CTT Report Hub
#ParsedReport #CompletenessLow 11-02-2026 Emerging Ransomware BQTLock& GREENBLOOD Disrupt Businessesin Minutes https://any.run/cybersecurity-blog/emerging-ransomware-bqtlock-greenblood/ Report completeness: Low Threats: Bqtlock Greenblood Uac_bypass_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
BQTLock и GREENBLOOD - это две новые разновидности программ-вымогателей, которые используют скрытые методы для быстрого нанесения ущерба бизнесу. BQTLock скрывает свои действия в рамках обычных процессов и фокусируется на повышение привилегий и краже данных, в то время как GREENBLOOD, написанный на Go, отдает приоритет скорости благодаря своим механизмам самоудаления и быстрому шифрованию с использованием ChaCha8. Оба варианта программ-вымогателей предполагают немедленное оперативное воздействие и раннюю скрытность, что усложняет реагирование на инциденты для служб безопасности.
-----
BQTLock и GREENBLOOD - это новые разновидности программ-вымогателей, которые представляют значительную угрозу для бизнеса благодаря своим скрытым методам работы, направленным на быстрое увеличение ущерба. BQTLock работает, скрываясь в рамках обычных системных действий, повышая привилегии без обнаружения и готовясь к масштабной краже данных до того, как может быть инициирован ответ. Его способность встраиваться в доверенные процессы позволяет ему оставаться незамеченным до тех пор, пока не будет нанесен значительный ущерб.
Атака BQTLock была проанализирована с использованием поведенческой аналитики, выявившей динамику ее выполнения в среде ANY.RUN sandbox, что позволило получить существенное представление о ее операционных схемах. Напротив, GREENBLOOD - это более агрессивный вариант программы-вымогателя, написанный на Go, подчеркивающий скорость шифрования файлов и уничтожение следов после выполнения, тем самым усиливая давление на нацелен-ные организации. Эта программа-вымогатель использует быстрый метод шифрования ChaCha8 и предназначена для запуска механизмов самоудаления, что еще больше усложняет усилия по реагированию на инциденты.
Оба варианта программ-вымогателей отдают приоритет ранней скрытности и немедленному оперативному воздействие, в отличие от традиционной тактики программ-вымогателей, которая обычно включает отложенное шифрование или видимые признаки компрометация. Тактика BQTLock's включает в себя закрепление и вторичный акцент на эксфильтрация данных перед шифрованием файлов, в то время как GREENBLOOD сжимает окно ответа, что создает существенные проблемы для служб безопасности — оба варианта созданы для того, чтобы нарушить работу бизнеса в течение нескольких минут после развертывания.
Для борьбы с этими современными программами-вымогателями, операционный центр безопасности (SoC), у команды должны разработать действенные меры обнаружения, оперативно подтвердить вымогателей поведения до распространения шифрования. Стратегия должна включать активную защиту подход способен раннего выявления, включенной в реальном времени поведенческих показателей. В конечном счете, поддержание органов безопасности со свежими интеллект и поведенческие сигналы, имеет решающее значение для эффективной защиты от вымогателей, развивается инфраструктура. Этому может способствовать упрощенная интеграция с информационными каналами об угрозах, которые позволяют оперативно блокировать повторяющиеся атаки и быстро адаптироваться к меняющейся тактике угрожающих актор.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
BQTLock и GREENBLOOD - это две новые разновидности программ-вымогателей, которые используют скрытые методы для быстрого нанесения ущерба бизнесу. BQTLock скрывает свои действия в рамках обычных процессов и фокусируется на повышение привилегий и краже данных, в то время как GREENBLOOD, написанный на Go, отдает приоритет скорости благодаря своим механизмам самоудаления и быстрому шифрованию с использованием ChaCha8. Оба варианта программ-вымогателей предполагают немедленное оперативное воздействие и раннюю скрытность, что усложняет реагирование на инциденты для служб безопасности.
-----
BQTLock и GREENBLOOD - это новые разновидности программ-вымогателей, которые представляют значительную угрозу для бизнеса благодаря своим скрытым методам работы, направленным на быстрое увеличение ущерба. BQTLock работает, скрываясь в рамках обычных системных действий, повышая привилегии без обнаружения и готовясь к масштабной краже данных до того, как может быть инициирован ответ. Его способность встраиваться в доверенные процессы позволяет ему оставаться незамеченным до тех пор, пока не будет нанесен значительный ущерб.
Атака BQTLock была проанализирована с использованием поведенческой аналитики, выявившей динамику ее выполнения в среде ANY.RUN sandbox, что позволило получить существенное представление о ее операционных схемах. Напротив, GREENBLOOD - это более агрессивный вариант программы-вымогателя, написанный на Go, подчеркивающий скорость шифрования файлов и уничтожение следов после выполнения, тем самым усиливая давление на нацелен-ные организации. Эта программа-вымогатель использует быстрый метод шифрования ChaCha8 и предназначена для запуска механизмов самоудаления, что еще больше усложняет усилия по реагированию на инциденты.
Оба варианта программ-вымогателей отдают приоритет ранней скрытности и немедленному оперативному воздействие, в отличие от традиционной тактики программ-вымогателей, которая обычно включает отложенное шифрование или видимые признаки компрометация. Тактика BQTLock's включает в себя закрепление и вторичный акцент на эксфильтрация данных перед шифрованием файлов, в то время как GREENBLOOD сжимает окно ответа, что создает существенные проблемы для служб безопасности — оба варианта созданы для того, чтобы нарушить работу бизнеса в течение нескольких минут после развертывания.
