CTT Report Hub
#ParsedReport #CompletenessLow 20-02-2026 Scammers are Targeting Crypto Users Through the Mail https://flare.io/learn/resources/blog/scammers-targeting-crypto-users-mail Report completeness: Low Victims: Trezor users, Ledger users, Cryptocurrency users…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние фишинг-кампании, нацеленные на пользователей криптовалют, распространяются с цифровой почты на физическую, примером чего является мошенническое письмо, выдающее себя за поставщика кошельков для Аппаратное обеспечение Trezor. Сообщение ложно запрашивало "Обязательную проверку подлинности" и направляло получателей на вредоносный сайт для ввода фраз восстановления кошелька, которые могут предоставить злоумышленникам доступ к пользовательским средствам. Аналогичная тактика наблюдалась у пользователей Ledger, что указывает на тревожную тенденцию к постоянному фишинг-атакам с использованием данных о прошлых нарушениях.
-----
Недавние события указывают на изменение тактики фишинг-атак на пользователей криптовалют, которая теперь выходит за рамки традиционных цифровых каналов и распространяется на физическую почту. Инцидент, о котором сообщил исследователь безопасности Дмитрий Смилянец, указывает на мошенническое письмо, Маскировка под сообщение от Trezor, авторитетного поставщика кошельков для Аппаратное обеспечение. В письме утверждалось, что оно объявляет об "обязательной проверке подлинности", поощряя получателей загружать свои Закрытые ключи с помощью предоставленного QR-кода, фактически направляя их на вредоносный фишинг-сайт.
Фишинг-домен, связанный с этой кампанией, был разработан для имитации законных страниц, побуждая жертв вводить фразы для восстановления своего кошелька. Такие фразы служат отмычками к криптовалютным кошелькам, позволяя злоумышленникам, получившим эту информацию, получить контроль и истощить средства жертв. Хотя с тех пор фишинг-сайт был деактивирован и помечен предупреждениями о безопасности браузера, его существование иллюстрирует опасную тенденцию.
Были выявлены аналогичные инициативы по фишинг-атакам, нацеленные на пользователей Ledger, другой компании, занимающейся Аппаратное обеспечение кошельков, в которых использовались письма с предупреждением о необходимости "Проверки транзакции", снова связанные с QR-кодом, ведущим на сайт фишинг. Эти продолжающиеся атаки были отмечены еще в октябре 2025 года, что указывает на постоянные усилия злоумышленник.
Эта тактика основана на предыдущих примерах, когда злоумышленник использовал физическую почту для нацеливания на потребителей, в частности, ссылаясь на кампанию 2021 года, которая включала рассылку модифицированных кошельков Ledger, используя данные, полученные в результате взлома базы данных Ledger в 2020 году. В результате взлома было обнародовано 1,1 миллиона пользовательских записей, включая личные адреса, что эффективно предоставило злоумышленник информацию, необходимую для осуществления фишинг-рассылки по электронной почте.
Организациям и частным лицам рекомендуется сообщать о любой подозрительной переписке или попытках фишинг-рассылки непосредственно соответствующим компаниям (Trezor или Ledger) и соответствующим органам, таким как FTC и Google. Бдительность имеет решающее значение, поскольку эти мошенничества становятся все более частыми и изощренными, что подчеркивает необходимость надежного мониторинга и быстрой отчетности для уменьшения потенциальных потерь.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние фишинг-кампании, нацеленные на пользователей криптовалют, распространяются с цифровой почты на физическую, примером чего является мошенническое письмо, выдающее себя за поставщика кошельков для Аппаратное обеспечение Trezor. Сообщение ложно запрашивало "Обязательную проверку подлинности" и направляло получателей на вредоносный сайт для ввода фраз восстановления кошелька, которые могут предоставить злоумышленникам доступ к пользовательским средствам. Аналогичная тактика наблюдалась у пользователей Ledger, что указывает на тревожную тенденцию к постоянному фишинг-атакам с использованием данных о прошлых нарушениях.
