#ParsedReport #CompletenessHigh
05-02-2026

DesckVB RAT: A Modular NET RAT Framework and Multi-Stage Campaign Infrastructure

https://raw.githubusercontent.com/ShadowOpCode/DesckVB-RAT/752b2d00c7953e53a2af30f815950bf1523944da/DesckVB_RAT.pdf

Report completeness: High

Actors/Campaigns:
Steganoamor
Ta558

Threats:
Desckvb
Njrat
Upcry
Xworm_rat
Uac_bypass_technique
Spygaterat
Spynote_rat
Remcos_rat

Victims:
General users, Consumer

Geo:
Italy, Portuguese, Brazilian, Middle east, Brazil, Italia, Kuwait, Africa, Poland

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.007, T1105, T1140, T1620

IOCs:
Path: 11
File: 140
Hash: 13
Coin: 2
Url: 5
Domain: 1
Registry: 1
IP: 6

Soft:
Unix, firefox, winlogon, Twitter, Amigo

Algorithms:
md5, sha256, base64

Functions:
DhinrNDYNQ, xQkKm, Eu5RYVK8nsVDUbKRFaU, Pesistencia, cctor, DetectaAV, OpenForm, TCP, AssemblyLoader, WebcamListGet, have more...

Win API:
GetCurrentProcess, GetForegroundWindow

Win Services:
webClient, Bits

Languages:
powershell, lua, javascript

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DesckVB RAT - это Троянская программа для удаленного доступа к .NET, идентифицированная в 2026 году, с многоступенчатым конвейером атак, который начинается с запутанного WSH JavaScript, развертывающего загрузчик .NET в памяти. Вредоносное ПО использует скрипты PowerShell для декодирования полезной нагрузки и загрузки библиотеки DLL (ClassLibrary3.dll ) с функциями для Регистрации нажатий клавиш, доступа к веб-камере и перечисления процессов при одновременном взаимодействии с сервером C2 для доставки плагинов. Он показывает связи с кластером угроз "Pjoao1578", что усложняет атрибуцию из-за общих идентификаторов без подтверждения конкретных акторов.
-----

DesckVB RAT, .NET модульная Троянская программа, активная в начале 2026 года. Этот фреймворк следует шаблону доставки, напоминающему методы UpCrypter, используя сильно запутанный WSH JavaScript для развертывания загрузчика .NET в памяти. Процесс начинается с сильно запутанного сценария, который самовоспроизводится в C:\Users\Public \ каталог. Он возобновляется через wscript.exe , восстанавливающий закодированную команду PowerShell путем фрагментации строки.

Начальный этап имеет решающее значение, поскольку он не только использует обфускацию, но и использует известные схемы доставки, используемые фреймворками вредоносного ПО. Следующие этапы включают в себя скрипты PowerShell с запутанной строкой, которые декодируют полезные нагрузки Base64 во время выполнения, что в конечном итоге приводит к загрузке и выполнению библиотеки DLL с именем ClassLibrary3.dll . Эта библиотека DLL оснащена возможностью перечислять запущенные процессы и применять жестко запрограммированный список запрещений, чтобы затруднить анализ.

Сам DesckVB RAT предоставляет множество возможностей, таких как Регистрация нажатий клавиш, доступ к веб-камере и зондирование сети. Вредоносное ПО взаимодействует со своим сервером управления (C2), который может поставлять плагины по запросу, - примечательная функция, которая создает проблемы для защитников. Плагины предназначены для выполнения различных функций: кейлоггер фиксирует нажатия клавиш и содержимое буфера обмена, в то время как плагин веб-камеры передает видео обратно на сервер C2.

Более того, исторические связи с кластером угроз "Pjoao1578" еще больше усложняют усилия по установлению принадлежности. Последовательно соблюдались идентификаторы, такие как строки с названием компании и конкретные пути отладки, что указывает на общую среду сборки. Однако следует соблюдать осторожность, поскольку сами по себе эти артефакты не подтверждают окончательную принадлежность к одному актору; они просто предполагают инструменты или методологии, используемые в рамках более широкой экосистемы.

