#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Акции ClawHavoc возбуждено программного обеспечения цепочка поставок нападение на OpenClaw экосистему ИИ ущерба ClawHub мастерство реестра с 341 вредоносное ПО кишащие плагинам. С использованием социальной инженерии, злоумышленники обманом пользователей в установке "AuthTool," что позволило Amos Stealer извлекать конфиденциальные данные. Этот инцидент обнажает значительную уязвимость безопасности в рамках проекта OpenClaw, подчеркивая риски, связанные с нерегулируемым стороннего кода в средах агентов ИИ.
-----

Кампания ClawHavoc нацелена на экосистему OpenClaw AI assistant посредством масштабной атаки на Цепочку поставок программного обеспечения, в результате которой реестр навыков ClawHub был скомпрометирован 341 вредоносным плагином. В этих скоординированных усилиях, обнаруженных Koi Security, эффективно использовались сложные методы социальной инженерии для распространения вредоносного ПО, похищающего информацию, среди тысяч пользователей. Атака воспользовалась открытой и плохо модерируемой средой ClawHub и быстро развернулась в течение недели.

Злоумышленники разработали свои вредоносные навыки таким образом, чтобы они точно имитировали законные утилиты, в комплекте с профессиональной документацией, которая включала вводящий в заблуждение раздел "Предварительные требования", инструктирующий пользователей устанавливать якобы необходимый инструмент под названием "AuthTool". Как только этот инструмент был установлен, он позволил AMOS stealer отфильтровать обширный массив конфиденциальной информации, значительно угрожая целостности как личных, так и профессиональных данных.

Кампания ClawHavoc продемонстрировала высокий уровень организации и использовала ряд тактик уклонения, чтобы сохранить скрытность при проведении атаки. Инцидент является не просто изолированным событием, он выявляет более широкие уязвимости в проекте OpenClaw, которые эксперты критически охарактеризовали как "пожар в мусорном контейнере безопасности". Это указывает на системные недостатки в архитектуре безопасности развивающегося инструмента искусственного интеллекта с открытым исходным кодом.

Чтобы снизить риски, связанные с этой атакой, пользователям и организациям рекомендуется использовать предустановочное сканирование с использованием таких инструментов, как сканер Koi Security Clawdex, для проверки навыков перед установкой. Рекомендуется запускать OpenClaw в изолированной среде, такой как виртуальная машина или песочница, чтобы ограничить потенциальное распространение вредоносного ПО. Пользователи должны использовать AI assistant в соответствии с принципами наименьших привилегий, избегая административных прав и ограничивая ненужный доступ к файловым системам и сетям. Кроме того, организациям настоятельно рекомендуется проводить аудит и разрешать использовать только необходимые и проверенные навыки, избегая публичных рынков для критически важных функций, одновременно внедряя мониторинг сети для обнаружения любых несанкционированных подключений к известным вредоносным инфраструктурам.

Инцидент с ClawHavoc подчеркивает, что экосистемы агентов искусственного интеллекта стали главными мишенями для продвинутых атак по Цепочке поставок, где сочетание широкого доступа к системе, постоянного сохранения памяти и опоры на ненадежный сторонний код представляет существенные риски. Сообщество должно отреагировать, внедрив строгие протоколы безопасности, такие как Подписей исполняемого кода, автоматическое сканирование реестра и расширенное обучение пользователей, для устранения этих уязвимостей и обеспечения расширяемости ИИ.

#ParsedReport #CompletenessMedium
04-02-2026

Breaking AppSec Myths - Obfuscated Packages

https://jfrog.com/blog/breaking-appsec-myths-obfuscated-packages/

Report completeness: Medium

Threats:
Pyarmor_tool
Pyobfuscate_tool
Hyperion_tool
Confuserex_tool
Shai-hulud
Credential_harvesting_technique

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.007, T1140

IOCs:
Domain: 1
File: 5

Algorithms:
exhibit, base64

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследовательская группа JFrog по безопасности выделяет риски, связанные с запутанными пакетами в программных экосистемах, отмечая, что вредоносные акторы используют такие инструменты, как "javascript-obfuscator", "js-confuser", "pyarmor" и "hyperion", для усложнения анализа кода, что затрудняет обнаружение вредоносного поведения. Вредоносные методы запутывания часто приводят к агрессивному переименованию переменных и непрозрачным потокам управления, которые препятствуют деобфускации и анализу. Хотя по своей сути обфускация и не является вредоносной, она служит потенциальным индикатором более глубоких угроз, требующих тщательного расследования, а не прямой классификации как вредоносных.
-----

Исследовательская группа JFrog по безопасности постоянно отслеживает различные экосистемы пакетов на предмет вредоносных действий, уделяя особое внимание запутанным пакетам, которые могут скрывать вредоносную логику. Методы обфускации обычно используются в веб-разработке для сжатия и упаковки целых скриптов с использованием таких инструментов, как uglify-js, но в вредоносных контекстах они могут значительно усложнить анализ.

