#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Transparent Tribe (APT36) переключила свое внимание на экосистему индийских стартапов, особенно в области кибербезопасности, используя обманчивую тактику Целевого фишинга с помощью ISO-файла с именем MeetBisht.iso . Этот файл содержит вредоносный ярлык, Meet Bisht.xlsx.lnk, который запускает пакетный скрипт, запускающий Crimson RAT, Trojan. для удаленного доступа на базе .NET. Кампания использует заслуживающие доверия документы-приманки и использует такие методы, как намеренные орфографические ошибки в именах файлов, что повышает ее скрытность и усложняет обнаружение при маршрутизации сообщений через сервер управления в Канзас-Сити.
-----

Transparent Tribe, также известная как APT36, представляет собой шпионскую группу, связанную главным образом с государственными интересами, нацеленную на страны Южной Азии, в частности Индию и Афганистан. Последние разведданные свидетельствуют о стратегическом повороте в сторону индийской экосистемы стартапов, особенно в секторе кибербезопасности. Этот сдвиг очевиден в недавно выявленной кампании, которая использует обманчивые материалы на тему стартапов для заманивания жертв, распространяемые в формате ISO-файла.

Атака инициируется с помощью электронных писем с Целевым фишингом, содержащих ISO-образ с именем MeetBisht.iso . Этот ISO-файл специально разработан таким образом, чтобы казаться релевантным получателю, часто ссылаясь на владельца нацеленного стартапа. В ISO злоумышленники встраивают вредоносный файл быстрого доступа с именем Meet Bisht.xlsx.lnk, который после выполнения активирует пакетный скрипт, который служит как средством запуска, так и механизмом закрепления. Этот скрипт впоследствии запускает Crimson RAT, троянца удаленного доступа на базе .NET, замаскированного под законный исполняемый файл, что еще больше повышает шансы на успешную эксплуатацию.

Технический анализ кампании выявил использование документа-приманки наряду с вредоносными компонентами, направленное на повышение доверия к приманке. Конкретный материал-приманка был привязан к стартапу, специализирующемуся на OSINT, предполагая, что Transparent Tribe манипулирует общедоступной информацией для создания правдоподобных сценариев, несмотря на то, что не подразумевает прямого нацеливания на конкретных людей или организации.

Полезная нагрузка Crimson RAT особенно примечательна из-за ее завышенного размера файла, достигаемого за счет вставки значительных объемов мусорных данных в ее ресурсы, что усложняет усилия по обнаружению. Было обнаружено, что связь со скомпрометированными системами направлялась через сервер управления, расположенный в Канзас-Сити, что выявило базовую инфраструктуру предыдущих кампаний, связанных с этой группой.

Более того, использование имен файлов с намеренными орфографическими ошибками, таких как "Evidence.pdf.lnk", не только демонстрирует закономерность в деятельности группы, но и предоставляет аналитикам возможность сопоставлять активность в различных кампаниях для более точной атрибуции. Благодаря этой кампании Transparent Tribe демонстрирует эволюцию своей стратегии таргетинга, расширяя свое внимание и охватывая новые технологические секторы, которые становятся важнейшими объектами разведки наряду с традиционными государственными секторами. Этот сдвиг указывает на глубокое понимание меняющегося ландшафта угроз и адаптивность тактики для использования уязвимостей в новых областях.

#ParsedReport #CompletenessMedium
04-02-2026

Hunting Lazarus Part II: When the Dead Drop Moved to the Blockchain

https://redasgard.com/blog/hunting-lazarus-part2-blockchain-dead-drop

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview
Kimsuky
Winnti

Threats:
Dead_drop_technique

Victims:
Blockchain sector, Web3 developers, Software developers

Industry:
Financial

TTPs:
Tactics: 4
Technics: 6

IOCs:
Coin: 2
File: 10
IP: 7
Hash: 3

Soft:
Node.js, VSCode, VirtualBox, 1Password, LastPass, Bitwarden, KeePass, DashLane, Chrome, Firefox, Tor Browser, have more...

