуру злоумышленника. Оба расширения, распространяемые одним и тем же злоумышленником, предлагают платные подписки, которые вводят пользователей в заблуждение, заставляя их полагать, что они получают законный инструмент для тестирования скорости сети.

Основная функциональность этих расширений основана на методах внедрения учетных данных, встроенных в две вредоносные библиотеки JavaScript. В частности, libraries-jquery-1.12.2.min.js и scripts.js—содержат запутанный код, который облегчает автоматическое внедрение учетных данных путем регистрации слушателей для перехвата каждого запроса HTTP-аутентификации на различных веб-сайтах.

После активации расширения динамически изменяют настройки прокси-сервера Chrome с помощью скрипта автоматической настройки прокси-сервера (PAC), который вводит три режима работы: "закрыть" (отключен), "всегда" (перенаправляет весь трафик) и "умный" (выборочно нацелен на домены с высокой стоимостью). Режим "smarty" специально нацелен на более чем 170 доменов, которые злоумышленник считает ценными, что увеличивает риск для пользователей.

Расширения поддерживают непрерывное соединение с сервером командования и контроля (C2) в phantomshuttle.space с интервалом в 60 секунд. Сервер C2, размещенный в Alibaba Cloud в Гонконге, стабильно функционировал, а история регистрации доменов свидетельствовала о постоянной преступной деятельности. Процесс эксфильтрации включает в себя несколько каналов передачи украденных данных, при этом учетные данные пользователя и токены сеанса хранятся в локальном хранилище Chrome для закрепления.

Операционный контекст вызывает серьезные опасения по поводу безопасности, особенно у пользователей, занятых в таких отраслях, как внешняя торговля или девелопмент, где конфиденциальные корпоративные данные могут быть скомпрометированы. Рекомендации для пользователей включают проверку разрешений на расширение, особенно для инструментов, связанных с VPN и прокси-серверами, и аудит установленных расширений для удаления любых ненужных.

Специалистам по безопасности рекомендуется вносить расширения в белый список, одновременно блокируя те, которые имеют опасные разрешения, и отслеживать любые расширения, которые включают модели оплаты подписки наряду с возможностями прокси-сервера. Дополнительные меры включают обнаружение любых признаков жесткого кодирования учетных данных и мониторинг подозрительных попыток аутентификации, что подчеркивает необходимость надежной сетевой защиты от таких сложных угроз. Методы атаки, используемые "Phantom Shuttle", были классифицированы по нескольким шаблонам во фреймворке MITRE ATT&CK, включая использование расширений браузера и тактику Злоумышленника посередине.

#ParsedReport #CompletenessHigh
22-12-2025

UNG0801: Tracking Threat Clusters obsessed with AV Icon Spoofing targeting Israel

https://www.seqrite.com/blog/ung0801-tracking-threat-clusters-obsessed-with-av-icon-spoofing-targeting-israel/

Report completeness: High

Actors/Campaigns:
Ung0801 (motivation: cyber_espionage)

Threats:
Pytric
Spear-phishing_technique
Rustric

Victims:
Israeli organizations, Enterprise environments

Industry:
Software_development

Geo:
Israeli, Israel, Asia

TTPs:
Tactics: 5
Technics: 12

IOCs:
File: 13
Hash: 6
Domain: 1
Url: 1
IP: 1

Soft:
PyInstaller, Outlook, Dropbox, Telegram, Microsoft Defender

Algorithms:
zip

Functions:
WriteHexToFile

Languages:
rust, visual_basic, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кластер угроз UNG0801, также известный как операция IconCat, связан с деятельностью APT, нацеленной на израильские организации, использующие методы фишинга на иврите для распространения вредоносного ПО. Кампания PYTRIC использует значок вредоносной контрольной точки для развертывания вредоносного ПО на основе Python, которое может стирать системную информацию, в то время как RUSTRIC использует значок SentinelOne для имплантата на основе Rust, который перечисляет антивирусные системы. Обе кампании используют Целевой фишинг с использованием, казалось бы, безобидных документов для заражения систем, используя тактику, соответствующую платформе MITRE ATT&CK.
-----

Кластер угроз UNG0801, идентифицированный SEQRITE Labs, связан с активностью по борьбе с сложными целенаправленными угрозами (APT), направленной против израильских организаций. Эта хакерская группировка использует социально сконструированные методы фишинга, в основном на иврите, для облегчения своих атак, Маскировки своих сообщений под законные внутренние обновления, связанные с соблюдением требований или корпоративными вебинарами.

