#ParsedReport #CompletenessMedium
11-02-2026
Cato CTRL Threat Research: Foxveil New Malware Loader Abusing Cloudflare, Discord, and Netlify as Staging Infrastructure
https://www.catonetworks.com/blog/cato-ctrl-foxveil-new-malware/
Report completeness: Medium
Actors/Campaigns:
Silver_fox
Threats:
Foxveil
Apc_injection_technique
Donut
Meterpreter_tool
Cobalt_strike_tool
Victims:
Enterprises
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 9
Path: 1
Hash: 34
Domain: 10
Soft:
Discord, Windows service, Microsoft Defender
Algorithms:
sha256
11-02-2026
Cato CTRL Threat Research: Foxveil New Malware Loader Abusing Cloudflare, Discord, and Netlify as Staging Infrastructure
https://www.catonetworks.com/blog/cato-ctrl-foxveil-new-malware/
Report completeness: Medium
Actors/Campaigns:
Silver_fox
Threats:
Foxveil
Apc_injection_technique
Donut
Meterpreter_tool
Cobalt_strike_tool
Victims:
Enterprises
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 9
Path: 1
Hash: 34
Domain: 10
Soft:
Discord, Windows service, Microsoft Defender
Algorithms:
sha256
Cato Networks
Cato CTRL™ Threat Research: Foxveil – New Malware Loader Abusing Cloudflare, Discord, and Netlify as Staging Infrastructure
Cato CTRL has uncovered Foxveil, a previously undocumented malware loader active since August 2025.
CTT Report Hub
#ParsedReport #CompletenessMedium 11-02-2026 Cato CTRL Threat Research: Foxveil New Malware Loader Abusing Cloudflare, Discord, and Netlify as Staging Infrastructure https://www.catonetworks.com/blog/cato-ctrl-foxveil-new-malware/ Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Foxveil - это сложный загрузчик вредоносное ПО, идентифицированный Cato CTRL, активно использующий тактику обфускации с августа 2025 года. Он поставляется в двух вариантах; версия 1 использует APC injection в svchost.exe , в то время как версия 2 самостоятельно вводит шеллкод, обеспечивая закрепление как за счет регистрации в Служба Windows, так и за счет размещения файла в каталоге SysWOW64. Кроме того, Foxveil использует мутацию строк во время выполнения, чтобы избежать обнаружения, наряду с загрузкой полезных данных из надежных Облачные сервисы и Discord, что усложняет традиционные меры безопасности и указывает на его роль в качестве этапа для дальнейшего использования.
-----
Cato CTRL идентифицировал новый загрузчик вредоносное ПО под названием "Foxveil", который был активен с августа 2025 года. Анализ выявил два различных варианта, v1 и v2, оба предназначены для создания начальной точки опоры в системах-нацелен на, одновременно усложняя усилия по обнаружению. Foxveil извлекает последующие полезные данные из Облачные сервисы, пользующиеся широким доверием, такие как Cloudflare Pages и Netlify, а также из вложений Discord, тем самым скрывая свою деятельность в рамках законного веб-трафика.
Вредоносная Кампания использует метод, при котором она загружает вредоносные исполняемые файлы или DLL-библиотеки в систему жертвы. После выполнения Foxveil использует различные методы для выполнения кода и закрепление в зависимости от варианта. Foxveil v1 использует метод ранней разработки, применяя внедрение Асинхронный вызов процедур (APC) во вновь созданный процесс, Маскировка под svchost.exe . В отличие от этого, Foxveil v2 использует самостоятельное внедрение загруженного шелл-кода в тот же процесс. Оба варианта поддерживают закрепление; Foxveil v1 регистрируется как Служба Windows с именем AarSvc и удаляет полезные нагрузки следующего этапа в каталоге SysWOW64.
Важным аспектом Foxveil является его метод антианализа, характеризующийся мутацией строк во время выполнения, которая изменяет ключевые строки, связанные с вредоносными действиями, чтобы избежать обнаружения. Этот метод служит для усложнения статического анализа и реверс-инжиниринга вредоносное ПО. Было замечено, что Foxveil загружает дополнительные исполняемые файлы из доменов, контролируемых злоумышленник, что указывает на то, что он функционирует как промежуточный загрузчик для более сложного фреймворк после эксплуатации.
Операционная эффективность Foxveil в значительной степени зависит от ее способности вписываться в надежную инфраструктуру и маскировать свою деятельность в рамках обычного корпоративного трафика, что снижает эффективность традиционных решений безопасности и списков блокировок. Учитывая эту сложность, превентивные меры, подобные тем, которые реализованы платформой Cato SASE, имеют решающее значение, поскольку они могут перехватывать Foxveil до того, как он выполнит поэтапную полезную нагрузку, эффективно останавливая цепочку атак на ранних этапах процесса.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Foxveil - это сложный загрузчик вредоносное ПО, идентифицированный Cato CTRL, активно использующий тактику обфускации с августа 2025 года. Он поставляется в двух вариантах; версия 1 использует APC injection в svchost.exe , в то время как версия 2 самостоятельно вводит шеллкод, обеспечивая закрепление как за счет регистрации в Служба Windows, так и за счет размещения файла в каталоге SysWOW64. Кроме того, Foxveil использует мутацию строк во время выполнения, чтобы избежать обнаружения, наряду с загрузкой полезных данных из надежных Облачные сервисы и Discord, что усложняет традиционные меры безопасности и указывает на его роль в качестве этапа для дальнейшего использования.
