#ParsedReport #CompletenessLow
17-02-2026

NoodlophileStealer: When Cybercriminals Get a Bit Salty

https://www.morphisec.com/blog/noodlophile-stealer-when-cybercriminals-get-a-bit-salty/

Report completeness: Low

Threats:
Noodlophile_stealer
Dll_sideloading_technique
Chaes

Geo:
Brazil, Vietnamese

IOCs:
File: 2

Soft:
Telegram

Algorithms:
xor, zip, rc4

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Noodlophile Stealer - это продвинутый стиллер информации, нацеленный на учетные данные и конфиденциальную информацию из различных приложений, таких как браузеры, криптовалютные кошельки и игровые платформы. Он использует сложные методы уклонения, включая запутывание кода, чтобы избежать обнаружения с помощью мер безопасности, и адаптирует свою тактику с помощью регулярных обновлений для расширения возможностей эксфильтрация данных. Доставка часто осуществляется с помощью фишинг-кампаний, что указывает на использование социальной инженерии для компрометация пользователей.
-----

Noodlophile Stealer - это сложное вредоносное ПО-стиллер информации, нацеленное на учетные данные пользователей и конфиденциальную информацию. Разработанный для сбора различных типов данных, Noodlophile обладает функциональностью, которая позволяет ему компрометация широкого спектра приложений, включая веб-браузеры, криптовалютные кошельки и игровые платформы. После заражения он активно извлекает регистрационные данные, токены сеанса и другие конфиденциальные данные, которые могут быть проданы на подпольных форумах или использованы для кражи личных данных.

Вредоносное ПО использует передовые методы обхода, позволяющие избежать обнаружения традиционными мерами безопасности. Вероятно, он использует методы обфускации для маскировки своего кода и поведения, что затрудняет обратное проектирование и анализ для исследователей безопасности и антивирусных решений. Эта характеристика подчеркивает его способность сохраняться в зараженных системах, оставаясь незаметным.

Недавние изменения в тактике, используемой разработчиками Noodlophile, указывают на адаптацию для лучшего противодействия усилиям по обнаружению и повышения его операционной эффективности. Вредоносное ПО может часто обновляться, чтобы включать новые функции или методы для улучшения процессов эксфильтрация данных или улучшения его способности обходить системы безопасности.

Более того, механизмы доставки для Noodlophile являются значительными и часто включают кампании фишинг, в ходе которых ничего не подозревающих пользователей могут заманить к загрузке вредоносное ПО либо с помощью вводящих в заблуждение электронных писем, либо с помощью веб-сайтов с компрометация. Такое закрепление тактики социальной инженерии подчеркивает непрерывную эволюцию киберугроза и важность надежной осведомленности пользователей и защитных мер.

Понимание технической работы Noodlophile Stealer имеет решающее значение для организаций, стремящихся повысить свою Кибербезопасность. Необходим постоянный мониторинг показателей компрометация (IOCs), связанных с этим вредоносное ПО, равно как и внедрение эффективных стратегий защиты конечных точек, которые включают поведенческий анализ для обнаружения аномалий, типичных для стиллер.

#ParsedReport #CompletenessHigh
17-02-2026

Divide and conquer: how the new Keenadu backdoor exposed links between major Android botnets

https://securelist.com/keenadu-android-backdoor/118913/

Report completeness: High

Threats:
Keenadu
Triada_trojan
Badbox
Vo1d
Supply_chain_technique
Nova_stealer
Dwphon
Sloth
Bb2door

Victims:
Android users, Android device firmware, Google play users, Getapps users, Alldocube tablet users

Industry:
Entertainment, E-commerce

Geo:
Netherlands, Brazil, Japan, Chinese, Russia, Germany

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1055, T1071.001, T1475, T1476, T1497.001, T1608.001, T1620, T1621, have more...