Wallets:
metamask, coinbase, keplr

Crypto:
binance

Algorithms:
sha256

Functions:
The, getMemo, configureCollection, Function

Win API:
Polygon

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus усовершенствовала свою тактику командования и контроля (C2), используя технологию блокчейн, в частности, используя контракты Polygon NFT для хранения вредоносного JavaScript. Такой подход позволяет создавать постоянные и воспроизводимые полезные нагрузки, отходя от уязвимых традиционных методов. Их многоэтапное внедрение вредоносного ПО включает троян удаленного доступа (RAT), который часто взаимодействует с C2 и нацелен на различные криптовалютные кошельки и Менеджеры паролей, используя известные уязвимости, такие как слабые секреты подписи JWT, и используя законные Облачные сервисы для дальнейшего запутывания.
-----

Расследование недавней тактики группы Lazarus выявило значительные успехи в использовании ими технологии блокчейн для операций командования и контроля (C2). Исследовательская группа Red Asgard по изучению угроз заметила несколько ключевых элементов этого нового подхода. Примечательно, что группа использовала контракты Polygon NFT для хранения вредоносного JavaScript, подчеркивая возможности блокчейна для создания неизменяемых и реплицируемых полезных нагрузок, которые сложно нарушить. Это позволило им отказаться от традиционных методов, таких как Закладка с данными (DDR) учетных записей на Pastebin, которые были заблокированы; таким образом, они искали альтернативы, которые менее подвержены блокировке или изъятию.

Природа их тактики социальной инженерии заключалась в обманчивом распространении информации, использовании LinkedIn, чтобы представить себя как возможности для разработки блокчейна, эффективно завоевывая доверие благодаря предполагаемым бизнес-достижениям и реалистичным презентациям проектов. Предположительно, цель убедили принять участие в демонстрации прямого выполнения кода, демонстрируя уверенность злоумышленников в своей настройке, при этом избегая действий, которые могли бы разоблачить их злонамеренные намерения.

С технической точки зрения, вредоносное ПО, разработанное группой Lazarus, основано на сложной многоэтапной стратегии развертывания. Первоначальная полезная нагрузка устанавливает функциональность трояна удаленного доступа (RAT), который взаимодействует с C2 каждые пять секунд, получая ряд дополнительных модулей. Примечательно, что стиллер информации объемом 72 КБ нацелен на множество расширений криптовалютных кошельков, многочисленные Менеджеры паролей и различные веб-браузеры, что отражает широкий охват работы.

Новая инфраструктура C2 указывает на эволюцию в том, как работают эти злоумышленники, поскольку они используют законные Облачные сервисы, такие как Vercel, для размещения своих операций, что усложняет усилия по обнаружению и реагированию. Вредоносное ПО добавляет уровень сложности, используя известные уязвимости, такие как секреты подписи JWT, которые были особенно уязвимы при установке значений по умолчанию, позволяя злоумышленникам беспрепятственно подделывать токены.

Обнаружения и смягчения его последствий в отношении этих меняющейся тактики включают аудита файлов развития показателей угона сценарий, блокируя вредоносные ИПС С2 через правила брандмауэра, и мониторинг запросов сервере для блокчейн-узлов, особенно от не Web3 приложений. Кроме того, тактика сопоставляются в рамках Митре АТТ&КФК, подробно, как действия группы совпадают с установленными фишинг фишинг и векторы исполнения.

Таким образом, переход группы Lazarus на блокчейн DDR представляет собой значительный сдвиг в их операционной устойчивости, создавая серьезные проблемы для защитников, которые должны адаптироваться ко все более сложным и децентрализованным стратегиям C2.

#ParsedReport #CompletenessMedium
04-02-2026

Silent Push Identifies More Than 10,000 Infected IPs as Part of SystemBC Botnet Malware Family

https://www.silentpush.com/blog/systembc/

Report completeness: Medium

Threats:
Systembc
Droxidat

Industry:
Government

Geo:
Singapore, France, Africa, Vietnamese, India, Russian, Vietnam, Germany

IOCs:
Domain: 1
IP: 14
Hash: 3

Soft:
Linux, WordPress

Algorithms:
rc4, sha256

Languages:
perl

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, table: 1

#ParsedReport #CompletenessHigh
04-02-2026

Amaranth-Dragon: Weaponizing CVE-2025-8088 for Targeted Espionage in the Southeast Asia

https://research.checkpoint.com/2026/amaranth-dragon-weaponizes-cve-2025-8088-for-targeted-espionage/

Report completeness: High

Actors/Campaigns:
Amaranth-dragon (motivation: cyber_espionage, cyber_criminal)
Winnti (motivation: cyber_espionage, cyber_criminal)

Threats:
Amaranth_loader
Cryptopp_tool
Havoc
Amaranth_rat
Dodgebox
Dustpan
Dusttrap
Dll_sideloading_technique
Process_injection_technique
Spear-phishing_technique