-----
Cato CTRL идентифицировал новый загрузчик вредоносное ПО под названием "Foxveil", который был активен с августа 2025 года. Анализ выявил два различных варианта, v1 и v2, оба предназначены для создания начальной точки опоры в системах-нацелен на, одновременно усложняя усилия по обнаружению. Foxveil извлекает последующие полезные данные из Облачные сервисы, пользующиеся широким доверием, такие как Cloudflare Pages и Netlify, а также из вложений Discord, тем самым скрывая свою деятельность в рамках законного веб-трафика.
Вредоносная Кампания использует метод, при котором она загружает вредоносные исполняемые файлы или DLL-библиотеки в систему жертвы. После выполнения Foxveil использует различные методы для выполнения кода и закрепление в зависимости от варианта. Foxveil v1 использует метод ранней разработки, применяя внедрение Асинхронный вызов процедур (APC) во вновь созданный процесс, Маскировка под svchost.exe . В отличие от этого, Foxveil v2 использует самостоятельное внедрение загруженного шелл-кода в тот же процесс. Оба варианта поддерживают закрепление; Foxveil v1 регистрируется как Служба Windows с именем AarSvc и удаляет полезные нагрузки следующего этапа в каталоге SysWOW64.
Важным аспектом Foxveil является его метод антианализа, характеризующийся мутацией строк во время выполнения, которая изменяет ключевые строки, связанные с вредоносными действиями, чтобы избежать обнаружения. Этот метод служит для усложнения статического анализа и реверс-инжиниринга вредоносное ПО. Было замечено, что Foxveil загружает дополнительные исполняемые файлы из доменов, контролируемых злоумышленник, что указывает на то, что он функционирует как промежуточный загрузчик для более сложного фреймворк после эксплуатации.
Операционная эффективность Foxveil в значительной степени зависит от ее способности вписываться в надежную инфраструктуру и маскировать свою деятельность в рамках обычного корпоративного трафика, что снижает эффективность традиционных решений безопасности и списков блокировок. Учитывая эту сложность, превентивные меры, подобные тем, которые реализованы платформой Cato SASE, имеют решающее значение, поскольку они могут перехватывать Foxveil до того, как он выполнит поэтапную полезную нагрузку, эффективно останавливая цепочку атак на ранних этапах процесса.
#ParsedReport #CompletenessMedium
11-02-2026
APT Profile Fancy Bear
https://www.cyfirma.com/research/apt-profile-fancy-bear-3/
Report completeness: Medium
Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage, financially_motivated)
Threats:
Computrace_tool
Dealerschoice_tool
Sedkit_tool
Mimikatz_tool
Xagent
Steelhook
Headlace
Sedreco
Oceanmap
Oldbait
Procdump_tool
Downdelph
Advstoreshell
Gooseegg_tool
Xtunnel
Cannon
Usbstealer
Foozer
Vpnfilter
Koadic_tool
Coreshell
Komplex
Slimagent_tool
Sedup_loader
Zebrocy
Beardshell_tool
Pocodown
Masepie_tool
Nimcy
Lojax
Spear-phishing_technique
Credential_harvesting_technique
Pkexec_tool
Timestomp_technique
Passthehash_technique
Eviltwin_technique
Aitm_technique
Password_spray_technique
Credential_dumping_technique
Victims:
Government organizations, Defense aligned organizations, Election processes
Industry:
Government, Energy, Logistic, Critical_infrastructure
Geo:
France, Georgia, Ukraine, Syria, Moldova, India, Romania, Russian, Brazil, Australia, Malaysia, Afghanistan, Vietnam, South africa, Cambodia, Pakistan, Kazakhstan, Mexico, Germany, Indonesia, Thailand, Turkey, Russia
CVEs:
CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)
CVE-2016-5195 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu_linux (12.04, 14.04, 16.04, 16.10)
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)
CVE-2015-2545 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)
TTPs:
Tactics: 14
Technics: 83
Soft:
Microsoft Office, Linux, Microsoft Exchange, Component Object Model
11-02-2026
APT Profile Fancy Bear
https://www.cyfirma.com/research/apt-profile-fancy-bear-3/
Report completeness: Medium
Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage, financially_motivated)
Threats:
Computrace_tool
Dealerschoice_tool
Sedkit_tool
Mimikatz_tool
Xagent
Steelhook
Headlace
Sedreco
Oceanmap
Oldbait
Procdump_tool
Downdelph
Advstoreshell
Gooseegg_tool
Xtunnel
Cannon
Usbstealer
Foozer
Vpnfilter
Koadic_tool
Coreshell
Komplex
Slimagent_tool
Sedup_loader
Zebrocy
Beardshell_tool
Pocodown
Masepie_tool
Nimcy
Lojax
Spear-phishing_technique
Credential_harvesting_technique
Pkexec_tool
Timestomp_technique
Passthehash_technique
Eviltwin_technique
Aitm_technique
Password_spray_technique
Credential_dumping_technique
Victims:
Government organizations, Defense aligned organizations, Election processes
Industry:
Government, Energy, Logistic, Critical_infrastructure
Geo:
France, Georgia, Ukraine, Syria, Moldova, India, Romania, Russian, Brazil, Australia, Malaysia, Afghanistan, Vietnam, South africa, Cambodia, Pakistan, Kazakhstan, Mexico, Germany, Indonesia, Thailand, Turkey, Russia
CVEs:
CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)
CVE-2016-5195 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu_linux (12.04, 14.04, 16.04, 16.10)
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)
CVE-2015-2545 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)
TTPs:
Tactics: 14
Technics: 83
Soft:
Microsoft Office, Linux, Microsoft Exchange, Component Object Model
CYFIRMA
APT Profile – Fancy Bear - CYFIRMA
Fancy Bear is a well-documented Russian state-sponsored threat actor that has been active since at least 2007 and is widely...
