#ParsedReport #CompletenessMedium
18-02-2026

Sticky trail: exploring the attacks of the PseudoSticky faction

https://www.f6.ru/blog/pseudo-sticky/

Report completeness: Medium

Actors/Campaigns:
Pseudosticky (motivation: cyber_criminal, cyber_espionage)
Sticky_werewolf
Mimistick

Threats:
Remcos_rat
Darktrack_rat
Defendnot_tool

Victims:
Retail, Construction

Industry:
Military, Government, Retail, Aerospace, Education, Energy, Transport

Geo:
Russian, Ukrainian, Belarus, Russia, Chelyabinsk

TTPs:
Tactics: 1
Technics: 0

IOCs:
Command: 3
Registry: 1
Path: 1
File: 19
Url: 6
Domain: 3
IP: 1
Hash: 54

Soft:
Telegram, Windows Defender, Viber, WhatsApp

Algorithms:
md5, sha1, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2025 года группа PseudoSticky, связанная с ранее идентифицированным злоумышленник Sticky Werewolf, провела сложные кампании фишинг-рассылки, нацеленные на розничную торговлю и строительный сектор, используя сезонную тематику. К началу 2026 года PseudoSticky адаптировала свои методы атаки после Нового года, указывая на эволюционирующую тактику. Постоянное использование группой устоявшихся инструментов при расширении их целевых показателей свидетельствует о целенаправленных усилиях по повышению их операционного воздействие и использованию новых уязвимостей в различных отраслях.
-----

В ноябре 2025 года эксперты F6 раскрыли скоординированную вредоносную кампанию, атрибутирован с группой, известной как PseudoSticky. Эта операция выявила обширный и изощренный набор действий вредоносное ПО, демонстрирующее четкую связь с ранее идентифицированным актор угроз Sticky Werewolf. Эта связь была очевидна благодаря общей тактике, техникам и процедурам (TTP), а также конкретным инструментам, используемым в их операциях, что предполагает сотрудничество или общую методологию между двумя группировками.

К декабрю 2025 года группа PseudoSticky расширила свою деятельность, в частности, с помощью нацелен-ных фишинг-кампаний, нацеленных на компании в сфере розничной торговли и строительства. Эта стратегия продемонстрировала способность группы адаптировать свою тактику социальной инженерии к конкретным отраслям промышленности, потенциально используя сезонные темы для повышения эффективности, о чем свидетельствует время проведения их операций в рождественский период.

В январе 2026 года аналитики F6 заметили изменение в методах работы группы PseudoSticky. После новогодних праздников группа изменила свою цепочку атак, что указывает на эволюцию их подхода или целей. Хотя конкретные детали, касающиеся этих изменений, не приводятся, адаптация сигнализирует о потенциальном усовершенствовании их тактики, которое может быть направлено на повышение их успешности или расширение охвата их целей.

К февралю 2026 года PseudoSticky продолжила свою кампанию с постоянными TTP и инструментами, хотя и расширила список своих целевых пользователей и сетевую инфраструктуру. Такой рост масштабов предполагает стратегическое решение усилить их воздействие и, возможно, использовать новые уязвимости в различных секторах. Сохранение их прежних методологий указывает на уровень операционной зрелости и приверженность устойчивой вредоносной деятельности.

#ParsedReport #CompletenessMedium
18-02-2026

Dark Web Profile: Sinobi Ransomware

https://socradar.io/blog/dark-web-profile-sinobi-ransomware/

Report completeness: Medium

Actors/Campaigns:
Lynx_ransomware

Threats:
Sinobi
Inc_ransomware
Lynx
Lolbin_technique
Rclone_tool
Shadow_copies_delete_technique

Industry:
Healthcare, Entertainment, Education

Geo:
Australia, United kingdom, Canada

CVEs:
CVE-2024-53704 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (le7.1.1-7058, 7.1.2-7019)

CVE-2024-40766 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<5.9.2.14-13o)


TTPs:
Tactics: 11
Technics: 19

IOCs:
File: 2
Registry: 1

Soft:
BinDiff, Tor browser

Algorithms:
aes-128-ctr, curve25519

Win API:
CryptGenRandom, DeviceIOControl, SHEmptyRecycleBinA

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Считается, что программа-вымогатель Sinobi, появившаяся в середине 2025 года, является преемницей Lynx Ransomware group, использующей для удаленного доступа учетные данные для компрометация и известные уязвимости, такие как CVE-2024-53704 и CVE-2024-40766. Группа использует методы фишинг для получения первоначальный доступ, после чего использует надежные методы шифрования для блокировки файлов, что делает невозможным восстановление без ключей дешифрования. Структура и операции Sinobi предполагают, что она унаследовала инструменты от существующих разновидностей программ-вымогателей, что указывает на преемственность предыдущих атак.
-----