Для борьбы с этими современными программами-вымогателями, операционный центр безопасности (SoC), у команды должны разработать действенные меры обнаружения, оперативно подтвердить вымогателей поведения до распространения шифрования. Стратегия должна включать активную защиту подход способен раннего выявления, включенной в реальном времени поведенческих показателей. В конечном счете, поддержание органов безопасности со свежими интеллект и поведенческие сигналы, имеет решающее значение для эффективной защиты от вымогателей, развивается инфраструктура. Этому может способствовать упрощенная интеграция с информационными каналами об угрозах, которые позволяют оперативно блокировать повторяющиеся атаки и быстро адаптироваться к меняющейся тактике угрожающих актор.
#ParsedReport #CompletenessMedium
11-02-2026
The game is over: when free comes at too high a price. What we know about RenEngine
https://securelist.com/renengine-campaign-with-hijackloader-lumma-and-acr-stealer/118891/
Report completeness: Medium
Threats:
Renengine
Lumma_stealer
Acr_stealer
Hijackloader
Rshell
Penguish
Vidar_stealer
Victims:
Consumers, Gamers, Software pirates
Industry:
Entertainment
Geo:
Turkey, Brazil, Russia, Germany, Spain
ChatGPT TTPs:
T1036, T1055, T1574.002
IOCs:
File: 15
Hash: 4
Url: 22
Soft:
process explorer
Algorithms:
xor
Win API:
ZwCreateSection, ZwMapViewOfSection, ZwResumeThread
Languages:
python
11-02-2026
The game is over: when free comes at too high a price. What we know about RenEngine
https://securelist.com/renengine-campaign-with-hijackloader-lumma-and-acr-stealer/118891/
Report completeness: Medium
Threats:
Renengine
Lumma_stealer
Acr_stealer
Hijackloader
Rshell
Penguish
Vidar_stealer
Victims:
Consumers, Gamers, Software pirates
Industry:
Entertainment
Geo:
Turkey, Brazil, Russia, Germany, Spain
ChatGPT TTPs:
do not use without manual checkT1036, T1055, T1574.002
IOCs:
File: 15
Hash: 4
Url: 22
Soft:
process explorer
Algorithms:
xor
Win API:
ZwCreateSection, ZwMapViewOfSection, ZwResumeThread
Languages:
python
Securelist
The game is over: when “free” comes at too high a price. What we know about RenEngine
We disclose new details about campaigns involving RenEngine and HijackLoader malware. Since March 2025, attackers have been distributing the Lumma stealer in a complex chain of infections, and in February 2026, ongoing attacks using ACR Stealer became known.
CTT Report Hub
#ParsedReport #CompletenessMedium 11-02-2026 The game is over: when free comes at too high a price. What we know about RenEngine https://securelist.com/renengine-campaign-with-hijackloader-lumma-and-acr-stealer/118891/ Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RenEngine - это изощренное вредоносное ПО, замаскированное под игровые читы и пиратское программное обеспечение, впервые распространенное в марте 2025 года через игровой веб-сайт, подвергшийся компрометация. Он использует HijackLoader, который активирует вредоносную полезную нагрузку путем перезаписи dbghelp.dll библиотека в памяти с расшифрованным шелл-кодом из gayal.asp, поддерживаемая cc32290mt.dll . Злоумышленники расширили свои методы распространения, включив поддельные сайты, предлагающие пиратское программное обеспечение, что подчеркивает глобальное воздействие вредоносное ПО и его адаптивность.
-----
RenEngine стал заметной разновидностью вредоносное ПО, распространяемой главным образом под видом игровых читов и пиратского программного обеспечения. Эта стратегия использует в своих интересах энтузиастов игр, заманивая их загружать, казалось бы, безобидное программное обеспечение, за которым скрывается продвинутое и изощренное вредоносное ПО.
Наблюдаемая тактика распространения вредоносное ПО началась в марте 2025 года, когда злоумышленники использовали игровой веб-сайт с компрометация для распространения RenEngine через взломанную игру. Одним из основных компонентов, участвующих в запуске вредоносное ПО, является HijackLoader, который использует dbghelp.dll системная библиотека в качестве начального "контейнера" для инициирования полезной нагрузки. Это достигается путем перезаписи библиотеки dll в памяти расшифрованным шелл-кодом, полученным из файла с именем gayal.asp, с cc32290mt.dll служащий промежуточной библиотекой. HijackLoader примечателен своей модульностью и универсальностью конфигурации, что позволяет эффективно развертывать целый ряд вредоносных полезных программ. Этот загрузчик был первоначально идентифицирован летом 2023 года, с более подробной технической информацией, доступной конкретным заинтересованным сторонам в области Кибербезопасность.
Злоумышленники также расширили свою тактику, выйдя за рамки просто игровых сайтов, создав множество веб-сайтов, нацеленных на распространение RenEngine, замаскированного под различные типы пиратского программного обеспечения. Например, один из таких мошеннических веб-сайтов утверждает, что предлагает активированную версию графического редактора CorelDRAW, что еще больше расширяет возможности атаки и увеличивает шансы взаимодействия пользователей с вредоносное ПО.
С момента своего появления RenEngine и связанные с ним механизмы доставки затронули пользователей во многих странах, подчеркивая глобальный охват и воздействие этой киберугроза. Распространение RenEngine означает изменение ландшафта угроз, где вредоносное ПО все чаще маскируется под законные и привлекательные загрузки, заставляя пользователей сохранять бдительность в отношении своей онлайн-активности и программного обеспечения, которое они выбирают для установки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RenEngine - это изощренное вредоносное ПО, замаскированное под игровые читы и пиратское программное обеспечение, впервые распространенное в марте 2025 года через игровой веб-сайт, подвергшийся компрометация. Он использует HijackLoader, который активирует вредоносную полезную нагрузку путем перезаписи dbghelp.dll библиотека в памяти с расшифрованным шелл-кодом из gayal.asp, поддерживаемая cc32290mt.dll . Злоумышленники расширили свои методы распространения, включив поддельные сайты, предлагающие пиратское программное обеспечение, что подчеркивает глобальное воздействие вредоносное ПО и его адаптивность.