CTT Report Hub
#ParsedReport #CompletenessMedium 11-02-2026 APT Profile Fancy Bear https://www.cyfirma.com/research/apt-profile-fancy-bear-3/ Report completeness: Medium Actors/Campaigns: Fancy_bear (motivation: cyber_espionage, financially_motivated) Threats: Computrace_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Fancy Bear, злоумышленник, спонсируемый российским государством, со временем адаптировал свои методы, недавно использовав уязвимость Microsoft Office (CVE-2026-21509) с оценкой CVSS 7,8 для атак на правительственные и оборонные структуры в Восточной Европе. Их методы включают кражу учетных данных, фишинг и использование общедоступных приложений, наряду с изощренными тактиками уклонения, такими как сокрытие артефактов и руткит. Они используют Зашифрованный канал для командования и контроля и реализуют сложные стратегии эксфильтрация данных для поддержания оперативной безопасности и эффективного сбора разведывательной информации.
-----
Fancy Bear, спонсируемый российским государством злоумышленник, действует по меньшей мере с 2007 года, тесно сотрудничая с российскими разведывательными службами. Группа известна своим участием в значительных кибероперациях, особенно тех, которые направлены на влияние на политические результаты посредством вмешательства в выборы в различных странах. Их тактика эволюционировала, демонстрируя стратегический переход от сильной зависимости от вредоносное ПО к использованию легких, но эффективных методов, таких как кража учетных данных, фишинг и использование недавно обнаруженных уязвимостей.
Недавно Fancy Bear воспользовался уязвимостью Microsoft Office (CVE-2026-21509, оценка CVSS: 7.8), чтобы атаковать правительственные и оборонные организации в Восточной Европе и Европейском союзе. Внедрив логику эксплойта в специально созданные документы Office, они добились скрытного выполнения кода и сумели обойти обычные меры безопасности. Этот метод не только облегчил первоначальный доступ, но и позволил группе сохранить устойчивый плацдарм для сбора разведывательной информации в долгосрочной перспективе, продемонстрировав их способность быстро адаптироваться к возникающим уязвимостям.
Анализ методов, тактик и процедур (TTP) Fancy Bear's выявляет комплексный подход, согласованный с фреймворк MITRE ATT&CK. Они занимаются разведка с целью сбора информации об организациях-жертвах, часто применяя тактику spear phishing. Их методы первоначальный доступ включают в себя использование общедоступных приложений, Существующие учетные записи и использование тактики Теневая (drive-by) компрометация. Оказавшись внутри, они могут повысить привилегии путем Манипуляции с учетной записью и токенами, реализуя механизмы закрепление, такие как ключи запуска реестра, сценарии входа в систему и COM hijacking.
Что касается обход защиты, Fancy Bear использует множество методов, включая сокрытие артефактов, Маскировка законных ресурсов и использование руткит. Они также внедряют стратегии получение учетных данных, такие как Регистрация нажатий клавиш, прослушивание сетевого трафика и Получение дампа учетных данных операционной системы, что еще больше усиливает их способность проникать в целевые системы незамеченными. Их тактика перемещение внутри компании использует Службы удаленного доступа, позволяя им перемещаться по сетям, в то время как методы сбора демонстрируют расширенные возможности обработки данных, включая архивирование данных и их подготовку к эксфильтрация.
Более того, на этапах командования и контроля Fancy Bear использует Зашифрованный канал и Протокол прикладного уровня, что указывает на сложный подход к поддержанию связи с инфраструктурами компрометация. Их стратегии эксфильтрация используют альтернативные протоколы, гарантирующие, что украденные данные будут аккуратно переданы без обнаружения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Fancy Bear, злоумышленник, спонсируемый российским государством, со временем адаптировал свои методы, недавно использовав уязвимость Microsoft Office (CVE-2026-21509) с оценкой CVSS 7,8 для атак на правительственные и оборонные структуры в Восточной Европе. Их методы включают кражу учетных данных, фишинг и использование общедоступных приложений, наряду с изощренными тактиками уклонения, такими как сокрытие артефактов и руткит. Они используют Зашифрованный канал для командования и контроля и реализуют сложные стратегии эксфильтрация данных для поддержания оперативной безопасности и эффективного сбора разведывательной информации.
-----
Fancy Bear, спонсируемый российским государством злоумышленник, действует по меньшей мере с 2007 года, тесно сотрудничая с российскими разведывательными службами. Группа известна своим участием в значительных кибероперациях, особенно тех, которые направлены на влияние на политические результаты посредством вмешательства в выборы в различных странах. Их тактика эволюционировала, демонстрируя стратегический переход от сильной зависимости от вредоносное ПО к использованию легких, но эффективных методов, таких как кража учетных данных, фишинг и использование недавно обнаруженных уязвимостей.
Недавно Fancy Bear воспользовался уязвимостью Microsoft Office (CVE-2026-21509, оценка CVSS: 7.8), чтобы атаковать правительственные и оборонные организации в Восточной Европе и Европейском союзе. Внедрив логику эксплойта в специально созданные документы Office, они добились скрытного выполнения кода и сумели обойти обычные меры безопасности. Этот метод не только облегчил первоначальный доступ, но и позволил группе сохранить устойчивый плацдарм для сбора разведывательной информации в долгосрочной перспективе, продемонстрировав их способность быстро адаптироваться к возникающим уязвимостям.