IOCs:
File: 2
IP: 4
Domain: 25
Hash: 81
Path: 2
Url: 1

Soft:
Android, Google Play, Google Chrome, android.chrome, WebRTC, Telegram, Instagram, WhatsApp

Algorithms:
aes-128, md5, gzip, aes, rc4, base64, xor

Functions:
GetApps

Platforms:
arm

Links:
https://github.com/unix3dgforce/lpunpack

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 25, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор Keenadu нацелен на устройства Android, используя уязвимости в поддельных прошивка и модифицируя критически важные библиотеки, такие как libandroid_runtime.so . Он использует двухкомпонентную архитектуру с AKClient и AKServer, что позволяет ему выполнять вредоносную полезную нагрузку и извлекать данные, особенно из таких приложений, как Google Chrome. Вредоносное ПО затронуло более 13 000 пользователей, используя сложные методы для поддержания контроля и уклонения от обнаружения, в то время как его присутствие в законных приложениях вызывает серьезные опасения по поводу безопасности.
-----

Бэкдор Keenadu представляет собой сложную угрозу для устройств Android, используя уязвимости, главным образом, в поддельных версиях прошивка. Первоначально идентифицированный как вариант бэкдора Triada, он интегрируется в критически важные библиотеки системы, в частности, путем изменения libandroid_runtime.библиотека so, которая необходима для системы ведения журнала приложения Android. Это вредоносное ПО выполняет серию вредоносных полезных загрузок, адаптированных для различных приложений и платформ, расширяя свои возможности по эксфильтрация данных и контролю над устройствами, подвергшимися компрометация.

Keenadu использует архитектуру из двух частей, состоящую из AKClient и AKServer. AKClient внедряется в запущенные приложения на устройстве, обеспечивая связь с AKServer посредством защищенных широковещательных рассылок, которые облегчают загрузку произвольных DEX-файлов в контексте. Это позволяет серверу выполнять пользовательские вредоносные полезные нагрузки для назначенных приложений. И наоборот, AKServer организует первоначальную загрузку полезной нагрузки и поддерживает связь с зараженными клиентами, расположенными в сети.

В Keenadu троянец может доставить несколько вредоносных модулей, направленных на конкретные цели, например популярных онлайн-магазинов, веб-браузеров и системных приложений. Например, "кликер погрузчик" собирается местоположение устройства и сети передачи данных до кражи эти сведения в управление (С2) сервер, который отвечает с зашифрованной полезной нагрузки файлы. Другой модуль конкретно целей браузер Гугл Хром, используя свой жизненный цикл, чтобы внедрить код, который захватывает ввод пользователя.

Взломанные Android-устройств на наличие существенных вопросов, в том числе и назойливой рекламы, и других аномальных поведений часто атрибутирован с вмешательством в бэкдора. Keenadu's позволяла злоумышленникам контроль, с возможностью сохранения незамеченными через методы, такие как задержка активации полезной нагрузки, чтобы избежать анализ безопасности.

Векторы распространения вредоносное ПО указывают на более широкий охват: модули Keenadu, обнаруженные в системных приложениях, указывают на их встраивание в прошивка устройства или даже в легальные приложения, полученные из Google Play. Такая схема заражения вызывает опасения по поводу охвата и изощренности вредоносное ПО, которое нарушает экосистемы мобильной безопасности.

Данные телеметрии указывают на то, что более 13 000 пользователей по всему миру — особенно в таких странах, как Россия, Япония и Германия — стали жертвами Keenadu, отметив его как вредоносное ПО, имеющее серьезные последствия. Наблюдаемое взаимодействие Keenadu и других ботнет, таких как BADBOX, позволяет предположить, что у этих угроз могут быть общие кодовые базы и операционные фреймворк, лежащие в основе конкурентного ландшафта вредоносное ПО, которое безжалостно нацелено на платформы Android.

Современные меры безопасности ОС Android усложняют удаление зараженных системных разделов. Пользователи, как правило, не могут удалить зараженные библиотеки или приложения, не нарушив целостность их прошивка. Это усиливает риск, демонстрируя острую необходимость в надежных превентивных мерах против таких продвинутых угроз.

#ParsedReport #CompletenessHigh
17-02-2026

Active Exploitation of SolarWinds Web Help Desk

https://www.huntress.com/blog/active-exploitation-solarwinds-web-help-desk-cve-2025-26399

Report completeness: High

Threats:
Zoho_assist_tool
Cloudflared_tool
X2anylock
Toolshell_vuln
Bitsadmin_tool

Victims:
Solarwinds web help desk users

Industry:
Transport

CVEs:
CVE-2025-40551 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)

CVE-2025-40536 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)

CVE-2025-26399 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (le12.8.6, 12.8.7)


TTPs:
Tactics: 5
Technics: 3

IOCs:
Path: 7
File: 13
Url: 5
Coin: 1
Command: 1
Registry: 2
Domain: 2
Hash: 4

Soft:
Windows Defender, Windows Firewall, Supabase, Velociraptor, QEMU, WebhubDesk, Active Directory, linux, Windows service, Kibana, have more...