С точки зрения защиты, анализ показывает закономерность закрепления вредоносного ПО и методов обфускации, предназначенных для уклонения от обнаружения. Зависимость вредоносного ПО от механизмов самокопирования и неясных моделей связи подразумевает, что защитникам понадобятся комплексные возможности телеметрии и анализа протоколов для выявления и смягчения этих угроз.

#ParsedReport #CompletenessHigh
05-02-2026

Technical Analysis of Marco Stealer

https://www.zscaler.com/blogs/security-research/technical-analysis-marco-stealer

Report completeness: High

Threats:
Marco_stealer
Process_hacker_tool
Dll_injection_technique
Rhadamanthys
Lumma_stealer

Victims:
Corporate environments, Users of cloud storage services, Cryptocurrency wallet users, Browser users

Industry:
Financial

TTPs:
Tactics: 5
Technics: 9

IOCs:
Path: 2
File: 9
Url: 3
Hash: 9
Registry: 2

Soft:
Dropbox, Windows registry, Windows Security Center, Component Object Model, chrome, CLIQZ, Pale Moon, Navicat, Sysinternals Process Explorer, Sysinternals, have more...

Algorithms:
sha256, base64, aes, cbc, aes-256, zip, chacha20

Functions:
GetFileAttributes

Win API:
DllCanUnloadNow, QueryFullProcessImageNameW, CryptDeriveKey

Languages:
delphi, python, java, powershell, autoit

Platforms:
x86, x64

Links:
https://github.com/ThreatLabz/tools/blob/main/marco\_stealer/string\_decryption.c

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Marco Stealer - это недавно выявленное вредоносное ПО для кражи информации, которое нацелено на конфиденциальные данные, в частности информацию о браузере, данные криптовалютного кошелька и файлы, хранящиеся локально или на облачных платформах. Он использует передовые методы антианализа, такие как зашифрованные строки, статический мьютекс для выполнения в одном экземпляре и уклонение от обнаружения средствами безопасности. Вредоносное ПО извлекает данные с использованием шифрования AES-256 и обменивается данными посредством HTTP POST-запросов, при этом его операции классифицируются по нескольким методам в фреймворке MITRE ATT&CK, что указывает на значительную угрозу для пользователей.
-----

Marco Stealer - это недавно идентифицированное вредоносное ПО для кражи информации, впервые обнаруженное в июне 2025 года, с особым акцентом на эксфильтрацию конфиденциальных данных. Его основные цели включают данные браузера, информацию о криптовалютном кошельке, получаемую с помощью расширений браузера, и различные конфиденциальные файлы, хранящиеся локально или в Облачных сервисах, таких как Dropbox и Google Drive. Вредоносное ПО использует передовые методы антианализа, включая использование зашифрованных строк для своих операций, мьютекс для обеспечения выполнения в единственном экземпляре и обнаружение таких средств безопасности, как Wireshark и Process Hacker.

При выполнении Marco Stealer собирает важную информацию системы, включая компьютер GUID, аппаратное обеспечение, версия операционной системы, IP-адрес и географическое местоположение, чтобы создать профиль на компьютере жертвы. Этот сбор данных начинается только после подтверждения подключения к интернету. Самое вредоносное ПО использует статический мьютекс называется "глобальный\ItsMeRavenOnYourMachineed", чтобы убедиться, что она работает как один экземпляр.

Методы эксфильтрации данных, применяемые вредоносным ПО, сложны. В частности, он использует два встроенных файла, "chromeDecryptor.dll " и "needme.exe ", чтобы настроить таргетинг на данные браузера. Эти файлы извлекаются и выполняются из случайно сгенерированного временного каталога, созданного в расположении %appdata%\local\temp. Кроме того, Marco Stealer нацелен на определенные браузеры на базе Chromium для извлечения информации о кошельке криптовалюты, и у него есть возможности для сбора содержимого буфера обмена, создания скриншотов и поиска конфиденциальных файлов в часто используемых каталогах и облачном хранилище.