Анализ методов, тактик и процедур (TTP) Fancy Bear's выявляет комплексный подход, согласованный с фреймворк MITRE ATT&CK. Они занимаются разведка с целью сбора информации об организациях-жертвах, часто применяя тактику spear phishing. Их методы первоначальный доступ включают в себя использование общедоступных приложений, Существующие учетные записи и использование тактики Теневая (drive-by) компрометация. Оказавшись внутри, они могут повысить привилегии путем Манипуляции с учетной записью и токенами, реализуя механизмы закрепление, такие как ключи запуска реестра, сценарии входа в систему и COM hijacking.
Что касается обход защиты, Fancy Bear использует множество методов, включая сокрытие артефактов, Маскировка законных ресурсов и использование руткит. Они также внедряют стратегии получение учетных данных, такие как Регистрация нажатий клавиш, прослушивание сетевого трафика и Получение дампа учетных данных операционной системы, что еще больше усиливает их способность проникать в целевые системы незамеченными. Их тактика перемещение внутри компании использует Службы удаленного доступа, позволяя им перемещаться по сетям, в то время как методы сбора демонстрируют расширенные возможности обработки данных, включая архивирование данных и их подготовку к эксфильтрация.
Более того, на этапах командования и контроля Fancy Bear использует Зашифрованный канал и Протокол прикладного уровня, что указывает на сложный подход к поддержанию связи с инфраструктурами компрометация. Их стратегии эксфильтрация используют альтернативные протоколы, гарантирующие, что украденные данные будут аккуратно переданы без обнаружения.
#ParsedReport #CompletenessMedium
12-02-2026
GTIG AI Threat Tracker: Distillation, Experimentation, and (Continued) Integration of AI for Adversarial Use
https://cloud.google.com/blog/topics/threat-intelligence/distillation-experimentation-integration-ai-adversarial-use/
Report completeness: Medium
Actors/Campaigns:
Unc6418
Apt42 (motivation: government_sponsored)
Unc2970 (motivation: government_sponsored)
Apt31
Unc795
Winnti
Cryptochameleon (motivation: financially_motivated)
Threats:
Honestcue
Xanthorox_tool
Spear-phishing_technique
Coinbait_tool
Promptflux
Credential_harvesting_technique
Clickfix_technique
Amos_stealer
Victims:
Financial services, Cryptocurrency, Various popular online services, General users of generative ai services, Defense sector
Industry:
E-commerce
Geo:
China, Ukraine, Iranian, Dprk, Pakistan, Korea, Iran, North korean, Saudi arabia, Russia
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1059, T1102, T1105, T1204, T1566, T1583, T1587, T1588, T1591, have more...
IOCs:
File: 7
Soft:
Discord, Supabase, macOS, ChatGPT, DeepSeek
Functions:
HONESTCUE
Win API:
GetTempFileName
Platforms:
arm
12-02-2026
GTIG AI Threat Tracker: Distillation, Experimentation, and (Continued) Integration of AI for Adversarial Use
https://cloud.google.com/blog/topics/threat-intelligence/distillation-experimentation-integration-ai-adversarial-use/
Report completeness: Medium
Actors/Campaigns:
Unc6418
Apt42 (motivation: government_sponsored)
Unc2970 (motivation: government_sponsored)
Apt31
Unc795
Winnti
Cryptochameleon (motivation: financially_motivated)
Threats:
Honestcue
Xanthorox_tool
Spear-phishing_technique
Coinbait_tool
Promptflux
Credential_harvesting_technique
Clickfix_technique
Amos_stealer
Victims:
Financial services, Cryptocurrency, Various popular online services, General users of generative ai services, Defense sector
Industry:
E-commerce
Geo:
China, Ukraine, Iranian, Dprk, Pakistan, Korea, Iran, North korean, Saudi arabia, Russia
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1059, T1102, T1105, T1204, T1566, T1583, T1587, T1588, T1591, have more...
IOCs:
File: 7
Soft:
Discord, Supabase, macOS, ChatGPT, DeepSeek
Functions:
HONESTCUE
Win API:
GetTempFileName
Platforms:
arm
Google Cloud Blog
GTIG AI Threat Tracker: Distillation, Experimentation, and (Continued) Integration of AI for Adversarial Use | Google Cloud Blog
Our report on adversarial misuse of AI, highlighting model extraction, augmented attacks, and new AI-enabled malware.
CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2026 GTIG AI Threat Tracker: Distillation, Experimentation, and (Continued) Integration of AI for Adversarial Use https://cloud.google.com/blog/topics/threat-intelligence/distillation-experimentation-integration-ai…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В конце 2025 года Google Threat Intelligence Group выявила растущее использование искусственного интеллекта хакерская группировка для улучшения своих стратегий атак, сосредоточив внимание на атаках по извлечению моделей, нацеленных на организации, предоставляющие услуги искусственного интеллекта. Ключевые угрозы включали использование расширенных возможностей анализа данных моделей искусственного интеллекта, таких как Gemini, усиление фишинг-атак и операций управление с помощью специально разработанного контента. Кроме того, новое вредоносное ПО, такое как HONESTCUE, использовало API Gemini, отражая тенденцию к более сложным атакам, управляемым искусственным интеллектом, которые бросают вызов традиционным методам обнаружения.
-----
Во второй половине 2025 года Google Threat Intelligence Group (GTIG) сообщила о заметном росте внедрения Искусственный интеллект (ИИ) хакерская группировка для оптимизации жизненного цикла своих атак, особенно в разведка, социальная инженерия и разработка вредоносное ПО. Ключевым направлением этой тенденции является извлечение моделей или "дистилляционные атаки", которые создают значительные риски для интеллектуальной собственности организаций, особенно тех, которые предоставляют модели искусственного интеллекта в качестве услуги. Эти атаки связаны с использованием законного доступа к API для клонирования возможностей модели искусственного интеллекта, что привлекает внимание к необходимости усовершенствованных методов мониторинга.