Algorithms:
base64, sha256

Functions:
Get-FileHash, Get-ComputerInfo, Set-Content, Write-Host

Win Services:
BITS

Languages:
java, powershell

Platforms:
intel, amd64

SIGMA: Found

Links:
https://gist.github.com/JohnHammond/543d2240c95c5f7b017be29c51203edd/raw/36257a33730f9d5b9244cec0dd19ba46ee069504/velociraptor\_config.yaml
have more...
https://github.com
https://gist.github.com/JohnHammond/543d2240c95c5f7b017be29c51203edd#file-velociraptor\_config-yaml

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было замечено использование веб-службы поддержки SolarWinds, инициированное злоумышленник, использующий wrapper.exe чтобы запустить исполняемый файл Java, который установил удаленную полезную нагрузку MSI. Злоумышленник использовал Velociraptor для разведка и командования и контроля, установил Cloudflared для туннелирования и выполнил сценарии PowerShell для сбора системной информации. Механизмы закрепление были обнаружены путем создания запланированной задачи с именем TPMProfiler, отражающей сложную тактику поддержания командных привилегий и эксфильтрация данных.
-----

Было замечено активное использование веб-службы поддержки SolarWinds с заметной цепочкой атак, инициированной злоумышленник, использующим wrapper.exe , который является оболочкой службы веб-службы поддержки. Этот процесс впоследствии породил исполняемый файл Java (java.exe ), который привязан к базовому приложению веб-службы поддержки на базе Tomcat. После этого Java-процесс выполнил команду для автоматической установки удаленной полезной нагрузки MSI через cmd.exe .

Чтобы облегчить командование и контроль, злоумышленник использовал Velociraptor, инструмент, обычно предназначенный для защитников для мониторинга конечных точек и сбора артефактов, но здесь перепрофилированный для вредоносных действий. Первая команда от Velociraptor включала проверку хэша существующего файла, что означало усилия по разведка на ранней стадии вторжения. Злоумышленник также установил Cloudflared с GitHub для создания туннелей прямого подключения в целях командования и контроля.

В рамках своей операционной стратегии злоумышленник вскоре после получения доступа выполнил сценарий PowerShell, который собрал обширную системную информацию и передал ее в управляемый злоумышленником экземпляр Elastic Cloud. Это указывает на сложный уровень эксфильтрация данных, направленный на консолидацию разведывательных данных в системе компрометация. Кроме того, команда для реализации механизма отработки отказа в режиме реального времени C2 была выполнена примерно в то же время, что и загрузка кода Visual Studio, что примечательно повышением устойчивости инфраструктуры злоумышленника. Дальнейшая разведка была проведена с использованием команды systeminfo, потенциально в качестве меры избыточности для сбора данных.

Более того, были обнаружены механизмы закрепление в форме создания запланированной задачи, известной как TPMProfiler, обычно ассоциируемой со сценариями эксплуатации и представляющей собой ложную законную административную задачу.

Для смягчения последствий рекомендуется, чтобы организации, использующие SolarWinds Web Help Desk, обновили до версии 2026.1 или более поздней, устранив критические уязвимости, идентифицированные как CVE-2025-26399, CVE-2025-40536 и CVE-2025-40551. Администраторы должны убедиться, что административные интерфейсы WHD не являются общедоступными, в идеале разместив их за VPN или брандмауэром. Для снижения подверженности таким угрозам необходимы комплексные меры безопасности, включая сброс паролей для учетных записей служб и удаление несанкционированных ПО для удаленного доступа и непредвиденных экземпляров служб.

Вся цепочка атак свидетельствует о злонамеренной эксплуатации платформы SolarWinds, использующей обычные инструменты неожиданными способами для сохранения командных привилегий и сбора разведывательных данных, что подчеркивает необходимость постоянной бдительности и упреждающих мер защиты в инфраструктуре, подвергшейся воздействие.