В рамках этого кластера были проанализированы две кампании, в совокупности называемые операцией IconCat. Первая кампания, идентифицированная как PYTRIC, использует вредоносные программы, которые подделывают значок защиты от вредоносного ПО Check Point для доставки вредоносного ПО на основе Python. Вторая кампания, RUSTRIC, использует значок защиты от вредоносного ПО SentinelOne для развертывания имплантата на основе Rust. Оба вредоносных ПО поставляются в комплекте для имитации законных приложений: PYTRIC разработан с помощью PyInstaller, а RUSTRIC создан в Rust.

Вектор заражения начинается с электронных писем с Целевым фишингом, которые служат точками входа для вредоносного ПО. Электронные письма выдают себя за законных лиц, причем в первой кампании используется PDF-файл под названием "help.pdf", который направляет жертв к поддельному "Сканеру безопасности", в то время как во второй кампании используются вложения типа "Webinar.doc " и "Webinar.zip ." Эти документы созданы для того, чтобы казаться безвредными, но содержат вредоносный контент, предназначенный для снижения дополнительной полезной нагрузки на систему жертвы.

Технические оценки показывают, что вредоносное ПО PYTRIC после запуска может стирать системную информацию и выполнять команды с помощью Инструментария управления Windows(WMI). Между тем, RUSTRIC implant известен своей способностью обнаруживать и перечислять около 28 антивирусных систем и систем обнаружения конечных точек путем изучения путей к файлам и индикаторов процессов.

Обе кампании демонстрируют сходство в своих операционных схемах, особенно в использовании логотипов надежных антивирусов для социальной инженерии, которая облегчает внедрение вредоносного ПО. Описанные IOCS и методы соответствуют платформе MITRE ATT&CK с соответствующими тактиками, включая Целевой фишинг с помощью вредоносных вложений, Выполнение с участием пользователя вредоносных файлов и тактику уклонения, которая включает Маскировку и запутывание. Оба имплантата пытаются подключиться к инфраструктуре командования и контроля, используя стандартные Веб-протоколы, что указывает на структурированный подход в их методологии атаки.

#ParsedReport #CompletenessMedium
22-12-2025

Crimson RAT Delivered via Malicious Excel

https://malwr-analysis.com/2025/12/23/crimson-rat-delivered-via-malicious-excel/

Report completeness: Medium

Actors/Campaigns:
Transparenttribe

Threats:
Crimson_rat

Victims:
Government sector, Defense sector, Education sector

TTPs:
Tactics: 6
Technics: 11

IOCs:
File: 33
Hash: 2
Path: 2
IP: 1
Registry: 2

Soft:
Microsoft Excel, Microsoft Office, Microsoft Visual Studio

Algorithms:
zip, md5

Functions:
userAldiLoadr, ar1Aldi, btsAldi, dhrwarhsavserverIPD, dhrwarhsavget_command, dhrwarhsavload_app

Win API:
GetCursorInfo, DrawIcon

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Crimson RAT, троян удаленного доступа (RAT), распространяется через вредоносные документы Excel, которые используют макросы Microsoft Office. Относящийся к хакерской группировке APT36, этот RAT после установки обеспечивает удаленный доступ, выполнение команд и эксфильтрацию данных. Использование макросов в качестве механизма доставки подчеркивает постоянный риск нацеленных атак, подчеркивая необходимость того, чтобы организации сохраняли бдительность в отношении таких методов.
-----

Недавно было замечено, что Crimson RAT, троян удаленного доступа (RAT), распространяется через вредоносные документы Excel, которые используют макросы Microsoft Office в качестве основного метода заражения. Этот метод подчеркивает устойчивую зависимость от документов с поддержкой макросов в качестве механизма доставки вредоносного ПО, особенно при нацеленных атаках. Использование Crimson RAT было приписано APT36, также известной как Transparent Tribe, хакерской группировке, которая ранее была нацелена на конкретные организации и секторы.

При запуске зараженного файла Excel вредоносные макросы запускают последовательность действий, предназначенную для загрузки и установки RAT в систему жертвы. После ввода в эксплуатацию Crimson RAT предоставляет злоумышленникам удаленный доступ и контроль над взломанной машиной, позволяя им выполнять команды, извлекать данные и проводить дальнейшую разведку. Такое поведение делает его ценным инструментом для злоумышленников, стремящихся облегчить шпионаж и собрать конфиденциальную информацию от нацеленных лиц или организаций.