Одной из важных целей для противников были продвинутые функции логического мышления Gemini. Злоумышленники попытались манипулировать моделью, чтобы раскрыть все ее внутренние процессы рассуждения, что указывает на возобновление внимания к приобретению проприетарной логики. По мере того как организации интегрируют большие языковые модели (LLM) в свою деятельность, потенциал атак на извлечение растет, что требует бдительности в отношении новых моделей использования API, которые могут сигнализировать о попытках извлечения.
GTIG наблюдала устойчивую тенденцию к тому, что спонсируемые государством актор используют Gemini для расширения своей деятельности. Это включает в себя использование искусственного интеллекта на различных этапах жизненного цикла атаки, от разведка и создания фишинг-приманки до улучшения разработки систем управление. Злоумышленник способен генерировать высокоспециализированный и культурно значимый контент для фишинг-рассылки с помощью LLMS, что подрывает традиционные показатели попыток фишинг-рассылки, затрудняя их обнаружение. Такая изощренность позволяет быстро определять цели и разрабатывать более эффективную стратегию атаки, которая позволяет быстро переходить от разведка к оперативным этапам.
В отчете освещаются конкретные случаи, такие как использование искусственного интеллекта для создания сложных фишинг-наборов, таких как COINBAIT, предназначенных для выдачи себя за законные криптовалютные биржи для сбор учетных записей. Кроме того, был отмечен новый вариант вредоносное ПО под названием HONESTCUE, который использовал API Gemini для улучшения генерации функциональности, что указывает на тенденцию к созданию более сложных вредоносных инструментов с поддержкой искусственного интеллекта, предназначенных для обхода традиционных методов обнаружения.
Более того, в отчете обсуждается появление угроз, связанных с подпольным рынком, где наблюдается растущий интерес к использованию искусственного интеллекта в злонамеренных целях. Это включает в себя использование общественного доверия к сервисам генеративного искусственного интеллекта для атак социальной инженерии, таких как известные кампании "ClickFix", когда злоумышленники побуждали пользователей выполнять команды, содержащие вредоносное ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В конце 2025 года Google Threat Intelligence Group выявила растущее использование искусственного интеллекта хакерская группировка для улучшения своих стратегий атак, сосредоточив внимание на атаках по извлечению моделей, нацеленных на организации, предоставляющие услуги искусственного интеллекта. Ключевые угрозы включали использование расширенных возможностей анализа данных моделей искусственного интеллекта, таких как Gemini, усиление фишинг-атак и операций управление с помощью специально разработанного контента. Кроме того, новое вредоносное ПО, такое как HONESTCUE, использовало API Gemini, отражая тенденцию к более сложным атакам, управляемым искусственным интеллектом, которые бросают вызов традиционным методам обнаружения.
-----
Во второй половине 2025 года Google Threat Intelligence Group (GTIG) сообщила о заметном росте внедрения Искусственный интеллект (ИИ) хакерская группировка для оптимизации жизненного цикла своих атак, особенно в разведка, социальная инженерия и разработка вредоносное ПО. Ключевым направлением этой тенденции является извлечение моделей или "дистилляционные атаки", которые создают значительные риски для интеллектуальной собственности организаций, особенно тех, которые предоставляют модели искусственного интеллекта в качестве услуги. Эти атаки связаны с использованием законного доступа к API для клонирования возможностей модели искусственного интеллекта, что привлекает внимание к необходимости усовершенствованных методов мониторинга.
Одной из важных целей для противников были продвинутые функции логического мышления Gemini. Злоумышленники попытались манипулировать моделью, чтобы раскрыть все ее внутренние процессы рассуждения, что указывает на возобновление внимания к приобретению проприетарной логики. По мере того как организации интегрируют большие языковые модели (LLM) в свою деятельность, потенциал атак на извлечение растет, что требует бдительности в отношении новых моделей использования API, которые могут сигнализировать о попытках извлечения.
GTIG наблюдала устойчивую тенденцию к тому, что спонсируемые государством актор используют Gemini для расширения своей деятельности. Это включает в себя использование искусственного интеллекта на различных этапах жизненного цикла атаки, от разведка и создания фишинг-приманки до улучшения разработки систем управление. Злоумышленник способен генерировать высокоспециализированный и культурно значимый контент для фишинг-рассылки с помощью LLMS, что подрывает традиционные показатели попыток фишинг-рассылки, затрудняя их обнаружение. Такая изощренность позволяет быстро определять цели и разрабатывать более эффективную стратегию атаки, которая позволяет быстро переходить от разведка к оперативным этапам.
В отчете освещаются конкретные случаи, такие как использование искусственного интеллекта для создания сложных фишинг-наборов, таких как COINBAIT, предназначенных для выдачи себя за законные криптовалютные биржи для сбор учетных записей. Кроме того, был отмечен новый вариант вредоносное ПО под названием HONESTCUE, который использовал API Gemini для улучшения генерации функциональности, что указывает на тенденцию к созданию более сложных вредоносных инструментов с поддержкой искусственного интеллекта, предназначенных для обхода традиционных методов обнаружения.
Более того, в отчете обсуждается появление угроз, связанных с подпольным рынком, где наблюдается растущий интерес к использованию искусственного интеллекта в злонамеренных целях. Это включает в себя использование общественного доверия к сервисам генеративного искусственного интеллекта для атак социальной инженерии, таких как известные кампании "ClickFix", когда злоумышленники побуждали пользователей выполнять команды, содержащие вредоносное ПО.