Для обмена данными управления Marco Stealer шифрует украденные данные с помощью шифрования AES-256 перед передачей через HTTP POST-запросы, используя статический, но динамически производный ключ шифрования, основанный на хэше SHA-256 с жестко закодированным значением. Связь замаскирована с помощью поля HTTP User-Agent с надписью "DataSender", направляющего данные в предопределенные конечные точки C2.

Marco Stealer является частью ландшафта развивающихся стиллеров информации, которые продолжают представлять значительные риски для физических и юридических лиц, особенно в связи с тем, что усилия правоохранительных органов не полностью остановили их развитие. Вредоносное ПО классифицируется в рамках фреймворка MITRE ATT&CK с помощью различных методов, включая злоупотребление Инструментарием управления Windows(WMI), шифрование командных сообщений и средств управления и выполнение команд с помощью системных интерпретаторов. Устойчивость вредоносного ПО к обнаружению и надежные механизмы сбора данных подчеркивают его потенциальную угрозу для систем, которые оно заражает.

#ParsedReport #CompletenessMedium
04-02-2026

Shaping Shadows: Breaking Down New ShadowSyndicate Methods and Infrastructure

https://www.group-ib.com/blog/new-shadowsyndicate-infrastructure/

Report completeness: Medium

Actors/Campaigns:
Shadowsyndicate (motivation: cyber_criminal)
Malsmoke
Boolka

Threats:
Cobalt_strike_tool
Metasploit_tool
Havoc
Mythic_c2
Sliver_c2_tool
Asyncrat
Meshagent_tool
Brc4_tool
Clop
Truebot
Blackcat
Ryuk
Blackbasta
Meshcentral_tool
Batloader
Lockbit
Cicada_ransomware
Nokoyawa
Cactus_ransomware

Victims:
Multiple sectors

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1583.001, T1583.003, T1588.002

IOCs:
Hash: 6
IP: 258
Domain: 1

Soft:
OpenSSH, Linux, macOS

Algorithms:
chacha20, aes, sha1

Languages:
rust

Platforms:
cross-platform

Links:
https://github.com/HavocFramework/Havoc
https://github.com/its-a-feature/Mythic
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadowSyndicate - это продвинутая хакерская группировка, использующая уникальные отпечатки SSH и сменяющуюся серверную модель на нескольких серверах командования и контроля (C2), что значительно усложняет отслеживание. Используя сочетание как коммерческих, так и с открытым исходным кодом фреймворков для вредоносного ПО, таких как Cobalt Strike и AsyncRAT, они связаны с несколькими группами программ-вымогателей. Их разнообразные стратегии размещения серверов, использующие пуленепробиваемые сервисы, подчеркивают сложный подход к управлению инфраструктурой, который способствует их операционной анонимности.
-----

ShadowSyndicate - это организованный кластер вредоносной активности, который усовершенствовал свои методы работы, внедрив новые отпечатки SSH и используя несколько серверов. Этот актор в основном зависит от OpenSSH и использует уникальные пары SSH-ключей на значительном количестве серверов, что помогает связать их инфраструктуру с известными действиями. Постоянное использование этих отпечатков SSH позволяет исследователям отслеживать связи между различными кампаниями и анализировать ландшафт угроз, связанных с этой группой.

Недавние открытия показывают, что ShadowSyndicate подтвердил два дополнительных СШ отпечатков пальцев и разработал метод для вращения серверов среди своих СШ кластеров. Группа эксплуатации не менее 20 серверов управления и контроля (C2) инфраструктуры для различных вредоносное ПО обеспечением. Они связаны с несколькими известными инструментами атаки, в том числе Cobalt Strike, MetaSploit, Havoc, Mythic, Sliver, AsyncRAT, MeshAgent, и Brute Ratel. Несколько рекламных групп и партнерских программ, таких как Cl0p, ALPHV/хип-хоп, Black basta, Ryuk, и Malsmoke, подключенных к shadowsyndicate's операции.