Victims:
Government, Law enforcement, Police, Philippines coast guard

Industry:
Critical_infrastructure, Government

Geo:
China, Asian, Philippines, Chinese, Laos, Cambodia, Singapore, Philippine, Indonesia, Asia, Thailand

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 8
Technics: 13

IOCs:
File: 13
Hash: 62
Path: 2
Command: 2
Registry: 1
Url: 22
Domain: 5
IP: 10

Soft:
dropbox, Telegram, Windows Defender

Wallets:
harmony_wallet

Algorithms:
gzip, rc4, aes, xor, aes-cbc, zip, deflate

Functions:
NUL, CreateWzAddrBook

Win API:
VirtualAlloc, ConvertThreadToFiber, CreateFiber, SwitchToFiber, InternetOpenA, GetProcAddress, DebugActiveProcess, ReadProcessMemory

Win Services:
WebClient

Languages:
python, powershell

Platforms:
x86, x64

YARA: Found

Links:
https://github.com/zero2504/Anti-Debugging
https://github.com/HavocFramework/Havoc
have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Amaranth-Dragon, APT-группировка, связанная с APT-41, проводила нацеленные кампании кибершпионажа в Юго-Восточной Азии, используя уязвимость WinRAR CVE-2025-8088 для выполнения кода через вредоносные архивы RAR. Их операции включают использование пользовательского инструмента Amaranth Loader и TGAmaranth RAT, использующего Telegram для командования и контроля, а также социальную инженерию и легальные сервисы для скрытности. Тактика группы подчеркивает дисциплинированный подход и быструю адаптацию к новым уязвимостям, что указывает на сложный ландшафт угроз.
-----

Amaranth-Dragon, APT-группировка, связанная с APT-41, провела нацеленные кампании кибершпионажа по всей Юго-Восточной Азии в 2025 году, в первую очередь против правительственных и правоохранительных органов. Операции группы совпадают со значительными геополитическими событиями в регионе, что служит тактикой для увеличения их шансов на успешное проникновение. Примечательно, что они использовали недавно раскрытую уязвимость WinRAR, CVE-2025-8088, позволяющую им использовать вредоносные архивы RAR для выполнения кода и закрепления в системах-жертвах. Эта уязвимость была раскрыта 8 августа 2025 года, и всего несколько дней спустя Amaranth-Dragon интегрировала ее в свои кампании, что ознаменовало бы быструю адаптацию к новым доступным эксплойтам.

Группа использует специальный инструмент, известный как загрузчик амаранта, которая обеспечивает зашифрованную полезную нагрузку и, в основном развертывает Havoc управление рамок (С2). Их деятельность характеризуется использованием законных таких услуг, как Dropbox и демонстрируют неординарный подход для сохранения скрытности, серверы С2 гео-ограничено, только отвечает на запросы от конкретных странах для минимизации непреднамеренных инфекций. Новый троян удаленного доступа (RAT) по имени TGAmaranth также выявлено, в которой работают телеграмма канал С2, что свидетельствует о тенденции к использованию популярных платформ связи для целей командования и управления.

Атаки Amaranth-Dragon были тщательно спланированы, с особым акцентом на темы, связанные с местными событиями, такими как кампания против филиппинской береговой охраны в честь ее 124-й годовщины. Они также использовали тактику социальной инженерии, выдавая себя за официальные организации, такие как "Администрация президента". В своих ранних кампаниях, до внедрения CVE-2025-8088, они использовали традиционные средства, такие как ZIP-файлы, содержащие файлы сценариев для запуска их загрузчика.

Набор инструментов группы демонстрирует заметное сходство с методами, ранее связанными с APT-41, включая DLL sideloading и другие методы, используемые в известных кампаниях. Определенные характеристики, такие как использование логики, основанной на времени, и специфических файловых артефактов, служат показателями дисциплинированной оперативной группы, работающей в рамках времени UTC+8. Возможности TGAmaranth RAT, которые включают функции защиты от обнаружения в системах обнаружения конечных точек и реагирования (EDR), еще больше подчеркивают техническое мастерство задействованных злоумышленников.

Таким образом, деятельность Amaranth-Dragon подчеркивает сложный ландшафт угроз, в котором уязвимости, подобные CVE-2025-8088, быстро используются в целях шпионажа. Операции группы подчеркивают необходимость для организаций, особенно в критически важных секторах, совершенствовать свои защитные механизмы, уделять приоритетное внимание своевременному устранению уязвимостей и поддерживать повышенную осведомленность о меняющихся тактиках и методах атак. Использование передовых методов для поддержания оперативности и эффективности служит напоминанием о постоянных рисках, создаваемых хорошо обеспеченными ресурсами злоумышленниками в сегодняшнем геополитическом климате.