Программа-вымогатель Sinobi - это программа-вымогатель как услуга (RaaS), появившаяся в середине 2025 года и считающаяся ребрендингом или преемницей ранее действовавшей Lynx Ransomware group, которая развилась из семейства INC Ransomware. Название группы обыгрывает термин "Шиноби", отражая темы из различных СМИ, где ниндзя занимают видное место, предполагая культурную связь или стратегию брендинга.

В Sinobi Group, в первую очередь, задачи организации путем проникновения среды через взломанные учетные данные для удаленного доступа. Они наблюдались с использованием векторов, таких как VPN-шлюзы и протокол удаленного рабочего стола (RDP) на счетах. Кроме того, использование известных уязвимостей-это тактика, используемая группой, в частности, уязвимость CVE-2024-53704, который влияет проверки подлинности устройств SonicWall VPN с шифрованием SSL и CVE-2024-40766, связанных с ненадлежащим контролем доступа. Поддерживая их стратегий записи, в группе работают фишинг методов, предусматривающих писем с вредоносными вложениями или ссылками.

После успешного получения доступа программа-вымогатель Sinobi внедряет надежные методы шифрования, которые делают невозможным восстановление данных без получения ключей дешифрования у злоумышленников. Это усиливает важность того, чтобы организации уделяли приоритетное внимание превентивным мерам против таких киберугроза.

Анализ показывает, что Sinobi вредоносное ПО появляется структурно и функционально аналогичен ранее вымогателей вариации, связанные с Inc Ransom и Lynx, указывая, что нынешние операторы, скорее всего, были получены или изменения существующих рекламных инструментов и инфраструктуры от Dark Web источников. Эта операционная модель предполагает, что Sinobi не отдельные сущности, а лишь продолжение существующего кластера оператор ребрендинг для новых кампаний.

#ParsedReport #CompletenessHigh
18-02-2026

Fake Homebrew Typosquats Used to Deliver Cuckoo Stealer via ClickFix

https://hunt.io/blog/fake-homebrew-clickfix-cuckoo-stealer-macos

Report completeness: High

Threats:
Cuckoo_stealer
Clickfix_technique
Credential_harvesting_technique
Typosquatting_technique
Spear-phishing_technique

Victims:
Macos developers

Industry:
Entertainment

Geo:
Ukrainian, Belarusian, Russian, Netherlands

TTPs:
Tactics: 10
Technics: 30

IOCs:
Domain: 4
IP: 1
File: 7
Url: 2
Hash: 2

Soft:
macOS, curl, Chromium, Discord, Telegram, sudo, Gatekeeper, IndexedDB, Steam, Unix, have more...

Wallets:
coinbase, rabby, bitpay

Crypto:
binance, bitcoin, ethereum

Algorithms:
curve25519, xor, ecdh, base64, md5

Languages:
applescript, javascript, powershell

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя киберкампания использует typosquatting для доставки вредоносное ПО Cuckoo Stealer разработчикам macOS, имитируя процесс установки Homebrew. Злоумышленники используют поддельные домены, чтобы обманом заставить пользователей выполнить вредоносный сценарий оболочки, который перехватывает законные команды установки, собирая учетные данные с помощью команды "dscl authonly", перед развертыванием Cuckoo Stealer. Это вредоносное ПО крадет конфиденциальную информацию, включая учетные данные браузера и данные с ключом macOS, используя зашифрованную связь C2 и внедряя меры скрытности, включая возможности самоуничтожения после выполнения команды.
-----

Недавняя преступная хакерская кАмпания использовала сложную технику typosquatting для распространения вредоносное ПО Cuckoo Stealer с помощью метода, известного как ClickFix, нацеленного на пользователей macOS, особенно разработчиков. Эта кампания работает, имитируя процесс установки Homebrew, используя доверие пользователей к этому широко используемому менеджеру пакетов. Злоумышленники создали несколько мошеннических доменов, которые очень напоминают законный сайт Homebrew, используя тонкие вариации и альтернативные домены верхнего уровня (TLD), размещая их в общей инфраструктуре.