Выделено несколько специфических инструментов обфускации, в том числе "javascript-obfuscator", который использует различные преобразования, чтобы сделать код JavaScript менее читаемым, и "js-confuser", который аналогичным образом скрывает код, применяя блокировки выполнения на основе домена или времени. Для скриптов на Python такие инструменты, как "pyarmor" и "pyobfuscate", используются для шифрования кода и изменения форматирования, в то время как "hyperion" сжимает код с помощью zlib, чтобы уменьшить размер файла. Каждый из этих инструментов эффективен для того, чтобы усложнить анализ кода и увеличить сложность различения законных и злонамеренных намерений.

В то время как обфускация не является изначально злым, это создает серьезные проблемы для обнаружения угроз. Автоматическая маркировка затемненный пакетами как вредоносные может привести к росту уровня ложных срабатываний, игнорируя запутывания вполне может привести видом подлинных угроз. Показатели вредоносного действия могут включать в себя неожиданные выполнение кода, данных эксфильтрация, закрепление сохранение, управление коммуникаций и разрушительные операции.

Примерами вредоносной обфускации являются пакеты-стиллеры информации, использующие агрессивное переименование переменных и непрозрачные потоки управления, которые делают код практически нечитаемым, делая попытки деобфускации неэффективными. Пакеты управления "Коалемос" (C2) также являются примером сильной запутанности, которая серьезно ограничивает ручной анализ. И наоборот, законное использование запутывания можно увидеть в univer.ai Профессиональный пакет npm, в котором защита кода соответствует стандартным отраслевым практикам, а не злонамеренному намерению.

Чтобы эффективно справляться с рисками, связанными с запутыванием, решения для обнаружения вредоносного ПО должны рассматривать это как сигнал для более тщательного расследования, а не как окончательный показатель вредоносного поведения. Понимание законности обфускации предполагает анализ связанных с этим факторов, таких как лицензирование, количество скачиваний и происхождение пакета. В целом, хотя многие обфускированные пакеты являются безвредными, обфускация остается инструментом, который может быть использован для атак с высокой степенью воздействия на Цепочку поставок, что подчеркивает необходимость тщательной оценки кибербезопасности.

#ParsedReport #CompletenessHigh
04-02-2026

Hunting Lazarus Part III: The Infrastructure That Was Too Perfect

https://redasgard.com/blog/hunting-lazarus-part3-infrastructure-too-perfect

Report completeness: High

Actors/Campaigns:
Lazarus
Contagious_interview
Gamaredon

Threats:
Ottercookie
Beavertail
Invisibleferret
Smuggling_technique
Winrm_tool
Polyglot_technique
Dead_drop_technique
Xmrig_miner
Tsunami_framework
Supply_chain_technique

Victims:
Cryptocurrency sector, Software developers, Blockchain sector

Industry:
Education, Financial, Government

Geo:
Russian, North korean, American, Dprk

CVEs:
CVE-2022-24999 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qs_project qs (<6.2.4, <6.3.3, <6.5.3, <6.7.3, <6.8.3)

CVE-2020-7699 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- express-fileupload_project express-fileupload (<1.1.8)

CVE-2017-16026 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- request_project request (<2.47.0, le2.67.0)


TTPs:
Tactics: 4
Technics: 19

IOCs:
File: 10
IP: 12
Hash: 1
Registry: 2

Soft:
VSCode, macOS, Linux, virtualbox, qemu, xen, Hyper-V, IndexedDB, Node.js, Chrome, have more...