#ParsedReport #CompletenessHigh
17-02-2026

Background

https://www.huntress.com/blog/clickfix-matanbuchus-astarionrat-analysis

Report completeness: High

Actors/Campaigns:
Belialdemon

Threats:
Clickfix_technique
Matanbuchus_maas
Cobalt_strike_tool
Netsupportmanager_rat
Qakbot
Danabot
Rhadamanthys
Astarionrat
Dll_sideloading_technique
Junk_code_technique
Heavens_gate_technique
Nltest_tool

Victims:
Organizations

Geo:
Germany

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027, T1041, T1059.001, T1059.003, T1071.001, T1105, T1140, T1204.002, T1218.011, have more...

IOCs:
File: 10
Path: 8
Url: 3
Domain: 4
IP: 1
Command: 1
Hash: 8

Soft:
PsExec

Algorithms:
lznt1, chacha20, rc4, base64, zip, sha256, xor

Functions:
Junk, NtOpenSection

Win API:
GetCursorPos, IsIconic, GetDesktopWindow, GetACP, GetCPInfo, NtAllocateVirtualMemory, NtMapViewOfSection, VirtualAlloc, GetModuleHandleExW, GetModuleFileNameA, have more...

Languages:
lua, java

Platforms:
x64

YARA: Found

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/Matanbuchus/win\_mal\_Matanbuchus\_loader.yar
have more...
https://github.com/RussianPanda95/Yara-Rules/blob/main/AstarionRAT/win\_mal\_AstarionRAT.yar

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, chart: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года вновь появился метод заражения ClickFix, позволяющий манипулировать пользователями, заставляя их выполнять вредоносные команды, которые в основном используются киберпреступниками и актор национальных государств. Этот метод сочетается с Matanbuchus 3.0, который служит загрузчиком для AstarionRAT, Троянская программа удаленного доступа, способная красть учетные данные и уклоняться от обнаружения путем отключения критически важных библиотек DLL и использования методов запутывания. Атака продемонстрировала быстрое перемещение внутри компании и сложную тактику командования и контроля, подчеркнув эволюцию киберугроза.
-----

В феврале 2026 года Команда Huntress Tactical Response сообщила о возрождении метода заражения ClickFix, использующего социальную инженерию для выполнения вредоносных команд. ClickFix стал основным средством первоначальный доступ для киберпреступников и актор национальных государств. Этот метод обходит обычные меры безопасности, делая пользователей невольными распространителями вредоносное ПО. Появилась комбинация ClickFix и Matanbuchus 3.0, причем Matanbuchus вновь появился в мае 2025 года, используя для развертывания бесшумные установки MSI. Matanbuchus развертывает AstarionRAT, предлагая такие функции, как кража учетных данных и создание прокси-сервера SOCKS5. Коммуникации AstarionRAT's C2 маскируются под доброкачественную телеметрию и используют шифрование RSA для запутывания. Злоумышленники выполнили быстрое перемещение внутри компании к контроллерам домена в течение 40 минут, используя двоичные файлы Zillya Antivirus для DLL Sideloading и PsExec для перемещение внутри компании. Matanbuchus начинается с компонента DLL с именем SystemStatus.dll и включает в себя расшифровку методом грубой силы для извлечения шеллкода с возможностями выполнения команд в памяти и на диске. Он использует высококачественные функции скриншотов и механизм преобразования, чтобы избежать обнаружения. Matanbuchus отключает системные библиотеки DLL для вызовов API в обход EDR-решений. Встроенный интерпретатор Lua 5.4.7 позволяет выполнять сложные команды с расшифрованными скриптами для выполнения шеллкода. AstarionRAT кодирует элементы связи C2 и поддерживает набор команд для управления файлами, обработки процессов и перечисления систем, при этом значительная часть его кодовой базы предназначена для функции прокси-сервера SOCKS5.

#ParsedReport #CompletenessHigh
17-02-2026

LATAM Businesses Hit by XWorm via Fake Financial Receipts: Full Campaign Analysis

https://any.run/cybersecurity-blog/xworm-latam-campaign/

Report completeness: High

Threats:
Xworm_rat
Steganography_technique
Lolbin_technique
Stego_loader

Victims:
Businesses, Finance

Industry:
Financial, Healthcare

Geo:
Brazilian, Brazil, Latam, Latin america

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036.007, T1047, T1053.005, T1055, T1059, T1059.001, T1059.007, T1071.001, have more...