Продолжающееся использование Crimson RAT подчеркивает острую необходимость в мерах кибербезопасности, которые сосредоточены на настройках макробезопасности в приложениях Microsoft Office. Пользователям и организациям рекомендуется поддерживать обновленные антивирусные решения, внедрять строгие макрополитики и информировать персонал о рисках, связанных с открытием неожиданных или ненадежных документов. Поскольку злоумышленники продолжают совершенствовать свои методы, бдительность и стратегии проактивной защиты остаются важнейшими в противодействии таким угрозам.

#ParsedReport #CompletenessLow
22-12-2025

GamaWiper Explained: Gamaredon s "New" Anti-Analysis Weapon

https://blog.synapticsystems.de/gamawiper-explained-gamaredon-anti-analysis/

Report completeness: Low

Actors/Campaigns:
Gamaredon
Pterodograph

Threats:
Gamawiper
Litterdrifter
Gamaload

Victims:
Ukraine

Geo:
Ukrainian, Ukraine

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1053, T1071.001, T1105, T1497.001, T1547, T1568

IOCs:
Hash: 1
File: 2

Soft:
Telegram, budget cuts

Algorithms:
sha256, base64

YARA: Found

Links:
have more...
https://github.com/Mr128Bit/apt-malware-samples/blob/main/Russia/Gamaredon/GamaLoad.vbs
https://github.com/Mr128Bit/apt-malware-samples/blob/main/Russia/Gamaredon/GamaWiper.vbs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Gamaredon активизировала свои кибероперации против Украины с помощью кампании PterodoGraph, представив новый инструмент антианализа под названием GamaWiper, чтобы помешать проверке вредоносного ПО. Их метод заражения включает в себя развертывание образца Pterodo, который сохраняется в украинских системах, при этом используется многоступенчатая система доставки полезной нагрузки с динамически создаваемыми HTTP-заголовками, чтобы избежать обнаружения. Кроме того, они часто меняют полезную нагрузку каждые один-три часа, что усложняет анализ и повышает их оперативную безопасность.
-----

Недавние действия группы Gamaredon указывают на возрождение их киберопераций, особенно сосредоточенных на Украине в рамках их кампании PterodoGraph. Это возобновление активности свидетельствует о значительных изменениях в их вредоносном ПО и методах атак, в частности, с внедрением нового инструмента антианализа под названием GamaWiper. Этот инструмент предназначен для нацеливания и нейтрализации сред анализа, в первую очередь путем нарушения их функциональности и предотвращения углубленного изучения вредоносного ПО.

Процесс заражения остается аналогичным предыдущим итерациям. После извлечения и запуска архива RAR вредоносное ПО приводит к установке образца Pterodo, который повторно запускается при перезагрузке системы, но только в системах, геолокированных в Украине. Такой нацеленный подход позволяет Gamaredon концентрировать свои усилия на конкретных регионах, что делает их атаки более эффективными.

Начальный загрузчик для этой операции, получивший название GamaLoad, использует сложную многоступенчатую систему доставки полезной нагрузки, которая использует динамически создаваемые URL-адреса и заголовки для обеспечения устойчивости и постоянного доступа к полезной нагрузке второго этапа. Эта устойчивость дополнительно продемонстрирована в их архитектуре командования и контроля (C2), которая сохраняет все обнаруженные серверы C2 в качестве постоянных записей для дальнейшего обмена данными.

Одной из примечательных тактик, используемых Gamaredon, является манипулирование заголовком Content-Length в HTTP-запросах. Этот заголовок стратегически используется не только для идентификации и отслеживания жертв, но и для уклонения от аналитических установок, особенно тех, которые работают через прокси. Наблюдаемая манипуляция заголовком предполагает преднамеренный метод ограничения обнаружения фреймворками анализа безопасности.

Кроме того, Gamaredon демонстрирует надежную стратегию ротации полезной нагрузки, меняя ее примерно каждые один-три часа. Такая тактика снижает вероятность успешного изучения аналитиком их вредоносного ПО и помогает поддерживать общую секретность и эффективность их операций. В целом, эти события указывают на заметное усиление оперативных мер безопасности Gamaredon, что еще больше усложняет задачу специалистов по кибербезопасности, работающих над противодействием их деятельности.