Wallets:
metamask, keplr, tonkeeper, coinbase, rabby, safepal, tronlink, trezor

Crypto:
binance

Algorithms:
xor

Functions:
Get-ItemProperty, Get-ScheduledTask, Get-Process, captureAllMonitors

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи выявили новое семейство вредоносных ПО под названием OtterCookie, связанное с группой Lazarus, нацеленное на 27 браузерных расширений для криптовалютных кошельков, что значительно больше, чем у его предшественника, BeaverTail. Сложная инфраструктура C2 OtterCookie's использует HTTP и пользовательские сокеты, обеспечивая надежную защиту от попыток атак, включая серверы-призраки, предназначенные для уклонения. Ключевые функции OtterCookie включают в себя кейлоггер, Захват экрана, механизмы закрепления и продвинутые методы уклонения, представляющие значительную угрозу для пользователей криптовалюты.
-----

В ходе анализа инфраструктуры группы Lazarus исследователи выявили новое семейство вредоносных ПО под названием OtterCookie, которое обладает отличными характеристиками и возможностями по сравнению с ранее известным вариантом BeaverTail. OtterCookie нацелен на 27 различных браузерных расширений для криптовалютных кошельков, что значительно расширяет возможности BeaverTail's по сравнению всего с 2-3 целями. Инфраструктура командования и контроля (C2), используемая OtterCookie, работает на более обширной поверхности конечных точек. Он использует такие протоколы, как HTTP и пользовательские сокеты, подчеркивая сложный уровень функциональности, включая механизмы обнаружения виртуальных машин и закрепления, которые позволяют повторно запускать вредоносное ПО.

Исследование выявило около 20 серверов-призраков, которые не были занесены ни в одну из общедоступных баз данных по разведке угроз. Эти серверы обладают похожими конфигурациями по несколько портов, содействие в обе OtterCookie и beavertail расфокусированный из той же инфраструктуры. Распространенные порты включают тех, для FTP, HTTP и таможни связь С2, что свидетельствует о правильно организованной архитектуры разработан, чтобы избежать обнаружения.

Несмотря на попытки использовать уязвимости в инфраструктуре C2, исследователи обнаружили, что она исключительно безопасна. Они не обнаружили уязвимостей, которые можно было бы использовать при различных классах атак. Примечательно, что все их контрабанды smuggling и десериализации попытки не увенчались успехом, отражающие закаленной безопасность редко рассматривается в уголовном инфраструктуры, в том числе известных хакерских групп. Использование ограничения скорости, в то время как легко обойти, добавили еще один уровень сложности для потенциальных эксплуатации. Исследовательская группа предположила, что эта инфраструктура может быть даже контрразведывательной операции, призванной следить зондирование попытки исследователей.

При оценке вредоносного ПО было подтверждено, что OtterCookie обладает такими функциями, как кейлоггер, возможность Захвата экрана, механизмы закрепления и продвинутые методы обхода, нацеленные на виртуальные машины. OtterCookie обеспечивает непрерывную эксфильтрацию данных в указанную конечную точку, что делает его серьезной угрозой для пользователей с криптоактивами. Организациям рекомендуется блокировать индикаторы компрометации (IOCs), связанные с обоими семействами вредоносного ПО, и сохранять бдительность в отношении потенциальных рисков, создаваемых скомпрометированными платформами.

#ParsedReport #CompletenessMedium
04-02-2026

New year, new sector: Transparent Tribe targets Indias startup ecosystem

https://www.acronis.com/en/tru/posts/new-year-new-sector-transparent-tribe-targets-indias-startup-ecosystem/

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Crimson_rat
Ares_rat
Allakore_rat
Getarat
Deskrat
Credential_harvesting_technique
Spear-phishing_technique
Motw_bypass_technique
Gymrat

Victims:
Startups, Cybersecurity sector, Government, Defense, Diplomatic, Research

Industry:
Military, Education, Government

Geo:
Pakistan, Indian, Asia, India, Afghanistan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.007, T1059, T1059.003, T1202, T1204.001, T1204.002, T1547, T1566.001, T1588.001, have more...