-----
RenEngine стал заметной разновидностью вредоносное ПО, распространяемой главным образом под видом игровых читов и пиратского программного обеспечения. Эта стратегия использует в своих интересах энтузиастов игр, заманивая их загружать, казалось бы, безобидное программное обеспечение, за которым скрывается продвинутое и изощренное вредоносное ПО.
Наблюдаемая тактика распространения вредоносное ПО началась в марте 2025 года, когда злоумышленники использовали игровой веб-сайт с компрометация для распространения RenEngine через взломанную игру. Одним из основных компонентов, участвующих в запуске вредоносное ПО, является HijackLoader, который использует dbghelp.dll системная библиотека в качестве начального "контейнера" для инициирования полезной нагрузки. Это достигается путем перезаписи библиотеки dll в памяти расшифрованным шелл-кодом, полученным из файла с именем gayal.asp, с cc32290mt.dll служащий промежуточной библиотекой. HijackLoader примечателен своей модульностью и универсальностью конфигурации, что позволяет эффективно развертывать целый ряд вредоносных полезных программ. Этот загрузчик был первоначально идентифицирован летом 2023 года, с более подробной технической информацией, доступной конкретным заинтересованным сторонам в области Кибербезопасность.
Злоумышленники также расширили свою тактику, выйдя за рамки просто игровых сайтов, создав множество веб-сайтов, нацеленных на распространение RenEngine, замаскированного под различные типы пиратского программного обеспечения. Например, один из таких мошеннических веб-сайтов утверждает, что предлагает активированную версию графического редактора CorelDRAW, что еще больше расширяет возможности атаки и увеличивает шансы взаимодействия пользователей с вредоносное ПО.
С момента своего появления RenEngine и связанные с ним механизмы доставки затронули пользователей во многих странах, подчеркивая глобальный охват и воздействие этой киберугроза. Распространение RenEngine означает изменение ландшафта угроз, где вредоносное ПО все чаще маскируется под законные и привлекательные загрузки, заставляя пользователей сохранять бдительность в отношении своей онлайн-активности и программного обеспечения, которое они выбирают для установки.
#ParsedReport #CompletenessHigh
11-02-2026
Inside Gunra RaaS: From Affiliate Recruitment on the Dark Web to Full Technical Dissection of their Locker
https://www.cloudsek.com/blog/inside-gunra-raas-from-affiliate-recruitment-on-the-dark-web-to-full-technical-dissection-of-their-locker
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated)
Vice_society
Threats:
Gunra
Procmon_tool
Conti
Blackbasta
Qakbot
Rhysida
Akira_ransomware
Qilin_ransomware
Blacksuit_ransomware
Darkrace
Api_obfuscation_technique
Industry:
Healthcare
TTPs:
Tactics: 5
Technics: 9
IOCs:
File: 1
Url: 1
Hash: 2
Soft:
Linux, ESXi, PsExec
Algorithms:
sha256, bcrypt, md5, aes-256-ctr, xor, curve25519, rsa-4096, chacha20
Functions:
CreateFile
Win API:
BCryptGenRandom
Languages:
rust
Platforms:
cross-platform, x86, arm
11-02-2026
Inside Gunra RaaS: From Affiliate Recruitment on the Dark Web to Full Technical Dissection of their Locker
https://www.cloudsek.com/blog/inside-gunra-raas-from-affiliate-recruitment-on-the-dark-web-to-full-technical-dissection-of-their-locker
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated)
Vice_society
Threats:
Gunra
Procmon_tool
Conti
Blackbasta
Qakbot
Rhysida
Akira_ransomware
Qilin_ransomware
Blacksuit_ransomware
Darkrace
Api_obfuscation_technique
Industry:
Healthcare
TTPs:
Tactics: 5
Technics: 9
IOCs:
File: 1
Url: 1
Hash: 2
Soft:
Linux, ESXi, PsExec
Algorithms:
sha256, bcrypt, md5, aes-256-ctr, xor, curve25519, rsa-4096, chacha20
Functions:
CreateFile
Win API:
BCryptGenRandom
Languages:
rust
Platforms:
cross-platform, x86, arm
Cloudsek
Inside Gunra RaaS: From Affiliate Recruitment on the Dark Web to Full Technical Dissection of their Locker | CloudSEK
CloudSEK researchers infiltrated Gunra’s newly launched RaaS affiliate program, gaining access to its live panel and ransomware locker. Our analysis reveals a highly optimized ChaCha20 + RSA-4096 hybrid encryption engine, multi-threaded execution, surgical…
CTT Report Hub
#ParsedReport #CompletenessHigh 11-02-2026 Inside Gunra RaaS: From Affiliate Recruitment on the Dark Web to Full Technical Dissection of their Locker https://www.cloudsek.com/blog/inside-gunra-raas-from-affiliate-recruitment-on-the-dark-web-to-full-technical…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Gunra - это программа-вымогатель как услуга (RaaS), появившаяся в мае 2025 года с целью расширения своей деятельности с помощью партнерской программы по подбору персонала, которая началась в январе 2026 года на форуме Dark Web. В то время как конкретные технические детали поведения вредоносное ПО остаются нераскрытыми, RaaS обычно включает шифрование файлов и требования выкупа. Программа позволяет менее технически квалифицированным филиалам использовать инфраструктуру и инструменты Gunra's, что свидетельствует о тенденции в области киберугроза в сторону аутсорсинга атак с использованием программ-вымогателей.