Атака начинается, когда пользователь неосознанно выполняет вредоносный сценарий оболочки, замаскированный под аутентичную команду установки Homebrew. Эта полезная нагрузка первого этапа создается путем внедрения вредоносного кода в законный сценарий установки Homebrew, который зацикливается на запросах пароля с помощью команды "dscl authonly", эффективно собирая действительные учетные данные пользователя. Как только учетные данные получены, вредоносное ПО запускает свою полезную нагрузку второго этапа, Cuckoo Stealer, который функционирует как полнофункциональный похититель информации и Троянская программа для удаленного доступа (RAT).

Cuckoo Stealer устанавливает закрепление с помощью системы macOS LaunchAgent и использует локализованную фильтрацию, чтобы избежать заражения в Содружестве Независимых Государств (СНГ). Он взаимодействует со своим сервером управление (C2) по зашифрованному протоколу HTTPS, используя усовершенствованные механизмы обмена ключами для безопасной передачи данных. Вредоносное ПО проводит обширный сбор данных, нацеливаясь на учетные данные браузера в основных браузерах, уделяя особое внимание тем, которые связаны с приложениями для криптовалютных кошельков. Он также извлекает конфиденциальную информацию пользователя из macOS Связка ключей, Apple Notes и различных приложений для обмена сообщениями, позволяя потенциальному захвату учетной записи путем сбора токенов аутентификации.

Функциональность вредоносное ПО включает просмотр файловой системы в режиме реального времени и эксфильтрация за счет использования двойного канала связи с сервером C2. Он может захватывать и извлекать скриншоты и файлы, специально ориентируясь на пользовательские каталоги, такие как рабочий стол и документы. Кроме того, в нем реализована оперативная мера безопасности, позволяющая отключать системные звуки во время эксфильтрация, чтобы избежать обнаружения пользователем.

Как только Cuckoo Stealer получает команду удаления с сервера C2, он выполняет процедуру самоуничтожения, тщательно удаляя доказательства своего присутствия. Эта кампания не только демонстрирует нацелен подход к краже учетных данных и эксфильтрация данных, но и подчеркивает растущую изощренность злоумышленник в использовании стратегий маскировки для использования надежных рабочих процессов в системах macOS. Сохраняющаяся угроза требует от разработчиков и пользователей macOS повышенной бдительности в отношении целостности используемых установочных сценариев и команд.

#ParsedReport #CompletenessLow
17-02-2026

Kraken Darknet Access via Clearnet Gateways

https://malwr-analysis.com/2026/02/18/kraken-darknet-access-via-clearnet-gateways/

Report completeness: Low

Threats:
Kraken_cryptor

Victims:
Darknet ecosystem users

Industry:
E-commerce

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 28

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние исследования выявили интерфейс авторизации, связанный с даркнетом Kraken, доступный как через обычный интернет, так и через Tor, что позволяет злоумышленникам использовать открытость обычного интернета, сохраняя при этом анонимность даркнета. Такой гибридный доступ может способствовать незаконной деятельности, привлекая более широкую аудиторию и увеличивая риск фишинговых атак и атак с использованием методов социальной инженерии. Слияние угроз из обеих сред вызывает опасения по поводу уязвимостей и необходимости постоянного сбора разведывательной информации для обнаружения и противодействия возникающим киберугрозам.-----

Недавние анализы выявили интерфейс авторизации, связанный с экосистемой даркнета Kraken, доступный как через обычные домены в открытом интернете, так и через сервисы Tor Onion. Эта двойная доступность представляет собой серьезную проблему, поскольку позволяет злоумышленникам использовать более открытую среду открытого интернета, сохраняя при этом анонимность и кажущуюся безопасность, предлагаемые сетью Tor. Злоумышленники могут использовать это для более свободного осуществления незаконной деятельности, используя шлюзы открытого интернета для привлечения более широкой аудитории или облегчения транзакций, которые в противном случае могли бы быть ограничены более анонимными рамками даркнета.

Последствия этого открытия указывают на потенциальные уязвимости, поскольку оно объединяет традиционные угрозы, наблюдаемые как в открытом интернете, так и в даркнете. Пользователи, стремящиеся получить доступ к таким платформам, могут непреднамеренно подвергнуть себя различным киберугрозам, включая попытки фишинга или другие формы социальной инженерии, из-за упрощенной доступности интерфейсов авторизации. Кроме того, простота перехода между этими платформами может позволить киберпреступникам использовать слабые места в мерах кибербезопасности, которые, как правило, более надежны в традиционных средах, но могут менее строго применяться в контексте даркнета.