#ParsedReport #CompletenessHigh
12-02-2026
BADIIS to the Bone: New Insights to a Global SEO Poisoning Campaign
https://www.elastic.co/security-labs/badiis-to-the-bone-new-insights-to-global-seo-poisoning-campaign
Report completeness: High
Actors/Campaigns:
Uat-8099
Ref4033
Threats:
Seo_poisoning_technique
Badiis
Vmprotect_tool
Procmon_tool
Victims:
Governments, Corporate organizations, Educational institutions, Iis servers, Windows web servers, Multinational organization in southeast asia
Industry:
E-commerce, Entertainment, Government, Telco, Healthcare
Geo:
Apac, Vietnam, Vietnamese, Bangladesh, India, Australia, Japan, Chinese, Brazil, Korea, Asia, Lithuania, China, Pakistan, Asian, Nepal
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 13
Path: 7
Url: 22
Domain: 81
Hash: 82
IP: 5
Soft:
Windows service, NET Framework, Android
Algorithms:
sha256, aes-128
Win API:
CopyFileA, SeImpersonatePrivilege
Languages:
javascript, php
Platforms:
apple, x64
YARA: Found
Links:
have more...
12-02-2026
BADIIS to the Bone: New Insights to a Global SEO Poisoning Campaign
https://www.elastic.co/security-labs/badiis-to-the-bone-new-insights-to-global-seo-poisoning-campaign
Report completeness: High
Actors/Campaigns:
Uat-8099
Ref4033
Threats:
Seo_poisoning_technique
Badiis
Vmprotect_tool
Procmon_tool
Victims:
Governments, Corporate organizations, Educational institutions, Iis servers, Windows web servers, Multinational organization in southeast asia
Industry:
E-commerce, Entertainment, Government, Telco, Healthcare
Geo:
Apac, Vietnam, Vietnamese, Bangladesh, India, Australia, Japan, Chinese, Brazil, Korea, Asia, Lithuania, China, Pakistan, Asian, Nepal
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 13
Path: 7
Url: 22
Domain: 81
Hash: 82
IP: 5
Soft:
Windows service, NET Framework, Android
Algorithms:
sha256, aes-128
Win API:
CopyFileA, SeImpersonatePrivilege
Languages:
javascript, php
Platforms:
apple, x64
YARA: Found
Links:
have more...
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/initial\_access\_suspicious\_microsoft\_iis\_worker\_descendant.tomlhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/privilege\_escalation\_privilege\_escalation\_via\_seimpersonateprivilege.tomlhttps://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/privilege\_escalation\_potential\_privilege\_escalation\_via\_token\_impersonation.tomlwww.elastic.co
BADIIS to the Bone: New Insights to a Global SEO Poisoning Campaign — Elastic Security Labs
In November 2025, Elastic Security Labs observed an intrusion affecting a multinational organization based in Southeast Asia. During the analysis of this activity, our team observed various post-compromise techniques and tooling used to deploy BADIIS malware…
CTT Report Hub
#ParsedReport #CompletenessHigh 12-02-2026 BADIIS to the Bone: New Insights to a Global SEO Poisoning Campaign https://www.elastic.co/security-labs/badiis-to-the-bone-new-insights-to-global-seo-poisoning-campaign Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В ноябре 2025 года Elastic Security Labs обнаружила значительное вторжение со стороны преступная хакерская группировка REF4033, которая нацелен на серверы Windows IIS с использованием вредоносного ПО BADIIS. Эта атака подвергла компрометация более 1800 серверов по всему миру, используя неизвестный начальный вектор для быстрого получения контроля, за которым последовала разведка с помощью веб-оболочки. BADIIS работает как вредоносный модуль, который внедряет SEO-контент на основе определенных HTTP-заголовков, способствуя монетизации за счет продвижения незаконного контента, сохраняя при этом скрытность на протяжении всей своей деятельности.
-----
В ноябре 2025 года Elastic Security Labs выявила значительное вторжение, затронувшее многонациональную организацию в Юго-Восточной Азии, отслеживая деятельность, связанную с преступная хакерская группировка, известная как REF4033. Эта группа причастна к крупномасштабной кампании по SEO poisoning с использованием вредоносной программы BADIIS, которая специально нацелена на серверы Windows Internet Information Services (IIS). В результате анализа была выявлена компрометация более 1800 серверов Windows по всему миру, затронувшая различные секторы, включая государственные учреждения, корпорации и образовательные учреждения во многих странах, включая Австралию, Китай и Индию.
Последовательность вторжений началась с неизвестного вектора атаки, который позволил злоумышленник-злоумышленнице установить контроль над сервером Windows IIS в течение 17 минут. Злоумышленник инициировал разведка с помощью веб-оболочки, запущенной в рамках рабочего процесса IIS (w3wp.exe ), что привело к развертыванию BADIIS вредоносное ПО с помощью серии промежуточных файлов. Основной исполняемый файл, CbsMsgApi.exe , содержит элементы, указывающие на происхождение атаки, включая упрощенные строки на китайском языке. Этот исполняемый файл отвечает за установку последующих вредоносных модулей, включая критический компонент CbsMsgApi.dll , который изменяет конфигурации IIS для размещения вредоносное ПО BADIIS.
BADIIS работает как вредоносный модуль IIS с функциональностью, предназначенной для внедрения или перенаправления вредоносного SEO-контента на основе определенных заголовков HTTP-запросов, таких как User-Agent или Refererer. Этот метод обфускации позволяет вредоносное ПО оставаться незамеченным во время обычной работы, эффективно монетизируя инфраструктуры компрометация за счет продвижения азартных игр и другого незаконного контента.