-----
Gunra идентифицирована как программа-вымогатель как услуга (RaaS), появившаяся в мае 2025 года, а в январе 2026 года на форуме Dark Web была запущена новая программа по набору партнеров. Это развитие событий предполагает организованные усилия по расширению охвата за счет найма аффилированных лиц, которые могут внедрить его программу-вымогатель в обмен на долю выплат выкупа.
Технические детали, касающиеся возможностей Gunra's вредоносное ПО, по-прежнему имеют решающее значение для понимания его воздействие и операционной модели. Хотя конкретные технические характеристики программы-вымогателя не разглашаются, существующие модели RaaS обычно включают шифрование файлов жертвы и требование выплаты выкупа за восстановление доступа. Партнерская программа подразумевает, что Gunra предоставляет инструменты и поддержку аффилированным лицам, позволяя менее технически квалифицированным актор проводить атаки.
Существование такой программы подчеркивает тенденцию в экосистеме киберпреступников к аутсорсингу развертывания программ-вымогателей для повышения эффективности и прибыли. Филиалы могут использовать инфраструктуру Gunra's, которая может включать в себя методы шифрования, платежные механизмы и оперативные меры безопасности, позволяющие избежать обнаружения.
Таким образом, появление Gunra RaaS указывает на тревожную эволюцию в ландшафте киберугроза, усиливая необходимость постоянной бдительности в отношении атак, связанных с программами-вымогателями, и тактики вербовки, используемой киберпреступниками в Dark Web.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Gunra - это программа-вымогатель как услуга (RaaS), появившаяся в мае 2025 года с целью расширения своей деятельности с помощью партнерской программы по подбору персонала, которая началась в январе 2026 года на форуме Dark Web. В то время как конкретные технические детали поведения вредоносное ПО остаются нераскрытыми, RaaS обычно включает шифрование файлов и требования выкупа. Программа позволяет менее технически квалифицированным филиалам использовать инфраструктуру и инструменты Gunra's, что свидетельствует о тенденции в области киберугроза в сторону аутсорсинга атак с использованием программ-вымогателей.
-----
Gunra идентифицирована как программа-вымогатель как услуга (RaaS), появившаяся в мае 2025 года, а в январе 2026 года на форуме Dark Web была запущена новая программа по набору партнеров. Это развитие событий предполагает организованные усилия по расширению охвата за счет найма аффилированных лиц, которые могут внедрить его программу-вымогатель в обмен на долю выплат выкупа.
Технические детали, касающиеся возможностей Gunra's вредоносное ПО, по-прежнему имеют решающее значение для понимания его воздействие и операционной модели. Хотя конкретные технические характеристики программы-вымогателя не разглашаются, существующие модели RaaS обычно включают шифрование файлов жертвы и требование выплаты выкупа за восстановление доступа. Партнерская программа подразумевает, что Gunra предоставляет инструменты и поддержку аффилированным лицам, позволяя менее технически квалифицированным актор проводить атаки.
Существование такой программы подчеркивает тенденцию в экосистеме киберпреступников к аутсорсингу развертывания программ-вымогателей для повышения эффективности и прибыли. Филиалы могут использовать инфраструктуру Gunra's, которая может включать в себя методы шифрования, платежные механизмы и оперативные меры безопасности, позволяющие избежать обнаружения.
Таким образом, появление Gunra RaaS указывает на тревожную эволюцию в ландшафте киберугроза, усиливая необходимость постоянной бдительности в отношении атак, связанных с программами-вымогателями, и тактики вербовки, используемой киберпреступниками в Dark Web.
#ParsedReport #CompletenessLow
11-02-2026
New threat actor, UAT-9921, leverages VoidLink framework in campaigns
https://blog.talosintelligence.com/voidlink/
Report completeness: Low
Actors/Campaigns:
Uat-9921
Threats:
Voidlink
Cobalt_strike_tool
Manjusaka_tool
Alchimist_tool
Supershell
Fscan_tool
Sliver_c2_tool
Dll_sideloading_technique
Industry:
Iot, Critical_infrastructure
Geo:
Chinese
Soft:
Linux, MacOS, Docker
Languages:
java, ziglang, golang
11-02-2026
New threat actor, UAT-9921, leverages VoidLink framework in campaigns
https://blog.talosintelligence.com/voidlink/
Report completeness: Low
Actors/Campaigns:
Uat-9921
Threats:
Voidlink
Cobalt_strike_tool
Manjusaka_tool
Alchimist_tool
Supershell
Fscan_tool
Sliver_c2_tool
Dll_sideloading_technique
Industry:
Iot, Critical_infrastructure
Geo:
Chinese
Soft:
Linux, MacOS, Docker
Languages:
java, ziglang, golang
Cisco Talos
New threat actor, UAT-9921, leverages VoidLink framework in campaigns
Cisco Talos recently discovered a new threat actor, UAT-9221, leveraging VoidLink in campaigns. Their activities may go as far back as 2019, even without VoidLink.
CTT Report Hub
#ParsedReport #CompletenessLow 11-02-2026 New threat actor, UAT-9921, leverages VoidLink framework in campaigns https://blog.talosintelligence.com/voidlink/ Report completeness: Low Actors/Campaigns: Uat-9921 Threats: Voidlink Cobalt_strike_tool Manjusaka_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленник UAT-9921 использует фреймворк VoidLink, который обладает возможностью компиляции по требованию, адаптированной для атак, управляемых искусственным интеллектом, и работает как минимум с 2019 года. VoidLink, предназначенный для разработки пользовательских средств атаки, включает в себя имплантаты Windows и систему контроля доступа на основе ролей для усиления надзора, предлагая методичный и подотчетный подход к кибероперациям. Ожидается, что деятельность актор, связанная с несколькими целями и отмеченная потенциальным влиянием китайского языка, продолжится до января 2026 года, что отражает эволюционирующую тактику в этом пространстве.