По мере развития этих событий пользователи и организации, занимающиеся кибербезопасностью, должны осознавать риски, связанные с такой гибридной доступностью. Это указывает на необходимость улучшения мониторинга и защиты в обеих областях для противодействия растущей изощренности злоумышленников, использующих такие методы в противоправных целях. Эта тенденция подчеркивает необходимость постоянного сбора и анализа разведывательной информации для выявления и смягчения возникающих угроз, связанных с пересечением открытого и темного интернет-пространств.

#ParsedReport #CompletenessLow
18-02-2026

Beyond the Backdoor: How Contagious Interview Is Surgically Tampering with MetaMask Wallets

https://sp4rk.medium.com/beyond-the-backdoor-how-contagious-interview-is-surgically-tampering-with-metamask-wallets-0314ae901d85

Report completeness: Low

Actors/Campaigns:
Contagious_interview (motivation: financially_motivated, information_theft)

Threats:
Beavertail
Invisibleferret

Victims:
It professionals, Cryptocurrency sector, Web3 sector, Artificial intelligence sector, Developers, Engineers

Geo:
Dprk, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1036, T1041, T1056.002, T1059.006, T1059.007, T1071.001, T1095, T1105, T1195, have more...

IOCs:
IP: 9
Url: 6
File: 8
Hash: 18

Soft:
VSCode, macOS, Linux, KeePass, Chrome

Wallets:
metamask

Crypto:
solana, ethereum

Algorithms:
zip, hmac

Functions:
report, submitPassword

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Contagious Interview, атрибутирован с северокорейскими злоумышленник, нацелена на ИТ-специалистов в области криптовалют, Web3 и искусственного интеллекта, чтобы отфильтровать конфиденциальную финансовую информацию. Он использует двухэтапную атаку с использованием вредоносного JavaScript в троянских пакетах NPM, которые взаимодействуют с серверами управление для загрузки дополнительной полезной нагрузки, включая вредоносное ПО на Python InvisibleFerret и бэкдор для удаленного доступа. Ключевая тактика заключается в компрометации расширения кошелька MetaMask для сбора учетные данные, что является примером сложной многоэтапной стратегии эксфильтрация данных кампании.
-----

Кампания Contagious Interview, связанная с северокорейскими злоумышленник, в настоящее время нацелена на ИТ-специалистов в секторах криптовалют, Web3 и искусственного интеллекта с намерением украсть финансовую информацию и конфиденциальные данные. Эта угроза использует двухэтапную атаку, которая начинается с полезной нагрузки JavaScript, подтверждающей успешное заражение путем отправки маяка на серверы управление (C2) злоумышленников и получения дополнительных сценариев. Эти дополнительные полезные нагрузки включают вредоносное ПО на основе Python с именем InvisibleFerret и два файла JavaScript: один для создания бэкдора удаленного доступа, а другой для идентификации и извлечения конфиденциальных файлов из системы жертвы.

Процесс заражения инициируется с помощью вредоносного JavaScript, закодированного в троянские пакеты NPM, маскирующиеся под законные инструменты, связанные с работой. После выполнения JavaScript подключается к серверу C2 для получения дополнительной полезной нагрузки, включая файл, который загружает конфиденциальные данные, хранящиеся на компьютере жертвы, с акцентом на учетные данные, криптовалютные кошельки и информацию менеджера паролей в нескольких операционных системах. Кампания превратилась в сложную операцию, разделенную на этапы, с систематической фильтрацией конфиденциальных файлов, в том числе связанных с криптовалютой.

Вредоносное ПО извлекает файлы, используя четко определенный шаблон поиска, основанный на ключевых словах, связанных с конфиденциальными данными, в частности, нацеливаясь на документы, относящиеся к криптовалютным кошелькам, настройкам разработки и Закрытые ключи. Кроме того, в campaign используется облегченный бэкдор JavaScript, который позволяет C2 взаимодействовать по определенному протоколу, получать и выполнять команды, включая выборку дополнительных сценариев.

Один из ключевых компонентов связан со взломом расширения кошелька MetaMask, популярного среди пользователей криптовалют. Актор заменяет законное расширение вредоносной версией, которая напрямую захватывает учетные данные кошелька и передает их на сервер C2. Этот процесс манипулирования влечет за собой изменение файлов конфигурации браузера для принудительного внедрения кода злоумышленником.