IOCs:
File: 10
Hash: 5
IP: 1
Domain: 1

Soft:
twitter

Algorithms:
md5, zip, exhibit

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 12, dump: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Transparent Tribe (APT36) переключила свое внимание на экосистему индийских стартапов, особенно в области кибербезопасности, используя обманчивую тактику Целевого фишинга с помощью ISO-файла с именем MeetBisht.iso . Этот файл содержит вредоносный ярлык, Meet Bisht.xlsx.lnk, который запускает пакетный скрипт, запускающий Crimson RAT, Trojan. для удаленного доступа на базе .NET. Кампания использует заслуживающие доверия документы-приманки и использует такие методы, как намеренные орфографические ошибки в именах файлов, что повышает ее скрытность и усложняет обнаружение при маршрутизации сообщений через сервер управления в Канзас-Сити.
-----

Transparent Tribe, также известная как APT36, представляет собой шпионскую группу, связанную главным образом с государственными интересами, нацеленную на страны Южной Азии, в частности Индию и Афганистан. Последние разведданные свидетельствуют о стратегическом повороте в сторону индийской экосистемы стартапов, особенно в секторе кибербезопасности. Этот сдвиг очевиден в недавно выявленной кампании, которая использует обманчивые материалы на тему стартапов для заманивания жертв, распространяемые в формате ISO-файла.

Атака инициируется с помощью электронных писем с Целевым фишингом, содержащих ISO-образ с именем MeetBisht.iso . Этот ISO-файл специально разработан таким образом, чтобы казаться релевантным получателю, часто ссылаясь на владельца нацеленного стартапа. В ISO злоумышленники встраивают вредоносный файл быстрого доступа с именем Meet Bisht.xlsx.lnk, который после выполнения активирует пакетный скрипт, который служит как средством запуска, так и механизмом закрепления. Этот скрипт впоследствии запускает Crimson RAT, троянца удаленного доступа на базе .NET, замаскированного под законный исполняемый файл, что еще больше повышает шансы на успешную эксплуатацию.

Технический анализ кампании выявил использование документа-приманки наряду с вредоносными компонентами, направленное на повышение доверия к приманке. Конкретный материал-приманка был привязан к стартапу, специализирующемуся на OSINT, предполагая, что Transparent Tribe манипулирует общедоступной информацией для создания правдоподобных сценариев, несмотря на то, что не подразумевает прямого нацеливания на конкретных людей или организации.

Полезная нагрузка Crimson RAT особенно примечательна из-за ее завышенного размера файла, достигаемого за счет вставки значительных объемов мусорных данных в ее ресурсы, что усложняет усилия по обнаружению. Было обнаружено, что связь со скомпрометированными системами направлялась через сервер управления, расположенный в Канзас-Сити, что выявило базовую инфраструктуру предыдущих кампаний, связанных с этой группой.

Более того, использование имен файлов с намеренными орфографическими ошибками, таких как "Evidence.pdf.lnk", не только демонстрирует закономерность в деятельности группы, но и предоставляет аналитикам возможность сопоставлять активность в различных кампаниях для более точной атрибуции. Благодаря этой кампании Transparent Tribe демонстрирует эволюцию своей стратегии таргетинга, расширяя свое внимание и охватывая новые технологические секторы, которые становятся важнейшими объектами разведки наряду с традиционными государственными секторами. Этот сдвиг указывает на глубокое понимание меняющегося ландшафта угроз и адаптивность тактики для использования уязвимостей в новых областях.

#ParsedReport #CompletenessMedium
04-02-2026

Hunting Lazarus Part II: When the Dead Drop Moved to the Blockchain

https://redasgard.com/blog/hunting-lazarus-part2-blockchain-dead-drop

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview
Kimsuky
Winnti

Threats:
Dead_drop_technique

Victims:
Blockchain sector, Web3 developers, Software developers

Industry:
Financial

TTPs:
Tactics: 4
Technics: 6

IOCs:
Coin: 2
File: 10
IP: 7
Hash: 3

Soft:
Node.js, VSCode, VirtualBox, 1Password, LastPass, Bitwarden, KeePass, DashLane, Chrome, Firefox, Tor Browser, have more...

Wallets:
metamask, coinbase, keplr

Crypto:
binance

Algorithms:
sha256

Functions:
The, getMemo, configureCollection, Function

Win API:
Polygon

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus усовершенствовала свою тактику командования и контроля (C2), используя технологию блокчейн, в частности, используя контракты Polygon NFT для хранения вредоносного JavaScript. Такой подход позволяет создавать постоянные и воспроизводимые полезные нагрузки, отходя от уязвимых традиционных методов. Их многоэтапное внедрение вредоносного ПО включает троян удаленного доступа (RAT), который часто взаимодействует с C2 и нацелен на различные криптовалютные кошельки и Менеджеры паролей, используя известные уязвимости, такие как слабые секреты подписи JWT, и используя законные Облачные сервисы для дальнейшего запутывания.
-----

Расследование недавней тактики группы Lazarus выявило значительные успехи в использовании ими технологии блокчейн для операций командования и контроля (C2). Исследовательская группа Red Asgard по изучению угроз заметила несколько ключевых элементов этого нового подхода. Примечательно, что группа использовала контракты Polygon NFT для хранения вредоносного JavaScript, подчеркивая возможности блокчейна для создания неизменяемых и реплицируемых полезных нагрузок, которые сложно нарушить. Это позволило им отказаться от традиционных методов, таких как Закладка с данными (DDR) учетных записей на Pastebin, которые были заблокированы; таким образом, они искали альтернативы, которые менее подвержены блокировке или изъятию.