-----
Появление злоумышленник UAT-9921 было связано с использованием VoidLink фреймворк, который известен своей функцией компиляции по требованию, поддерживающей атаки, управляемые искусственным интеллектом. Cisco Talos определила, что действия UAT-9921's, возможно, начались еще в 2019 году, до использования ими VoidLink. Фреймворк разработан для облегчения создания специализированных инструментов атаки для операторов, с указанием того, что он включает в себя импланты для Windows, способные загружать различные плагины. Это позиционирует VoidLink как надежную, но гибкую фреймворк для управления имплантатами, который включает в себя механизмы аудита и надзора, что крайне важно для организаций, работающих в регулируемой среде.
UAT-9921, по-видимому, немного знаком с китайским языком, о чем свидетельствует язык, используемый в их методах кодирования и комментариях, что указывает на потенциальное региональное происхождение злоумышленник. Их операции отслеживались в связи с многочисленными целями с сентября, и ожидается, что они продолжатся до января 2026 года. Эта временная шкала не противоречит выводам исследования Checkpoint, поскольку даты разработки VoidLink указывают на прогресс по сравнению с более ранними версиями, усиливая непрерывную эволюцию их тактики и инструментов.
Текущий анализ, проводимый Cisco Talos, все больше фокусируется на фреймворк для быстрого развертывания атак, которые набирают популярность с 2022 года. Среди них такие проекты, как Manjusaka и Alchimist/Insekt, были изучены аналогичным образом, выявив общий дух разработки и черты дизайна, на которые повлияли такие фреймворк, как CobaltStrike и Sliver. Тем не менее, VoidLink отличается своей уникальной однофайловой инфраструктурой и отсутствием встроенного переносчика инфекции, что предполагает подход к планированию, который подчеркивает скрытность и адаптивность.
Архитектура VoidLink's подкреплена функциями, обычно связанными со средами с высокими ставками, в частности системой управления доступом на основе ролей (RBAC), которая разделяет доступ пользователей на три уровня: СуперАдмин, оператор и зритель. Эта функция повышает оперативную безопасность и надзор, обеспечивая контролируемый доступ к конфиденциальным функциям в рамках фреймворк, что резко контрастирует со многими существующими альтернативами, которым не хватает такого детального управления. Эта надежная конструкция обеспечивает потенциал UAT-9921 для проведения сложных киберопераций с учетом юридической и корпоративной подотчетности, что знаменует собой значительное развитие в области оценки киберугроза.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленник UAT-9921 использует фреймворк VoidLink, который обладает возможностью компиляции по требованию, адаптированной для атак, управляемых искусственным интеллектом, и работает как минимум с 2019 года. VoidLink, предназначенный для разработки пользовательских средств атаки, включает в себя имплантаты Windows и систему контроля доступа на основе ролей для усиления надзора, предлагая методичный и подотчетный подход к кибероперациям. Ожидается, что деятельность актор, связанная с несколькими целями и отмеченная потенциальным влиянием китайского языка, продолжится до января 2026 года, что отражает эволюционирующую тактику в этом пространстве.
-----
Появление злоумышленник UAT-9921 было связано с использованием VoidLink фреймворк, который известен своей функцией компиляции по требованию, поддерживающей атаки, управляемые искусственным интеллектом. Cisco Talos определила, что действия UAT-9921's, возможно, начались еще в 2019 году, до использования ими VoidLink. Фреймворк разработан для облегчения создания специализированных инструментов атаки для операторов, с указанием того, что он включает в себя импланты для Windows, способные загружать различные плагины. Это позиционирует VoidLink как надежную, но гибкую фреймворк для управления имплантатами, который включает в себя механизмы аудита и надзора, что крайне важно для организаций, работающих в регулируемой среде.
UAT-9921, по-видимому, немного знаком с китайским языком, о чем свидетельствует язык, используемый в их методах кодирования и комментариях, что указывает на потенциальное региональное происхождение злоумышленник. Их операции отслеживались в связи с многочисленными целями с сентября, и ожидается, что они продолжатся до января 2026 года. Эта временная шкала не противоречит выводам исследования Checkpoint, поскольку даты разработки VoidLink указывают на прогресс по сравнению с более ранними версиями, усиливая непрерывную эволюцию их тактики и инструментов.
Текущий анализ, проводимый Cisco Talos, все больше фокусируется на фреймворк для быстрого развертывания атак, которые набирают популярность с 2022 года. Среди них такие проекты, как Manjusaka и Alchimist/Insekt, были изучены аналогичным образом, выявив общий дух разработки и черты дизайна, на которые повлияли такие фреймворк, как CobaltStrike и Sliver. Тем не менее, VoidLink отличается своей уникальной однофайловой инфраструктурой и отсутствием встроенного переносчика инфекции, что предполагает подход к планированию, который подчеркивает скрытность и адаптивность.
Архитектура VoidLink's подкреплена функциями, обычно связанными со средами с высокими ставками, в частности системой управления доступом на основе ролей (RBAC), которая разделяет доступ пользователей на три уровня: СуперАдмин, оператор и зритель. Эта функция повышает оперативную безопасность и надзор, обеспечивая контролируемый доступ к конфиденциальным функциям в рамках фреймворк, что резко контрастирует со многими существующими альтернативами, которым не хватает такого детального управления. Эта надежная конструкция обеспечивает потенциал UAT-9921 для проведения сложных киберопераций с учетом юридической и корпоративной подотчетности, что знаменует собой значительное развитие в области оценки киберугроза.