IOCs:
File: 7
Path: 2
Command: 2
Domain: 1
IP: 1
Url: 2
Hash: 1

Soft:
Linux, Android, Task Scheduler, Windows Task Scheduler

Algorithms:
aes, aes-ecb, md5, base64

Win API:
ShowWindow

Languages:
javascript, powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя Вредоносная Кампания, нацеленная на латиноамериканские предприятия, использовала Троянская программа удаленного доступа XWorm (RAT), используя обманные методы, чтобы избежать обнаружения, включая Вредоносный файл, замаскированный под банковскую квитанцию с двойным расширением (.pdf.js ). Методы обфускации кампании используют вредоносный JavaScript-скрипт для загрузки безфайлового загрузчика через PowerShell, создавая закрепление с помощью VB.NET Библиотека DLL, которая планирует задачи для дальнейших этапов заражения. Были выявлены ключевые уязвимости в шифровании AES вредоносное ПО, подчеркивающие сложность угрозы и возможности уклонения.
-----

Была выявлена недавняя Вредоносная Кампания, специально нацеленная на предприятия в Латинской Америке (LATAM), в которой использовалась Троянская программа удаленного доступа XWorm (RAT). Кампания использует сложные механизмы доставки для обхода защиты, специфичной для конкретного региона, и предназначена для проникновения в корпоративную среду, Маскировка под законные финансовые коммуникации. Начальный этап включает в себя доставку Вредоносный файл, который выглядит как банковская квитанция, конкретно названная "Comprovante-Bradesco". В этом файле используется обманчивый метод двойного расширения (.pdf.js ), заставляя пользователей поверить, что это безопасный документ, в то время как на самом деле он функционирует как Dropper.

При запуске дроппер выполняет сильно запутанный JavaScript-скрипт, используя манипуляции с Юникодом, чтобы скрыть вредоносную логику. Исследователи воспроизвели процесс деобфускации для извлечения фактической полезной нагрузки, обнаружив, что он загружает загрузчик без файлов и готовится к последующим этапам заражения. Более того, вредоносное ПО использует такие платформы, как Cloudinary, для улучшения тактики уклонения, гарантируя, что оно может обходить фильтры репутации домена.

На втором этапе удаленная полезная нагрузка использует PowerShell для загрузки дополнительного содержимого, избегая при этом какого-либо закрепление файла на диске, предпочитая операции в памяти. Скрипт PowerShell расшифровывает аргументы, содержащие сведения о конфигурации процесса заражения. Третий этап сосредоточен вокруг специализированного VB.NET Библиотека DLL, которая создает закрепление, но не выполняет напрямую XWorm. Вместо этого он устанавливает запланированную задачу для повторного запуска предыдущего загрузчика PowerShell, указывая модульную стратегию для поддержания заражения.

Окончательный поиск полезной нагрузки включает в себя скрипт, который обращается к URL—адресу для получения XWorm RAT и использует CasPol.exe — законный сетевой инструмент Microsoft - для внедрения, а не запускается как отдельный процесс. Статический анализ выявил слабые места в криптографической реализации вредоносное ПО, в частности, в отношении его шифрования AES.

Эта кампания представляет серьезную угрозу для корпоративных конечных точек из-за использования реалистичных приманок и сложного механизма доставки, сочетающего WMI, PowerShell, размещенный в облаке контент и выполнение без файлов. Сложный подход позволяет злоумышленникам-актор оставаться незамеченными, эффективно устанавливая присутствие в сетях, на которые они нацелен. Для раннего обнаружения крайне важно, чтобы Центры управления безопасностью (SoCs) повысили свою видимость и возможности реагирования за счет использования информационных каналов об угрозах, интерактивных "песочниц" для быстрой сортировки и стратегий упреждающего поиска угроз, учитывающих специфические нюансы региональных киберугроза.