Природа их тактики социальной инженерии заключалась в обманчивом распространении информации, использовании LinkedIn, чтобы представить себя как возможности для разработки блокчейна, эффективно завоевывая доверие благодаря предполагаемым бизнес-достижениям и реалистичным презентациям проектов. Предположительно, цель убедили принять участие в демонстрации прямого выполнения кода, демонстрируя уверенность злоумышленников в своей настройке, при этом избегая действий, которые могли бы разоблачить их злонамеренные намерения.

С технической точки зрения, вредоносное ПО, разработанное группой Lazarus, основано на сложной многоэтапной стратегии развертывания. Первоначальная полезная нагрузка устанавливает функциональность трояна удаленного доступа (RAT), который взаимодействует с C2 каждые пять секунд, получая ряд дополнительных модулей. Примечательно, что стиллер информации объемом 72 КБ нацелен на множество расширений криптовалютных кошельков, многочисленные Менеджеры паролей и различные веб-браузеры, что отражает широкий охват работы.

Новая инфраструктура C2 указывает на эволюцию в том, как работают эти злоумышленники, поскольку они используют законные Облачные сервисы, такие как Vercel, для размещения своих операций, что усложняет усилия по обнаружению и реагированию. Вредоносное ПО добавляет уровень сложности, используя известные уязвимости, такие как секреты подписи JWT, которые были особенно уязвимы при установке значений по умолчанию, позволяя злоумышленникам беспрепятственно подделывать токены.

Обнаружения и смягчения его последствий в отношении этих меняющейся тактики включают аудита файлов развития показателей угона сценарий, блокируя вредоносные ИПС С2 через правила брандмауэра, и мониторинг запросов сервере для блокчейн-узлов, особенно от не Web3 приложений. Кроме того, тактика сопоставляются в рамках Митре АТТ&КФК, подробно, как действия группы совпадают с установленными фишинг фишинг и векторы исполнения.

Таким образом, переход группы Lazarus на блокчейн DDR представляет собой значительный сдвиг в их операционной устойчивости, создавая серьезные проблемы для защитников, которые должны адаптироваться ко все более сложным и децентрализованным стратегиям C2.

#ParsedReport #CompletenessMedium
04-02-2026

Silent Push Identifies More Than 10,000 Infected IPs as Part of SystemBC Botnet Malware Family

https://www.silentpush.com/blog/systembc/

Report completeness: Medium

Threats:
Systembc
Droxidat

Industry:
Government

Geo:
Singapore, France, Africa, Vietnamese, India, Russian, Vietnam, Germany

IOCs:
Domain: 1
IP: 14
Hash: 3

Soft:
Linux, WordPress

Algorithms:
rc4, sha256

Languages:
perl

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, table: 1

#ParsedReport #CompletenessHigh
04-02-2026

Amaranth-Dragon: Weaponizing CVE-2025-8088 for Targeted Espionage in the Southeast Asia

https://research.checkpoint.com/2026/amaranth-dragon-weaponizes-cve-2025-8088-for-targeted-espionage/

Report completeness: High

Actors/Campaigns:
Amaranth-dragon (motivation: cyber_espionage, cyber_criminal)
Winnti (motivation: cyber_espionage, cyber_criminal)

Threats:
Amaranth_loader
Cryptopp_tool
Havoc
Amaranth_rat
Dodgebox
Dustpan
Dusttrap
Dll_sideloading_technique
Process_injection_technique
Spear-phishing_technique

Victims:
Government, Law enforcement, Police, Philippines coast guard

Industry:
Critical_infrastructure, Government

Geo:
China, Asian, Philippines, Chinese, Laos, Cambodia, Singapore, Philippine, Indonesia, Asia, Thailand