#ParsedReport #CompletenessMedium
11-02-2026
Fake recruiter campaign targets crypto devs
https://www.reversinglabs.com/blog/fake-recruiter-campaign-crypto-devs
Report completeness: Medium
Actors/Campaigns:
Graphalgo
Lazarus
Threats:
Supply_chain_technique
Industry:
Financial
Geo:
North korea, North korean
TTPs:
Tactics: 1
Technics: 0
IOCs:
Domain: 4
File: 1
Hash: 195
Soft:
Twitter, VMConnect
Wallets:
metamask
Algorithms:
sha1
Languages:
javascript, python
11-02-2026
Fake recruiter campaign targets crypto devs
https://www.reversinglabs.com/blog/fake-recruiter-campaign-crypto-devs
Report completeness: Medium
Actors/Campaigns:
Graphalgo
Lazarus
Threats:
Supply_chain_technique
Industry:
Financial
Geo:
North korea, North korean
TTPs:
Tactics: 1
Technics: 0
IOCs:
Domain: 4
File: 1
Hash: 195
Soft:
Twitter, VMConnect
Wallets:
metamask
Algorithms:
sha1
Languages:
javascript, python
ReversingLabs
Fake recruiter campaign targets crypto developers with RAT | ReversingLabs
A new branch of a well-coordinated fake job recruitment campaign is targeting Javascript and Python developers via social channels.
CTT Report Hub
#ParsedReport #CompletenessMedium 11-02-2026 Fake recruiter campaign targets crypto devs https://www.reversinglabs.com/blog/fake-recruiter-campaign-crypto-devs Report completeness: Medium Actors/Campaigns: Graphalgo Lazarus Threats: Supply_chain_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания "graphalgo" нацелена на разработчиков криптовалют через поддельную организацию veltrix-capital и использует мошенническую стратегию подбора персонала. Злоумышленники создают кажущиеся безобидными репозитории GitHub для рабочих задач, которые скрывают вредоносные зависимости от npm и PyPI, что приводит к развертыванию модульного троянца удаленного доступа (RAT), который облегчает удаленные команды и доставку полезной нагрузки. Тактика предполагает, что актор, спонсируемый государством, напоминает методы, используемые северокорейской группой Lazarus, использующей доверенную среду для проникновения.
-----
Недавняя хакерская кАмпания, получившая название "graphalgo", в первую очередь нацелена на разработчиков криптовалют, использующих мошенническую стратегию подбора персонала. Центральное место в операции занимает фиктивная организация под названием "veltrix-capital", которая действует под видом законной компании, работающей в сфере блокчейна и криптоторговли. Домен для этого объекта, www.veltrixcap.org , был создан незадолго до атаки в апреле 2025 года. Кроме того, была создана организация GitHub, которая способствовала появлению легитимности путем создания различных репозиториев, предназначенных для заданий на собеседовании при приеме на работу.
Эти репозитории, в которых представлены проекты на Python и JavaScript, такие как test-url-мониторинг и test-devops-мониторинг, изначально не демонстрируют какого-либо вредоносного поведения. Вместо этого вредоносные возможности кампании встроены в зависимости, полученные из репозиториев пакетов с открытым исходным кодом, таких как npm и PyPI. Эта серверная стратегия позволяет злоумышленник использовать установленные платформы для скрытного размещения своих вредоносных полезных данных, повышая эффективность их работы, поскольку одни и те же полезные данные могут быть развернуты на нескольких фронтах атаки.
Конечная цель этой кампании заключается в развертывании троянца удаленного доступа (RAT), который действует как загрузчик конечных полезных данных. После установки этот RAT может выполнять ряд команд с сервера управления, включая манипулирование файлами, управление процессами и удаленное выполнение произвольных команд. Модульный и многоуровневый дизайн этого вредоносное ПО в сочетании с изощренностью злоумышленник, стоящего за кампанией, предполагает участие спонсируемой государством группы.
Методология и сложность, наблюдаемые в этой кампании, напоминают тактику, применяемую северокорейскими актор, занимающимися сложная целенаправленная угроза, в частности группой Lazarus. Исторические ссылки указывают на то, что эти актор занимались аналогичными вредоносными действиями, используя общедоступные репозитории, используя доверие, установленное законными именами пакетов, для облегчения проникновения вредоносное ПО. Кампания graphalgo отражает сохраняющуюся тенденцию к тому, что высокоорганизованные, спонсируемые государством актор используют сложную сеть маскировки и обмана для эффективного проведения своих киберопераций.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания "graphalgo" нацелена на разработчиков криптовалют через поддельную организацию veltrix-capital и использует мошенническую стратегию подбора персонала. Злоумышленники создают кажущиеся безобидными репозитории GitHub для рабочих задач, которые скрывают вредоносные зависимости от npm и PyPI, что приводит к развертыванию модульного троянца удаленного доступа (RAT), который облегчает удаленные команды и доставку полезной нагрузки. Тактика предполагает, что актор, спонсируемый государством, напоминает методы, используемые северокорейской группой Lazarus, использующей доверенную среду для проникновения.
-----
Недавняя хакерская кАмпания, получившая название "graphalgo", в первую очередь нацелена на разработчиков криптовалют, использующих мошенническую стратегию подбора персонала. Центральное место в операции занимает фиктивная организация под названием "veltrix-capital", которая действует под видом законной компании, работающей в сфере блокчейна и криптоторговли. Домен для этого объекта, www.veltrixcap.org , был создан незадолго до атаки в апреле 2025 года. Кроме того, была создана организация GitHub, которая способствовала появлению легитимности путем создания различных репозиториев, предназначенных для заданий на собеседовании при приеме на работу.
Эти репозитории, в которых представлены проекты на Python и JavaScript, такие как test-url-мониторинг и test-devops-мониторинг, изначально не демонстрируют какого-либо вредоносного поведения. Вместо этого вредоносные возможности кампании встроены в зависимости, полученные из репозиториев пакетов с открытым исходным кодом, таких как npm и PyPI. Эта серверная стратегия позволяет злоумышленник использовать установленные платформы для скрытного размещения своих вредоносных полезных данных, повышая эффективность их работы, поскольку одни и те же полезные данные могут быть развернуты на нескольких фронтах атаки.