Отпечатки пальцев SSH впервые появились в 2022 году, выступая в качестве идентификаторов вредоносных действий и связанной с ними инфраструктуры. Продолжающееся изучение выявило повторяющееся поведение в различных фреймворках, что указывает на согласованную операционную структуру внутри ShadowSyndicate. Их выбор инструментов включает в себя как коммерческие фреймворки, так и фреймворки с открытым исходным кодом, которые обычно используются киберпреступниками не по назначению.

Shadowsyndicate'S для различных таких мероприятий стало очевидно, как серверы находятся под их контролем, происходят из разнородных территорий и не принадлежат одной и той же организацией. Эта тактика затрудняет отслеживание, подчеркивая утонченный подход к управлению инфраструктурой. Кластер мысль использовать "пуленепробиваемого" хостинга услуги для защиты вредоносной деятельности, что позволяет им работать с пониженным риском правовые последствия.

#ParsedReport #CompletenessMedium
05-02-2026

NGC3181: how to get a foothold in the database without attracting attention

https://rt-solar.ru/solar-4rays/blog/6372/

Report completeness: Medium

Actors/Campaigns:
Ngc3181
Ngc31818

Threats:
Impacket_tool
Rclone_tool
Chisel_tool

Industry:
Government

Geo:
Asian, Russian

TTPs:
Tactics: 1
Technics: 0

IOCs:
Path: 8
File: 10
Command: 3
IP: 6
Registry: 1
Hash: 5

Soft:
Telegram, PostgreSQL, TrueConf, curl, task scheduler, Windows registry, systemd, ViPNet

Algorithms:
sha256, sha1, md5

Languages:
php

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа NGC3181 использует новый метод закрепления путем развертывания бэкдора в базе данных PostgreSQL российского приложения для видеоконференцсвязи, что позволяет вредоносному ПО избегать обнаружения и сохранять работоспособность даже при обновлении программного обеспечения. Такой подход означает изменение тактики борьбы с киберугрозами, подчеркивая, как злоумышленники используют упущенные из виду компоненты программного стека, такие как базы данных, для поддержания контроля над средами, на которые они нацелены.
-----

Группа NGC3181 разработала новый метод закрепления в нацеленных средах, в частности, путем внедрения бэкдора в базу данных PostgreSQL, связанного с широко используемым российским программным обеспечением для видеоконференцсвязи. Этот метод иллюстрирует сложный подход к закреплению, поскольку злоумышленники позаботились о том, чтобы их бэкдор оставался работоспособным и необнаруженным даже благодаря обновлениям как приложения для видеоконференций, так и самой базовой базы данных PostgreSQL.

Такая стратегия привязки подчеркивает важность изучения не только кода приложений, но и баз данных, с которыми они взаимодействуют, поскольку угрозы могут исходить от менее тщательно изученных компонентов программного стека. Атака является примером эволюционирующей тактики в хакерских кАмпаниях, где традиционные меры по обнаружению могут дать сбой из-за размещения вредоносного ПО в менее очевидных местах. Этот инцидент подчеркивает необходимость применения надежных методов обеспечения безопасности, которые распространяются на системы баз данных, поскольку злоумышленники все чаще используют эти точки входа для поддержания контроля над скомпрометированными сетями.

#ParsedReport #CompletenessHigh
05-02-2026

Threat Alert: TeamPCP, An Emerging Force in the Cloud Native and Ransomware Landscape

https://flare.io/learn/resources/blog/teampcp-cloud-native-ransomware/

Report completeness: High

Actors/Campaigns:
Teampcp (motivation: information_theft, financially_motivated)
Pcpcat (motivation: information_theft, financially_motivated)
Teamtnt

Threats:
Sliver_c2_tool
React2shell_vuln
Xmrig_miner
Credential_harvesting_technique
Spear-phishing_technique

Industry:
Petroleum, Government, Education, E-commerce, Financial

Geo:
Vietnam, Canada, United arab emirates, Africa, Vietnamese, African, Arab emirates, Kenya, Serbia, Korea

CVEs:
CVE-2025-29927 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vercel next.js (<12.3.5, <13.5.9, <14.2.25, <15.2.3)