#ParsedReport #CompletenessHigh
04-02-2026

Hunting Lazarus Part IV: Real Blood on the Wire

https://redasgard.com/blog/hunting-lazarus-part4-real-blood-on-the-wire

Report completeness: High

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Anydesk_tool
Beavertail
Invisibleferret
Ottercookie
Tsunami_botnet
Xmrig_miner
Dead_drop_technique

Victims:
Software developers, Banking users, Cryptocurrency users, Blockchain platforms, Developer platforms

Industry:
Financial, Entertainment, Software_development, Telco

Geo:
France, Nigeria, Sri lanka, Hungary, Asia, Russia, Croatia, Pakistan, Bangladesh, India, Vietnam, Singapore, America, Costa rica, Spain

CVEs:
CVE-2024-4577 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<8.1.29, <8.2.20, <8.3.8)


TTPs:
Tactics: 5
Technics: 22

IOCs:
IP: 17
File: 5
Path: 1
Registry: 1

Soft:
VSCode, Chrome

Wallets:
metamask, coinbase

Algorithms:
base64, xor

Functions:
Get-Content, Write-Warning, Get-ItemProperty, Get-ScheduledTask

Languages:
php, python, powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Contagious Interview нацелена на разработчиков, использующих уязвимости и поведение вредоносного ПО, связанные с сервером командования и контроля по IP 146.70.253.107. Злоумышленники используют домены-приманки для получения учетных данных жертв, что приводит к раскрытию конфиденциальной информации, включая банковские реквизиты, в общей сложности 241 764 скомпрометированных учетных записей. Примечательно, что кампания предполагает использование троянца удаленного доступа AnyDesk для постоянного доступа, наряду с критическими уязвимостями, такими как CVE-2024-4577 на сервере XAMPP, и уязвимостью IDOR для несанкционированного доступа к данным.
-----

Недавние расследования кампании Contagious Interview выявили серьезные уязвимости и поведение вредоносного ПО, связанные с определенной инфраструктурой командования и контроля (C2) по IP-адресу 146.70.253.107. На этом сервере C2 размещены не прошедшие проверку подлинности конечные точки HTTP, такие как /uploadInfo и /uploadFile, которые используются вредоносным ПО для указания жертвам отправлять украденные данные. Кампания выявила структурированные записи жертв, включая имена хостов, IP-адреса и конфиденциальные учетные данные, хранящиеся в открытом виде, что указывает на значительный риск для финансовой и личной информации.

Атака специально нацелена на разработчиков, работающих в локальных средах, захватывая их пароли, сохраненные в браузере, с помощью вредоносного ПО, которое взаимодействует с серверами разработки, такими как React и Vite. Этот подход использует домены-приманки, где жертвы непреднамеренно предоставляют свои учетные данные, регистрируясь на, казалось бы, законных платформах, связанных с блокчейн-играми. Злоумышленники извлекают выгоду из повторного использования пароля, позволяя им получать доступ к другим учетным записям, которые используют те же учетные данные.

Расследование задокументировало 121 жертву с открытыми банковскими учетными данными, что привело к подаче отчета в ФБР. Дополнительным обнаружением стал троян удаленного доступа AnyDesk (RAT), внедренный в рамках той же кампании, который обеспечивает постоянный доступ к компьютерам жертв после кражи учетных данных. AnyDesk RAT включает жестко закодированные учетные данные злоумышленника в конфигурации жертв и служит бэкдором для непрерывной эксплуатации.

Технический анализ также выявил критическую уязвимость —CVE-2024-4577— в конфигурации сервера XAMPP, используемой C2, которая потенциально допускает Удаленное Выполнение Кода, если она используется. Кроме того, уязвимость небезопасной прямой ссылки на объект (IDOR) позволяет получить несанкционированный доступ к данным жертв, связанным с конкретными кампаниями, через конечные точки API.

Вредоносное ПО демонстрирует сложную тактику работы, такую как автоматическое планирование работы маяка C2 каждые 10 минут и использование XOR-шифрования в различных компонентах. Вся инфраструктура опирается на несколько основных IP-адресов, при этом одновременно запускается несколько кампаний, извлекающих большие объемы учетных данных от жертв, в общей сложности 241 764 задокументированных скомпрометированных аккаунта.