Конечная цель этой кампании заключается в развертывании троянца удаленного доступа (RAT), который действует как загрузчик конечных полезных данных. После установки этот RAT может выполнять ряд команд с сервера управления, включая манипулирование файлами, управление процессами и удаленное выполнение произвольных команд. Модульный и многоуровневый дизайн этого вредоносное ПО в сочетании с изощренностью злоумышленник, стоящего за кампанией, предполагает участие спонсируемой государством группы.
Методология и сложность, наблюдаемые в этой кампании, напоминают тактику, применяемую северокорейскими актор, занимающимися сложная целенаправленная угроза, в частности группой Lazarus. Исторические ссылки указывают на то, что эти актор занимались аналогичными вредоносными действиями, используя общедоступные репозитории, используя доверие, установленное законными именами пакетов, для облегчения проникновения вредоносное ПО. Кампания graphalgo отражает сохраняющуюся тенденцию к тому, что высокоорганизованные, спонсируемые государством актор используют сложную сеть маскировки и обмана для эффективного проведения своих киберопераций.
#ParsedReport #CompletenessLow
11-02-2026
Mispadu Phishing Malware Baseline: Delivery Chains, Capabilities, and Common Campaigns
https://cofense.com/blog/mispadu-phishing-malware-baseline
Report completeness: Low
Actors/Campaigns:
Ta2725
Malteiro
Threats:
Mispadu
Grandoreiro
Delphiloader
Jsdropper
Victims:
Banking customers
Industry:
Financial
Geo:
Argentina, Portugal, Latin american, Portuguese, Spain, Mexico, Italy, Spanish, Latin america, Colombia, Brazil
ChatGPT TTPs:
T1027, T1055, T1056.001, T1059.005, T1059.007, T1105, T1113, T1115, T1189, T1204, have more...
IOCs:
File: 1
Soft:
Outlook
Crypto:
bitcoin
Algorithms:
md5
Languages:
javascript, autoit
11-02-2026
Mispadu Phishing Malware Baseline: Delivery Chains, Capabilities, and Common Campaigns
https://cofense.com/blog/mispadu-phishing-malware-baseline
Report completeness: Low
Actors/Campaigns:
Ta2725
Malteiro
Threats:
Mispadu
Grandoreiro
Delphiloader
Jsdropper
Victims:
Banking customers
Industry:
Financial
Geo:
Argentina, Portugal, Latin american, Portuguese, Spain, Mexico, Italy, Spanish, Latin america, Colombia, Brazil
ChatGPT TTPs:
do not use without manual checkT1027, T1055, T1056.001, T1059.005, T1059.007, T1105, T1113, T1115, T1189, T1204, have more...
IOCs:
File: 1
Soft:
Outlook
Crypto:
bitcoin
Algorithms:
md5
Languages:
javascript, autoit
Cofense
Mispadu Phishing Malware Baseline: Delivery Chains
Mispadu is a leading Latin American banking trojan, active since 2019, targeting Mexico, Brazil, and beyond through phishing emails and malicious PDF attachments that evade secure email gateways.
CTT Report Hub
#ParsedReport #CompletenessLow 11-02-2026 Mispadu Phishing Malware Baseline: Delivery Chains, Capabilities, and Common Campaigns https://cofense.com/blog/mispadu-phishing-malware-baseline Report completeness: Low Actors/Campaigns: Ta2725 Malteiro Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Mispadu - банковский троян, действующий с 2019 года, поражающий в первую очередь Латинскую Америку, с возможностями самораспространения, которые позволяют ему распространяться через контакты Outlook зараженных хостов. Вредоносное ПО эволюционировало, включив в себя регистрацию нажатий клавиш, кражу учетных данных и нацеливание на адреса биткоин-кошельков. В настоящее время кампании Mispadu используют HTA-файлы, доставляемые с помощью JavaScript и VBS, с электронными письмами преимущественно на испанском языке, в то время как их выполнение с помощью скомпилированного сценария AutoIt усложняет усилия по обнаружению.
-----
Mispadu - это банковский троян, который активен с 2019 года и стал заметным среди латиноамериканских киберугроза, особенно в испаноязычных странах, таких как Мексика, Аргентина и Бразилия. Первоначально возникший из незначительных операций, он превратился в основного банковского трояна, замеченного Cofense в регионе. Mispadu обладает возможностями самораспространения, что позволяет зараженным хостам распространять дополнительные электронные письма кампании среди контактов Outlook, не требуя от злоумышленников дополнительного таргетинга. В то время как в предыдущих кампаниях компании использовалась подмена бренда, чтобы имитировать такие известные организации, как BBVA Bancomer и Федеральная комиссия по электричеству, в последних кампаниях заметно снизилась сложность и Имперсонация бренда.
Первоначально ESET сообщала, что ранние версии Mispadu's отличались упрощенным функционалом и часто использовали вредоносную рекламу для распространения. В то время его функции включали в себя кражу базовых учетные данные, извлечение информации с помощью внешних утилит и плохо выполненные всплывающие интерфейсы. Однако со временем его возможности расширились и включили в себя такие функции, как снятие скриншотов, регистрация нажатий клавиш, кража сохраненных учетные данные из браузеров и изменение содержимого буфера обмена, в частности, нацеливание на адреса биткойн-кошельков.
С точки зрения текущей тактики работы, кампании Mispadu преимущественно используют HTA (HTML-приложение) для доставки, обычно загружаемый по цепочке, которая включает файлы JavaScript и VBS. Несмотря на то, что механизм его доставки эволюционировал, с 2025 года он стабилизировался в определенном варианте, с динамическими URL-адресами, часто встраиваемыми во вложения PDF. Электронные письма, способствующие этим атакам, преимущественно написаны на испанском языке, что соответствует географическому таргетингу трояна — примерно 81% кампаний направлены на испаноязычных пользователей.