Технические детали кампании соответствуют тактике, задокументированной в MITRE ATT&CK фреймворк, что указывает на системный подход к использованию уязвимых серверов в более широких вредоносных целях. Идентифицированные хэши SHA-256 подтверждают наличие различных компонентов вредоносное ПО и их соответствующую роль в жизненном цикле атаки. Более того, исследования инфраструктуры домена выявили подключения к нескольким серверам конфигурации и контента, используемым кампанией BADIIS, что иллюстрирует многоуровневый и постоянный подход к кибероперациям.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В ноябре 2025 года Elastic Security Labs обнаружила значительное вторжение со стороны преступная хакерская группировка REF4033, которая нацелен на серверы Windows IIS с использованием вредоносного ПО BADIIS. Эта атака подвергла компрометация более 1800 серверов по всему миру, используя неизвестный начальный вектор для быстрого получения контроля, за которым последовала разведка с помощью веб-оболочки. BADIIS работает как вредоносный модуль, который внедряет SEO-контент на основе определенных HTTP-заголовков, способствуя монетизации за счет продвижения незаконного контента, сохраняя при этом скрытность на протяжении всей своей деятельности.
-----
В ноябре 2025 года Elastic Security Labs выявила значительное вторжение, затронувшее многонациональную организацию в Юго-Восточной Азии, отслеживая деятельность, связанную с преступная хакерская группировка, известная как REF4033. Эта группа причастна к крупномасштабной кампании по SEO poisoning с использованием вредоносной программы BADIIS, которая специально нацелена на серверы Windows Internet Information Services (IIS). В результате анализа была выявлена компрометация более 1800 серверов Windows по всему миру, затронувшая различные секторы, включая государственные учреждения, корпорации и образовательные учреждения во многих странах, включая Австралию, Китай и Индию.
Последовательность вторжений началась с неизвестного вектора атаки, который позволил злоумышленник-злоумышленнице установить контроль над сервером Windows IIS в течение 17 минут. Злоумышленник инициировал разведка с помощью веб-оболочки, запущенной в рамках рабочего процесса IIS (w3wp.exe ), что привело к развертыванию BADIIS вредоносное ПО с помощью серии промежуточных файлов. Основной исполняемый файл, CbsMsgApi.exe , содержит элементы, указывающие на происхождение атаки, включая упрощенные строки на китайском языке. Этот исполняемый файл отвечает за установку последующих вредоносных модулей, включая критический компонент CbsMsgApi.dll , который изменяет конфигурации IIS для размещения вредоносное ПО BADIIS.
BADIIS работает как вредоносный модуль IIS с функциональностью, предназначенной для внедрения или перенаправления вредоносного SEO-контента на основе определенных заголовков HTTP-запросов, таких как User-Agent или Refererer. Этот метод обфускации позволяет вредоносное ПО оставаться незамеченным во время обычной работы, эффективно монетизируя инфраструктуры компрометация за счет продвижения азартных игр и другого незаконного контента.
Технические детали кампании соответствуют тактике, задокументированной в MITRE ATT&CK фреймворк, что указывает на системный подход к использованию уязвимых серверов в более широких вредоносных целях. Идентифицированные хэши SHA-256 подтверждают наличие различных компонентов вредоносное ПО и их соответствующую роль в жизненном цикле атаки. Более того, исследования инфраструктуры домена выявили подключения к нескольким серверам конфигурации и контента, используемым кампанией BADIIS, что иллюстрирует многоуровневый и постоянный подход к кибероперациям.
#ParsedReport #CompletenessMedium
12-02-2026
Dark Web Profile: The Gentlemen Ransomware
https://socradar.io/blog/dark-web-profile-the-gentlemen-ransomware/
Report completeness: Medium
Actors/Campaigns:
Gentlemen_ransomware (motivation: financially_motivated)
Threats:
Gentlemen_ransomware
Byovd_technique
Victims:
Medium to large organizations
Industry:
Education, Financial, Healthcare
Geo:
Indonesia, France, Colombia, Brazil, Vietnam, Thailand, United kingdom
TTPs:
Tactics: 10
Technics: 32
IOCs:
File: 4
Soft:
Linux, ESXi, Active Directory, PsExec
Algorithms:
curve25519, xchacha20
Languages:
powershell
Platforms:
cross-platform
12-02-2026
Dark Web Profile: The Gentlemen Ransomware
https://socradar.io/blog/dark-web-profile-the-gentlemen-ransomware/
Report completeness: Medium
Actors/Campaigns:
Gentlemen_ransomware (motivation: financially_motivated)
Threats:
Gentlemen_ransomware
Byovd_technique
Victims:
Medium to large organizations
Industry:
Education, Financial, Healthcare
Geo:
Indonesia, France, Colombia, Brazil, Vietnam, Thailand, United kingdom
TTPs:
Tactics: 10
Technics: 32
IOCs:
File: 4
Soft:
Linux, ESXi, Active Directory, PsExec
Algorithms:
curve25519, xchacha20
Languages:
powershell
Platforms:
cross-platform
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: The Gentlemen Ransomware
Despite its polished name, The Gentlemen Ransomware shows little interest in playing nice. First observed in 2025, the group quickly established itself as a
CTT Report Hub
#ParsedReport #CompletenessMedium 12-02-2026 Dark Web Profile: The Gentlemen Ransomware https://socradar.io/blog/dark-web-profile-the-gentlemen-ransomware/ Report completeness: Medium Actors/Campaigns: Gentlemen_ransomware (motivation: financially_motivated)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В Gentlemen Ransomware является вымогателей-как-услуга (Раас) группа возникающие в середине 2025, ориентированных на средних и крупных организаций. Они используют изощренные методы на повышение привилегий и перемещение внутри компании, позволяя им получить доступ и эффективное использование комплексных корпоративных систем. Текущие кампании в начале 2026 указать их адаптивный характер и намерения эксплуатировать уязвимости в системе безопасности.