Цепочка заражения демонстрирует сложную стратегию эксфильтрация данных, которая выполняется в несколько этапов: сначала нацеливание на сохраненные в браузере учетные данные, затем переход к извлечению файлов на основе предопределенных ключевых слов и, в конечном счете, выполнение команд для сбора большего количества данных в соответствии с инструкциями злоумышленник. Вариант вредоносного ПО BeaverTail, использованный в этой кампании, продемонстрировал адаптивность и закрепление, поскольку он продолжает совершенствовать свои методы кражи конфиденциальных данных и средств, связанных с криптовалютой, у жертв.

#ParsedReport #CompletenessLow
18-02-2026

Pwning Malware with Ninjas and Unicorns

https://www.levelblue.com/blogs/spiderlabs-blog/pwning-malware-with-ninjas-and-unicorns

Report completeness: Low

Threats:
Sysupdate

Victims:
Unspecified organizations

ChatGPT TTPs:
do not use without manual check
T1027, T1573, T1608

IOCs:
File: 5

Soft:
Linux, unicorn

Algorithms:
xor

Functions:
main, setup_memory_mappings, write_memory_mappings, generate_key_internal, generate_key, xor_and_UNK_1, setup_registers, setup_xor_unk_decrypt

Languages:
rust

Platforms:
x86

Links:
https://github.com/unicorn-engine/unicorn/tree/master/bindings/rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье подробно описывается обратный инженерный анализ предполагаемого варианта вредоносное ПО для Linux, аналогичного SysUpdate, с акцентом на разработку инструмента для расшифровки трафика управление-командами путем изучения его процедур шифрования. В нем описывается создание эмулятора для модульной обработки ассемблерного кода, который помогает понять алгоритм шифрования вредоносное ПО, в частности процедуры генерации ключей и их воздействие на состояние стека во время выполнения. Такой структурированный подход упрощает процесс анализа различных образец вредоносное ПО.
-----

В статье обсуждается попытка обратного инжиниринга образец вредоносное ПО для Linux, предположительно являющийся новой версией SysUpdate. Основное внимание уделяется разработке инструмента для расшифровки трафика системы управление (C2), в частности, путем анализа процедур шифрования в вредоносное ПО. Автор описывает процесс создания эмулятора для эффективной обработки ассемблерного кода и генерации необходимых инструментов, подчеркивая модульность, позволяющую повторно использовать логику для различных образец вредоносное ПО.

Подход к расшифровке вредоносное ПО основан на понимании алгоритма шифрования, используемого для связи C2. Автор отмечает важность чистого и модульного дизайна в эмуляторе для поддержания организованной логики при сохранении целевых функциональных возможностей. Эта структурированная методология облегчает разработку кода, который может взаимодействовать с различными образец-ми вредоносное ПО, тем самым повышая эффективность будущего анализа.

В статье также подробно описывается создание сопоставления кода, согласованного с адресом критически важных процедур генерации ключей в вредоносное ПО. Важность этого сопоставления заключается в сосредоточении внимания на конкретных функциях в рамках более широкого набора процедур, что помогает понять инкапсулированные процессы шифрования и дешифрования. Представляющие интерес процедуры подробно описаны, в частности, как они влияют на состояние стека во время выполнения; это понимание необходимо для успешного выполнения расшифровки.

#technique

Emoji Smuggling: Hiding Malicious Code in Plain Sight

https://sosintel.co.uk/emoji-smuggling-hiding-malicious-code-in-plain-sight/

#technique #ai #llm

AI in the Middle: Turning Web-Based AI Services into C2 Proxies & The Future Of AI Driven Attacks

https://research.checkpoint.com/2026/ai-in-the-middle-turning-web-based-ai-services-into-c2-proxies-the-future-of-ai-driven-attacks/

#ParsedReport #CompletenessHigh
19-02-2026

XWorm Malware Delivered via Fake Financial Receipts Targeting Windows Systems to Steal Logins and Sessions

https://cybersecuritynews.com/xworm-malware-fake-financial-receipts/

Report completeness: High

Threats:
Xworm_rat
Steganography_technique
Lolbin_technique
Stego_loader

Victims:
Windows users

Industry:
Financial

Geo:
Latin american, Brazilian, Brazil, Latam

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036, T1059.001, T1105, T1566.001

IOCs:
File: 2
Url: 3
Command: 3
Path: 2
Domain: 1
IP: 1
Hash: 1

Soft:
Windows Task Scheduler, NET framework

Algorithms:
aes-ecb, base64, sha256, md5

Functions:
TaskService, TaskDefinition

Win API:
ShowWindow

Languages:
powershell, javascript