TTPs:
Tactics: 9
Technics: 19

IOCs:
IP: 2
File: 2
Url: 1

Soft:
Docker, Telegram, Redis, curl, Linux, alpine, Systemd

Algorithms:
base64, zip

Languages:
python

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TeamPCP - это сложная хакерская группировка, которая в первую очередь нацелена на уязвимости в облачных инфраструктурах, особенно на неправильно сконфигурированные уровни управления, такие как API Docker и Kubernetes. В их операциях используются пользовательские скрипты на Python и shell для сканирования, эксплуатации и закрепления, при этом заметная кампания освещает использование уязвимости React2Shell (CVE-2025-29927). В отличие от традиционных групп вымогателей, их стратегии монетизации включают криптомайнинг и вымогательство данных, уделяя особое внимание таким секторам, как электронная коммерция и финансы.
-----

TeamPCP - это развивающаяся хакерская группировка, признанная за свои облачные операции и возможности программ-вымогателей, особенно выделенные в ее кампании PCPcat. Эта группа использует полный жизненный цикл технологий, включая сканирование, эксплуатацию, закрепление, кражу данных и монетизацию в рамках современных облачных инфраструктур. Вместо того чтобы ориентироваться на устройства конечных пользователей, TeamPCP использует неправильно настроенные уровни управления, такие как API Docker и Kubernetes, а также уязвимые приложения, такие как React и Next.js . Их первичные источники заражения - открытые поверхности управления, что позволяет им перемещаться в разные стороны по целым кластерам, как только нарушается одна рабочая нагрузка, эффективно создавая самораспространяющуюся экосистему преступной деятельности.

Кампания PCPcat, идентифицированная как первая операция под названием TeamPCP, была нацелена на уязвимости, в частности, на использование недостатка React2Shell (CVE-2025-29927) и неправильных настроек в API-интерфейсах Docker. Ключевые инфраструктурные мероприятия достигли своего пика примерно 25 декабря 2025 года, продемонстрировав высокоорганизованную серию операций. TeamPCP использует ряд пользовательских скриптов, в том числе proxy.sh , который служит основой для развертывания средств сканирования и обеспечения закрепления с помощью регистрации службы в скомпрометированных системах. Сценарии, такие как scanner.py , kube.py , и react.py они специально разработаны для зондирования и эксплуатации контейнеризированных сред, позволяя акторам сохранять контроль во время итерации по внедренным кластерам.

Операционные инструменты TeamPCP в основном разрабатываются на Python и shell-скриптах, полагаясь на существующее вредоносное программное обеспечение для выполнения определенных функций. Их основные методы эксплуатации включают в себя Внешние службы удаленного доступа с помощью не прошедших проверку подлинности API и эксплойты общедоступных приложений. Стратегии закрепления злоумышленника включают запланированные задачи, развертывание вредоносных контейнеров и использование привилегированного доступа в средах Kubernetes. В отличие от традиционных групп вымогателей, монетизация TeamPCP основана на различных стратегиях, включая криптомайнинг и вымогательство данных, в первую очередь нацеленных на секторы электронной коммерции, финансов и человеческих ресурсов.

Мониторинг действий TeamPCP требует продвинутых стратегий обнаружения, которые фокусируются на поведении в облаке и рабочей нагрузке, поскольку традиционные механизмы безопасности могут не фиксировать их существенные, но едва уловимые операционные отпечатки. Организациям рекомендуется обезопасить поверхности управления для предотвращения первоначального заражения, поскольку несоблюдение этого требования приводит к обширному компрометированию и потенциальному Несанкционированному использованию ресурсов. В целом, TeamPCP представляет собой современную угрозу, которая использует уязвимости облачных инфраструктур, подчеркивая необходимость нацеленных усилий по обнаружению и смягчению последствий, адаптированных к уникальным вызовам, создаваемым злоумышленниками, использующими облачные технологии.