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 8
Technics: 13

IOCs:
File: 13
Hash: 62
Path: 2
Command: 2
Registry: 1
Url: 22
Domain: 5
IP: 10

Soft:
dropbox, Telegram, Windows Defender

Wallets:
harmony_wallet

Algorithms:
gzip, rc4, aes, xor, aes-cbc, zip, deflate

Functions:
NUL, CreateWzAddrBook

Win API:
VirtualAlloc, ConvertThreadToFiber, CreateFiber, SwitchToFiber, InternetOpenA, GetProcAddress, DebugActiveProcess, ReadProcessMemory

Win Services:
WebClient

Languages:
python, powershell

Platforms:
x86, x64

YARA: Found

Links:
https://github.com/zero2504/Anti-Debugging
https://github.com/HavocFramework/Havoc
have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Amaranth-Dragon, APT-группировка, связанная с APT-41, проводила нацеленные кампании кибершпионажа в Юго-Восточной Азии, используя уязвимость WinRAR CVE-2025-8088 для выполнения кода через вредоносные архивы RAR. Их операции включают использование пользовательского инструмента Amaranth Loader и TGAmaranth RAT, использующего Telegram для командования и контроля, а также социальную инженерию и легальные сервисы для скрытности. Тактика группы подчеркивает дисциплинированный подход и быструю адаптацию к новым уязвимостям, что указывает на сложный ландшафт угроз.
-----

Amaranth-Dragon, APT-группировка, связанная с APT-41, провела нацеленные кампании кибершпионажа по всей Юго-Восточной Азии в 2025 году, в первую очередь против правительственных и правоохранительных органов. Операции группы совпадают со значительными геополитическими событиями в регионе, что служит тактикой для увеличения их шансов на успешное проникновение. Примечательно, что они использовали недавно раскрытую уязвимость WinRAR, CVE-2025-8088, позволяющую им использовать вредоносные архивы RAR для выполнения кода и закрепления в системах-жертвах. Эта уязвимость была раскрыта 8 августа 2025 года, и всего несколько дней спустя Amaranth-Dragon интегрировала ее в свои кампании, что ознаменовало бы быструю адаптацию к новым доступным эксплойтам.

Группа использует специальный инструмент, известный как загрузчик амаранта, которая обеспечивает зашифрованную полезную нагрузку и, в основном развертывает Havoc управление рамок (С2). Их деятельность характеризуется использованием законных таких услуг, как Dropbox и демонстрируют неординарный подход для сохранения скрытности, серверы С2 гео-ограничено, только отвечает на запросы от конкретных странах для минимизации непреднамеренных инфекций. Новый троян удаленного доступа (RAT) по имени TGAmaranth также выявлено, в которой работают телеграмма канал С2, что свидетельствует о тенденции к использованию популярных платформ связи для целей командования и управления.

Атаки Amaranth-Dragon были тщательно спланированы, с особым акцентом на темы, связанные с местными событиями, такими как кампания против филиппинской береговой охраны в честь ее 124-й годовщины. Они также использовали тактику социальной инженерии, выдавая себя за официальные организации, такие как "Администрация президента". В своих ранних кампаниях, до внедрения CVE-2025-8088, они использовали традиционные средства, такие как ZIP-файлы, содержащие файлы сценариев для запуска их загрузчика.

Набор инструментов группы демонстрирует заметное сходство с методами, ранее связанными с APT-41, включая DLL sideloading и другие методы, используемые в известных кампаниях. Определенные характеристики, такие как использование логики, основанной на времени, и специфических файловых артефактов, служат показателями дисциплинированной оперативной группы, работающей в рамках времени UTC+8. Возможности TGAmaranth RAT, которые включают функции защиты от обнаружения в системах обнаружения конечных точек и реагирования (EDR), еще больше подчеркивают техническое мастерство задействованных злоумышленников.

Таким образом, деятельность Amaranth-Dragon подчеркивает сложный ландшафт угроз, в котором уязвимости, подобные CVE-2025-8088, быстро используются в целях шпионажа. Операции группы подчеркивают необходимость для организаций, особенно в критически важных секторах, совершенствовать свои защитные механизмы, уделять приоритетное внимание своевременному устранению уязвимостей и поддерживать повышенную осведомленность о меняющихся тактиках и методах атак. Использование передовых методов для поддержания оперативности и эффективности служит напоминанием о постоянных рисках, создаваемых хорошо обеспеченными ресурсами злоумышленниками в сегодняшнем геополитическом климате.