#ParsedReport #CompletenessLow
17-02-2026

From BRICKSTORM to GRIMBOLT: UNC6201 Exploiting a Dell RecoverPoint for Virtual Machines Zero-Day

https://cloud.google.com/blog/topics/threat-intelligence/unc6201-exploiting-dell-recoverpoint-zero-day/

Report completeness: Low

Actors/Campaigns:
Unc6201 (motivation: cyber_espionage)
Quietcrabs
Hafnium

Threats:
Brickstorm
Grimbolt
Slaystyle

Victims:
Information technology, Cloud services, Software as a service, Virtualization platforms

CVEs:
CVE-2026-22769 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.004, T1105, T1190, T1505.003

IOCs:
File: 4
Hash: 8
IP: 1

Soft:
Apache Tomcat, ESXi, Systemd

Algorithms:
sha256

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Серьезная уязвимость zero-day в Dell RecoverPoint for Virtual Machines, CVE-2026-22769, использовалась преступная хакерская группировка UNC6201, связанная с Китаем, с середины 2024 года. Эта группа использует вредоносное ПО, такое как бэкдор GRIMBOLT, разработанный на C# для улучшения скрытности, и перешла от предыдущих угроз, таких как BRICKSTORM. UNC6201 использует сложные методы, включая создание временных портов на виртуальных машинах и использование вредоносных запросов к Apache Tomcat Manager, что указывает на значительный риск для предприятий.
-----

Mandiant и Google Threat Intelligence Group выявили значительную уязвимость zero-day в Dell RecoverPoint для виртуальных машин, отслеживаемую как CVE-2026-22769, которая имеет оценку CVSSv3.0, равную 10,0. Этой уязвимостью пользовалась преступная хакерская группировка UNC6201, предположительно имеющая связи с Китайской Народной Республикой, по крайней мере с середины 2024 года. Эксплуатация позволяет UNC6201 перемещаться в разных средах, поддерживать постоянный доступ и развертывать различное вредоносное ПО, включая недавно идентифицированный GRIMBOLT, наряду с ранее известными угрозами, такими как SLAYSTYLE и BRICKSTORM. Хотя первоначальный доступ к вектору не определен, UNC6201 предназначен для использования с периферийными устройствами, такими как концентраторы VPN.

Важным открытием в ходе расследований стал переход от BRICKSTORM к GRIMBOLT, который наблюдался в сентябре 2025 года. GRIMBOLT - это бэкдор foothold, разработанный на C# с использованием встроенной компиляции с опережением времени (AOT) и упакованный в UPX, предоставляющий возможности удаленной оболочки. Точный мотив замены BRICKSTORM на GRIMBOLT остается неопределенным и может быть либо стратегической эволюцией, либо реакцией на инциденты. Использование встроенной компиляции AOT повышает производительность на устройствах с ограниченными ресурсами и усложняет статический анализ из-за отсутствия метаданных Common Intermediate Language (CIL), что усложняет обнаружение.

Уязвимость (CVE-2026-22769) была обнаружена во время анализа среды жертвы, в которой активные соединения command and control (C2) были подключены к обоим бэкдор. Анализ выявил множество веб-запросов, в частности, с использованием имени пользователя "admin", направленных на Apache Tomcat Manager устройства, что привело к развертыванию вредоносного файла WAR, содержащего веб-оболочку SLAYSTYLE.

Дополнительный метод, использованный злоумышленник, включал создание временных сетевых портов на виртуальных машинах внутри сервера ESXi, что облегчало дальнейший доступ к внутренним сетям жертвы и инфраструктурам SaaS. Более того, судебно-медицинский анализ Mandiant выявил прокси-команды iptables, выполняемые через веб-оболочку с компрометация в SLAYSTYLE, что указывает на сложную тактику уклонения.

Расследования подчеркнули необходимость тщательной проверки веб-журналов, связанных с Tomcat Manager, особенно запросов на развертывание WAR-файлов по подозрительным путям, поскольку это может указывать на компрометация. Потенциально вредоносные загрузки и их артефакты, обнаруженные в журналах приложений, требуют бдительности, особенно в отношении установленных методов закрепление, используемых бэкдорами BRICKSTORM и GRIMBOLT. В конечном счете, полученные результаты указывают на эволюционирующую тактику и возможности преступная хакерская группировка UNC6201, представляющая постоянный риск для предприятий, использующих решения Dell для виртуализации.