#ParsedReport #CompletenessLow
05-02-2026

Dark Web Profile: 0APT Ransomware

https://socradar.io/blog/dark-web-profile-0apt-ransomware/

Report completeness: Low

Threats:
0apt_syndicate

Victims:
Critical national grids, Financial institutions

Industry:
Healthcare, Ics, Energy, Aerospace, Logistic, Financial, Critical_infrastructure

Geo:
America, Middle east, Asia

Algorithms:
salsa20, aes-256

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
0APT - это программа-вымогатель как услуга, появившаяся в январе 2026 года, утверждающая, что нацелена на известных жертв в различных секторах по всему миру. Однако технические оценки выявляют несоответствия в их возможностях, предполагая, что они могут быть в первую очередь мошенниками, а не изощренным злоумышленником. Их стратегия, по-видимому, предполагает оппортунистическую эксплуатацию с использованием автоматизированных сканеров, сосредоточенную на внушении страха, а не на демонстрации передовых технических навыков.
-----

0APT, или 0apt Syndicate, это вымогатели как услуги по эксплуатации, которые появились в конце января 2026. Группа получила немедленного внимания перечислением многочисленных громких жертв на его Dark Web веб утечки, вызывает озабоченность по поводу его оперативных возможностей. Хотя он представляет себя как грозная злоумышленник занимался политически нейтральная деятельность по технической оценки указаны потенциальные уязвимости в операционной модели, предполагая, что 0APT в первую очередь могут функционировать как мошенничество, а не сложные группы вымогателей.

Группа работает без четкой вертикальной специализации, ориентируясь на широкий спектр секторов в различных регионах, включая Северную Америку, Европу, Азию и Ближний Восток. Этот подход представляется оппортунистическим, использующим автоматизированные сканеры уязвимостей для выявления и использования слабых мест в различных инфраструктурах, таких как национальные электросети и финансовые организации. Их оперативная техника опирается на стратегию большого объема и низкой точности, направленную на то, чтобы внушить страх посредством психологического давления, а не на демонстрацию технического мастерства.

Несмотря на заявления о компрометации важных целей, значительный анализ показывает, что 0APT может не представлять законной киберугрозы. Тщательное изучение их инфраструктуры и утечек данных выявило несоответствия, которые подрывают их репутацию способного противника. Такие аномалии указывают на возможность того, что 0APT либо является "поддельной" организацией-вымогателем, либо работает на гораздо более низком уровне возможностей, чем предполагалось.

Для эффективной защиты от угроз, исходящих от 0APT, организациям следует принять стратегию "Сначала проверьте, затем отреагируйте". Это предполагает тщательную проверку достоверности заявлений группы, прежде чем предпринимать какие-либо защитные действия, поскольку их склонность преувеличивать свои возможности может привести к ненужной панике и неправильному распределению ресурсов.

Таким образом, в то время как группа вымогателей 0APT попала в заголовки газет благодаря своей агрессивной тактике преследования, факты указывают на менее сложную операцию, чем предполагалось первоначально. Следовательно, усилия по кибербезопасности должны быть сосредоточены на проверке и осторожном реагировании на заявления, сделанные такими группами.

#ParsedReport #CompletenessLow
05-02-2026

The Godfather of Ransomware? Inside DragonForces Cartel Ambitions

https://www.levelblue.com/blogs/spiderlabs-blog/the-godfather-of-ransomware-inside-dragonforces-cartel-ambitions

Report completeness: Low

Actors/Campaigns:
Dragonforce (motivation: sabotage, cyber_criminal)
Dragonforce_malaysia
Bjorka
Funksec

Threats:
Dragonforce_ransomware
Ransombay_raas
Ransomhub
Eldorado_ransomware
Ransomlock
Lockbit
Qilin_ransomware
Ralord
Babuk2
Conti
Shadow_copies_delete_technique

Victims:
Ransomware affiliates, Organizations targeted by ransomware

Geo:
Germany, Russian, Italy, Russian federation, Australia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486

IOCs:
IP: 6
Hash: 1
File: 1

Soft:
Linux, ESXi, vim-cmd

Languages:
swift

Platforms:
cross-platform