-----
Gentlemen Ransomware - это появляющаяся преступная хакерская группировка, которая впервые получила известность благодаря активным кампаниям, отмеченным в августе 2025 года, хотя первые сигналы о разработке относятся к июлю 2025 года. Это программное обеспечение-вымогатель работает как программа-вымогатель как услуга (RaaS), привлекая партнеров с помощью структурированной партнерской модели, которая была объявлена в сообщении на форуме Dark Web в сентябре 2025 года. Группа нацелена на средние и крупные организации со сложной корпоративной средой, привлекая широкий круг жертв.
The Gentlemen вымогателей использует эффективный цепная реакция характеризуется адаптивный инструментарий и достаточный доступ к корпоративным системам. Конкретные методы, используемые в их операции включают в себя методы, направленные на повышение привилегий и перемещение внутри компании в сетях, что позволит им максимально эффективно воздействие удара. Усилия по смягчению последствий в отношении The Gentlemen подчеркивают важность предотвращения злоупотребления привилегиями и сосредоточения внимания на механизмах обнаружения на ранней стадии. Этот подход предпочтительнее традиционных методов, основанных на сигнатурах, которые могут быть не столь эффективны против этой адаптивной угрозы.
Недавние сообщения указывают на то, что группа активно добавляла жертв в начале 2026 года. Информация, полученная из источников мониторинга программ-вымогателей, подчеркивает постоянный и эволюционирующий характер их кампаний. Организациям рекомендуется усилить свою защиту для противодействия конкретным угрозам, исходящим от этой группы программ-вымогателей, поскольку она демонстрирует явные возможности и намерение использовать слабые места в корпоративной безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В Gentlemen Ransomware является вымогателей-как-услуга (Раас) группа возникающие в середине 2025, ориентированных на средних и крупных организаций. Они используют изощренные методы на повышение привилегий и перемещение внутри компании, позволяя им получить доступ и эффективное использование комплексных корпоративных систем. Текущие кампании в начале 2026 указать их адаптивный характер и намерения эксплуатировать уязвимости в системе безопасности.
-----
Gentlemen Ransomware - это появляющаяся преступная хакерская группировка, которая впервые получила известность благодаря активным кампаниям, отмеченным в августе 2025 года, хотя первые сигналы о разработке относятся к июлю 2025 года. Это программное обеспечение-вымогатель работает как программа-вымогатель как услуга (RaaS), привлекая партнеров с помощью структурированной партнерской модели, которая была объявлена в сообщении на форуме Dark Web в сентябре 2025 года. Группа нацелена на средние и крупные организации со сложной корпоративной средой, привлекая широкий круг жертв.
The Gentlemen вымогателей использует эффективный цепная реакция характеризуется адаптивный инструментарий и достаточный доступ к корпоративным системам. Конкретные методы, используемые в их операции включают в себя методы, направленные на повышение привилегий и перемещение внутри компании в сетях, что позволит им максимально эффективно воздействие удара. Усилия по смягчению последствий в отношении The Gentlemen подчеркивают важность предотвращения злоупотребления привилегиями и сосредоточения внимания на механизмах обнаружения на ранней стадии. Этот подход предпочтительнее традиционных методов, основанных на сигнатурах, которые могут быть не столь эффективны против этой адаптивной угрозы.
Недавние сообщения указывают на то, что группа активно добавляла жертв в начале 2026 года. Информация, полученная из источников мониторинга программ-вымогателей, подчеркивает постоянный и эволюционирующий характер их кампаний. Организациям рекомендуется усилить свою защиту для противодействия конкретным угрозам, исходящим от этой группы программ-вымогателей, поскольку она демонстрирует явные возможности и намерение использовать слабые места в корпоративной безопасности.
#ParsedReport #CompletenessLow
12-02-2026
Four Seconds to Botnet - Analyzing a Self Propagating SSH Worm with Cryptographically Signed C2 [Guest Diary\]
https://isc.sans.edu/diary/32708
Report completeness: Low
Threats:
Ssh_worm
Victims:
Linux systems
Industry:
Telco, Iot
Geo:
Germany, Deutschland
TTPs:
Tactics: 4
Technics: 0
IOCs:
IP: 1
Soft:
Linux, sshpass, Raspberry Pi, Twitter
Platforms:
raspbian
Links:
12-02-2026
Four Seconds to Botnet - Analyzing a Self Propagating SSH Worm with Cryptographically Signed C2 [Guest Diary\]
https://isc.sans.edu/diary/32708
Report completeness: Low
Threats:
Ssh_worm
Victims:
Linux systems
Industry:
Telco, Iot
Geo:
Germany, Deutschland
TTPs:
Tactics: 4
Technics: 0
IOCs:
IP: 1
Soft:
Linux, sshpass, Raspberry Pi, Twitter
Platforms:
raspbian
Links:
https://github.com/bruneaug/SANS Internet Storm Center
Four Seconds to Botnet - Analyzing a Self Propagating SSH Worm with Cryptographically Signed C2 [Guest Diary]
Four Seconds to Botnet - Analyzing a Self Propagating SSH Worm with Cryptographically Signed C2 [Guest Diary], Author: Guy Bruneau