С поведенческой точки зрения текущая версия Mispadu развертывается в виде скомпилированного сценария автоматической загрузки, который выполняется с помощью законного интерпретатора, что затрудняет обнаружение для организаций, занимающихся безопасностью. Вредоносное ПО внедряет вредоносный код в законный процесс attrib.exe и загружает различные законные библиотеки DLL для поддержания закрепление и функциональности. Разделы конфигурации Mispadu помечены строкой "l4riss4", и структура этих разделов отражает то, как они были изначально расположены до того, как были заполнены вредоносными данными. В целом, события в Mispadu подчеркивают его растущую изощренность и постоянную угрозу в банковском секторе, подчеркивая продолжающуюся эволюцию тактики вредоносное ПО в нацелен на финансовые операции.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Mispadu - банковский троян, действующий с 2019 года, поражающий в первую очередь Латинскую Америку, с возможностями самораспространения, которые позволяют ему распространяться через контакты Outlook зараженных хостов. Вредоносное ПО эволюционировало, включив в себя регистрацию нажатий клавиш, кражу учетных данных и нацеливание на адреса биткоин-кошельков. В настоящее время кампании Mispadu используют HTA-файлы, доставляемые с помощью JavaScript и VBS, с электронными письмами преимущественно на испанском языке, в то время как их выполнение с помощью скомпилированного сценария AutoIt усложняет усилия по обнаружению.
-----
Mispadu - это банковский троян, который активен с 2019 года и стал заметным среди латиноамериканских киберугроза, особенно в испаноязычных странах, таких как Мексика, Аргентина и Бразилия. Первоначально возникший из незначительных операций, он превратился в основного банковского трояна, замеченного Cofense в регионе. Mispadu обладает возможностями самораспространения, что позволяет зараженным хостам распространять дополнительные электронные письма кампании среди контактов Outlook, не требуя от злоумышленников дополнительного таргетинга. В то время как в предыдущих кампаниях компании использовалась подмена бренда, чтобы имитировать такие известные организации, как BBVA Bancomer и Федеральная комиссия по электричеству, в последних кампаниях заметно снизилась сложность и Имперсонация бренда.
Первоначально ESET сообщала, что ранние версии Mispadu's отличались упрощенным функционалом и часто использовали вредоносную рекламу для распространения. В то время его функции включали в себя кражу базовых учетные данные, извлечение информации с помощью внешних утилит и плохо выполненные всплывающие интерфейсы. Однако со временем его возможности расширились и включили в себя такие функции, как снятие скриншотов, регистрация нажатий клавиш, кража сохраненных учетные данные из браузеров и изменение содержимого буфера обмена, в частности, нацеливание на адреса биткойн-кошельков.
С точки зрения текущей тактики работы, кампании Mispadu преимущественно используют HTA (HTML-приложение) для доставки, обычно загружаемый по цепочке, которая включает файлы JavaScript и VBS. Несмотря на то, что механизм его доставки эволюционировал, с 2025 года он стабилизировался в определенном варианте, с динамическими URL-адресами, часто встраиваемыми во вложения PDF. Электронные письма, способствующие этим атакам, преимущественно написаны на испанском языке, что соответствует географическому таргетингу трояна — примерно 81% кампаний направлены на испаноязычных пользователей.
С поведенческой точки зрения текущая версия Mispadu развертывается в виде скомпилированного сценария автоматической загрузки, который выполняется с помощью законного интерпретатора, что затрудняет обнаружение для организаций, занимающихся безопасностью. Вредоносное ПО внедряет вредоносный код в законный процесс attrib.exe и загружает различные законные библиотеки DLL для поддержания закрепление и функциональности. Разделы конфигурации Mispadu помечены строкой "l4riss4", и структура этих разделов отражает то, как они были изначально расположены до того, как были заполнены вредоносными данными. В целом, события в Mispadu подчеркивают его растущую изощренность и постоянную угрозу в банковском секторе, подчеркивая продолжающуюся эволюцию тактики вредоносное ПО в нацелен на финансовые операции.
#ParsedReport #CompletenessMedium
11-02-2026
Cato CTRL Threat Research: Foxveil New Malware Loader Abusing Cloudflare, Discord, and Netlify as Staging Infrastructure
https://www.catonetworks.com/blog/cato-ctrl-foxveil-new-malware/
Report completeness: Medium
Actors/Campaigns:
Silver_fox
Threats:
Foxveil
Apc_injection_technique
Donut
Meterpreter_tool
Cobalt_strike_tool
Victims:
Enterprises
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 9
Path: 1
Hash: 34
Domain: 10
Soft:
Discord, Windows service, Microsoft Defender
Algorithms:
sha256
11-02-2026
Cato CTRL Threat Research: Foxveil New Malware Loader Abusing Cloudflare, Discord, and Netlify as Staging Infrastructure
https://www.catonetworks.com/blog/cato-ctrl-foxveil-new-malware/
Report completeness: Medium
Actors/Campaigns:
Silver_fox
Threats:
Foxveil
Apc_injection_technique
Donut
Meterpreter_tool
Cobalt_strike_tool
Victims:
Enterprises
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 9
Path: 1
Hash: 34
Domain: 10
Soft:
Discord, Windows service, Microsoft Defender
Algorithms:
sha256
Cato Networks
Cato CTRL™ Threat Research: Foxveil – New Malware Loader Abusing Cloudflare, Discord, and Netlify as Staging Infrastructure
Cato CTRL has uncovered Foxveil, a previously undocumented malware loader active since August 2025.