Чтобы снизить риск, пользователям рекомендуется проверить свои сохраненные учетные данные на наличие неизвестных записей, немедленно сменить важные пароли и удалить все несанкционированные экземпляры AnyDesk. Кроме того, внедрение двухфакторной аутентификации может защитить учетные записи от несанкционированного доступа, связанного со скомпрометированными учетными данными, связанными с этими атаками.

#ParsedReport #CompletenessLow
03-02-2026

Vive La Vulnrabilit: French Kubernetes Cluster Hunts Your Webhook Endpoints

https://www.labs.greynoise.io/grimoire/2026-02-03-vive-la-vulnerabilite-french-kubernetes-cluster-hunts-your-webhook-endpoints/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Webhook endpoints, N8n platforms

Industry:
Healthcare

Geo:
France, French

CVEs:
CVE-2026-21858 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- n8n (<1.121.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1190, T1583.003, T1583.004, T1583.006, T1595, T1595.003

Soft:
Kubelet, Debian, OpenSSH, curl, Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
А нацелен кампании сканирования была определена эксплуатируя уязвимость CVE-2026-21858 уязвимости в платформе автоматизации документооборота n8n, что позволяет произвольный доступ к файлам через искаженные multipart/данные формы запросов. Родом из Франции, кампания вызвала более 33 000 запросы с помощью пользовательского агента пользователя (n8n-сканер/1.0) и на основе словаря пути, методы перечисления на Debian с 12 систем. То разведка разведки эта операция, вероятно, пришел к выводу, с указанием неминуемые попытки эксплуатации в течение следующих 7 до 14 дней.
-----

Недавний анализ выявил кампанию нацеленного сканирования, использующую инфраструктуру на базе Kubernetes для использования известной уязвимости в платформе автоматизации документооборота n8n, в частности CVE-2026-21858. Эта уязвимость позволяет осуществлять произвольный доступ к файлам посредством обхода пути в обработчиках webhook от n8n с помощью неправильно сформированных запросов на составные части/данные формы. Кампания была инициирована французской инфраструктурой и собрала более 33 000 запросов на сканирование, что подчеркивает ее интенсивность и целенаправленность.

Среды, задействованные в этой кампании, используют операционные системы Debian 12 "Bookworm" с OpenSSH версии 9.2p1, а наличие прокси-сервера Envoy предполагает использование конфигурации service mesh, вероятно, с использованием Istio, Linkerd или Consul Connect. Злоумышленники использовали методы перечисления путей на основе словаря, выполняя от 67 до 69 запросов на каждый путь, чтобы методично находить уязвимые конечные точки.

Большая часть трафика была сгенерирована с использованием двух вариантов инструмента curl, на долю которых пришлось 86,5% от общего числа запросов, классифицированных по префиксу "po11", который означает запросы POST со стандартными конфигурациями заголовков curl. Примечательным упоминанием является наличие специализированного пользовательского агента, идентифицированного как n8n-scanner/1.0, который использовался в течение сорока отдельных сеансов для зондирования.

Анализ атрибуции показывает, что инфраструктура не является конъюнктурной, а построена специально для этой кампании, с четкой географической концентрацией во Франции и работает под единым номером автономной системы (ASN). О скоординированном характере атак также свидетельствует временная группировка запросов с интенсивными всплесками активности, длящимися около двух часов.

Поскольку этап разведки этой операции, по-видимому, завершен, ожидается, что последующие попытки эксплуатации, нацеленные на выявленные уязвимости, будут предприняты в течение периода от 7 до 14 дней. Этот прогресс подчеркивает актуальность для организаций, использующих n8n, заблаговременной оценки своих систем на предмет уязвимости CVE-2026-21858.

Интересная статья про проблемы использования AI в Threat Intel.
В целом все верно указано, со многими проблемами сами сталкивались.

https://theravenfile.com/2026/02/05/logical-limitations-of-ai-models-in-threat-intelligence/

#ParsedReport #CompletenessLow
05-02-2026

Inside a Multi-Stage Android Malware Campaign Leveraging RTO-Themed Social Engineering

https://www.seqrite.com/blog/inside-a-multi-stage-android-malware-campaign-leveraging-rto-themed-social-engineering/