-----
Недавние события указывают на изменение тактики фишинг-атак на пользователей криптовалют, которая теперь выходит за рамки традиционных цифровых каналов и распространяется на физическую почту. Инцидент, о котором сообщил исследователь безопасности Дмитрий Смилянец, указывает на мошенническое письмо, Маскировка под сообщение от Trezor, авторитетного поставщика кошельков для Аппаратное обеспечение. В письме утверждалось, что оно объявляет об "обязательной проверке подлинности", поощряя получателей загружать свои Закрытые ключи с помощью предоставленного QR-кода, фактически направляя их на вредоносный фишинг-сайт.
Фишинг-домен, связанный с этой кампанией, был разработан для имитации законных страниц, побуждая жертв вводить фразы для восстановления своего кошелька. Такие фразы служат отмычками к криптовалютным кошелькам, позволяя злоумышленникам, получившим эту информацию, получить контроль и истощить средства жертв. Хотя с тех пор фишинг-сайт был деактивирован и помечен предупреждениями о безопасности браузера, его существование иллюстрирует опасную тенденцию.
Были выявлены аналогичные инициативы по фишинг-атакам, нацеленные на пользователей Ledger, другой компании, занимающейся Аппаратное обеспечение кошельков, в которых использовались письма с предупреждением о необходимости "Проверки транзакции", снова связанные с QR-кодом, ведущим на сайт фишинг. Эти продолжающиеся атаки были отмечены еще в октябре 2025 года, что указывает на постоянные усилия злоумышленник.
Эта тактика основана на предыдущих примерах, когда злоумышленник использовал физическую почту для нацеливания на потребителей, в частности, ссылаясь на кампанию 2021 года, которая включала рассылку модифицированных кошельков Ledger, используя данные, полученные в результате взлома базы данных Ledger в 2020 году. В результате взлома было обнародовано 1,1 миллиона пользовательских записей, включая личные адреса, что эффективно предоставило злоумышленник информацию, необходимую для осуществления фишинг-рассылки по электронной почте.
Организациям и частным лицам рекомендуется сообщать о любой подозрительной переписке или попытках фишинг-рассылки непосредственно соответствующим компаниям (Trezor или Ledger) и соответствующим органам, таким как FTC и Google. Бдительность имеет решающее значение, поскольку эти мошенничества становятся все более частыми и изощренными, что подчеркивает необходимость надежного мониторинга и быстрой отчетности для уменьшения потенциальных потерь.
#ParsedReport #CompletenessHigh
21-02-2026
Operation Olalampo: Inside MuddyWaters Latest Campaign
https://www.group-ib.com/blog/muddywater-operation-olalampo/
Report completeness: High
Actors/Campaigns:
Olalampo
Muddywater
Threats:
Ghostfetch
Ghostbackdoor
Http_vip
Char
Spear-phishing_technique
Anydesk_tool
Blackbeard
Rustric
Victims:
Government, Telecommunications, Energy, Critical infrastructure, Contractors, Individuals of interest, System integrator companies
Industry:
Government, Energy, Telco, Critical_infrastructure, Healthcare
Geo:
Middleeast, Mena, Iranian, Middle east
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1005, T1021.001, T1027, T1027.013, T1029, T1030, T1036, T1036.003, T1059, T1059.001, have more...