Report completeness: Low

Threats:
Anubisspy
Credential_harvesting_technique

Victims:
Indian users

Industry:
Financial, Government

Geo:
Indian, India

TTPs:
Tactics: 4
Technics: 0

Soft:
Android, Google Play, WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена сложная многоэтапная Вредоносная Кампания для Android, нацеленная на индийских пользователей, в основном использующая мошеннические действия на правительственную тематику, связанные с Региональным транспортным управлением (RTO), для использования тактики социальной инженерии. Вредоносное ПО действует в три этапа, действуя как дроппер и занимаясь майнингом криптовалют, с обширными возможностями управления, перехватывая одноразовые пароли, облегчая захват банковских счетов и позволяя менять SIM-карты. Угроза указывает на значительную эволюцию тактики по сравнению с предыдущими инцидентами, отражая намерение злоумышленника, обладающего достаточными ресурсами, систематически использовать ее.
-----

Недавний анализ выявил сложную многоэтапную Вредоносную Кампанию для Android, нацеленную на пользователей в Индии, в основном с помощью мошеннических действий на правительственную тематику, связанных с Региональным транспортным управлением (RTO). Эта кампания использует тактику социальной инженерии, имитируя официальные приложения, создавая ощущение срочности, чтобы обманом заставить пользователей загружать вредоносное ПО за пределами магазина Google Play. Серверная инфраструктура, поддерживающая это вредоносное ПО, была идентифицирована как использующая Облачные сервисы как для функций управления (C2), так и для эксфильтрации данных, что указывает на хорошо организованную операцию.

Вредоносное ПО работает в три различных этапа, сначала выступая в качестве дроппера для последующих полезных загрузок, а также занимаясь майнингом криптовалюты, когда устройство заблокировано. Эта двойная функциональность свидетельствует о продвинутом характере вредоносного ПО, которое выходит за рамки базовой тактики фишинга и включает в себя комплексную платформу для кражи личных данных и финансового мошенничества.

Изучив инфраструктуру кампании, аналитики получили представление о ее эксплуатационных возможностях, показав, что она действует как обширная система C2, а не просто как решение для хранения данных. Эта эволюция указывает на заметные улучшения по сравнению с предыдущими инцидентами, связанными с вредоносным ПО RTO, с расширенными возможностями, которые представляют значительные риски. Вредоносное ПО может перехватывать одноразовые пароли в режиме реального времени (OTP) для мошеннических финансовых транзакций, облегчать захват банковских счетов путем сбора учетных записей, осуществлять замену SIM-карт с использованием украденных идентификационных данных и совершать мошенничество с кредитами с доступом к конфиденциальной информации, такой как номера Aadhaar и PAN. Более того, он может перехватывать WhatsApp и другие Учетные записи соцсетей, существенно расширяя спектр угроз.

Усилия по обнаружению с помощью программного обеспечения безопасности, такого как Quick Heal, выявили варианты этого вредоносного ПО, помеченные как Android.Dropper.A, подчеркивая необходимость создания мощных механизмов защиты от таких угроз.

Эта продолжающаяся кампания иллюстрирует критическую эскалацию тактики, применяемой злоумышленниками в индийской киберсреде, подчеркивая переход к более структурированным и систематическим стратегиям эксплуатации. Многоэтапный подход в сочетании с централизованным механизмом контроля и активным финансовым надзором отражает намерения хорошо обеспеченной ресурсами и организованной группы по борьбе с угрозами, сосредоточенной на длительных операциях, а не на спорадических атаках.

#ParsedReport #CompletenessMedium
05-02-2026

Kimsuki APT43 Activity Analysis

https://www.ctfiot.com/296327.html

Report completeness: Medium

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)

Threats:
Babyshark
Appleseed
Kgh_spy
Alphaseed
Gold_dragon
Bitsadmin_tool
Qshing_technique
Spear-phishing_technique
Timestomp_technique
Process_injection_technique
Passthehash_technique

Victims:
Government agencies, Academic institutions, Think tanks

Industry:
Government

Geo:
Belgium, Slovakia, North macedonia, Portugal, Montenegro, America, Estonia, Korea, Finland, Greece, Bulgaria, Canada, Asia pacific, Asia, Germany, Vietnam, France, Thailand, Netherlands, Denmark, North korea, Hungary, Latvia, Slovenia, Romania, Dprk, Lithuania, Japan, Italy, Iceland, Croatia, Norway, Czech, Albania, Korean, Luxembourg, Poland

CVEs:
CVE-2019-0708 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)

CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 8
Technics: 72

Soft:
Android, Microsoft Office, Remote Desktop Services, WeChat

Languages:
python, powershell, visual_basic, javascript