IOCs:
File: 12
Command: 1
Path: 8
Domain: 5
IP: 5
Hash: 45
Url: 1
Soft:
Telegram, Microsoft Office, curl, sudo, flask, Microsoft Excel, Microsoft Word, linux
Algorithms:
aes, sha1, exhibit
Functions:
Workbook_Open, wait
Win API:
GetTickCount64, SeShutdownPrivilege, SeChangeNotifyPrivilege, SeUndockPrivilege, SeIncreaseWorkingSetPrivilege, SeTimeZonePrivilege
Languages:
rust, python, powershell
21-02-2026
Operation Olalampo: Inside MuddyWaters Latest Campaign
https://www.group-ib.com/blog/muddywater-operation-olalampo/
Report completeness: High
Actors/Campaigns:
Olalampo
Muddywater
Threats:
Ghostfetch
Ghostbackdoor
Http_vip
Char
Spear-phishing_technique
Anydesk_tool
Blackbeard
Rustric
Victims:
Government, Telecommunications, Energy, Critical infrastructure, Contractors, Individuals of interest, System integrator companies
Industry:
Government, Energy, Telco, Critical_infrastructure, Healthcare
Geo:
Middleeast, Mena, Iranian, Middle east
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1021.001, T1027, T1027.013, T1029, T1030, T1036, T1036.003, T1059, T1059.001, have more...
IOCs:
File: 12
Command: 1
Path: 8
Domain: 5
IP: 5
Hash: 45
Url: 1
Soft:
Telegram, Microsoft Office, curl, sudo, flask, Microsoft Excel, Microsoft Word, linux
Algorithms:
aes, sha1, exhibit
Functions:
Workbook_Open, wait
Win API:
GetTickCount64, SeShutdownPrivilege, SeChangeNotifyPrivilege, SeUndockPrivilege, SeIncreaseWorkingSetPrivilege, SeTimeZonePrivilege
Languages:
rust, python, powershell
Group-IB
Operation Olalampo: Inside MuddyWater’s Latest Campaign
MuddyWater APT has launched a new cyber offensive operation, dubbed Operation Olalampo, deploying new malware variants and leveraging Telegram bots for command-and-control. Analysis of the campaign provides a glimpse into the group’s post-exploitation tactics…
CTT Report Hub
#ParsedReport #CompletenessHigh 21-02-2026 Operation Olalampo: Inside MuddyWaters Latest Campaign https://www.group-ib.com/blog/muddywater-operation-olalampo/ Report completeness: High Actors/Campaigns: Olalampo Muddywater Threats: Ghostfetch Ghostbackdoor…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция Olalampo, атрибутирован с иранской APT-группировка MuddyWater, нацелена на организации региона MENA, использующие новые варианты вредоносное ПО, начиная с 26 января 2026 года. Ключевые компоненты включают в себя бэкдор на основе Rust, CHAR, который обменивается данными через Телеграм, и два загрузчика с именами GhostFetch и HTTP_VIP, которые выполняют полезную нагрузку и проводят разведка системы, избегая обнаружения в виртуальных средах. В ходе операции особое внимание уделяется тактике фишинг с использованием вредоносных офисных документов и демонстрируются передовые механизмы командования и контроля, использующие зашифрованные коммуникации и сложную систему обфускации.
-----
Операция "Olalampo" - это новая киберкампания, атрибутирован с иранской APT-группировка MuddyWater, ориентированная на организации в регионе MENA. Запущенная 26 января 2026 года, эта операция использует несколько новых вариантов вредоносное ПО, поддерживает связь командования и контроля (C2) через бота Телеграм и демонстрирует действия после эксплуатации, соответствующие исторической тактике группы. Вредоносное ПО включает в себя бэкдор на основе Rust с именем CHAR и два загрузчика, известные как GhostFetch и HTTP_VIP, а также продвинутый бэкдор под названием GhostBackDoor.
Методы работы MuddyWater's эволюционировали, но остаются в строгом соответствии с предыдущими методами. Кампания была инициирована с помощью фишинг-писем, содержащих вредоносные документы Microsoft Office. В этих документах использовалось выполнение макросов для развертывания различных полезных нагрузок вредоносное ПО при открытии, специально предназначенных для отдельных лиц и организаций, связанных с энергетическим сектором. Например, один документ Excel имитировал законную компанию и развернул CHAR backdoor, в то время как другое приглашение на загрузку привело к выполнению GhostFetch, который извлекает GhostBackDoor.
GhostFetch функционирует как загрузчик первого этапа, предназначенный для загрузки вторичных полезных данных в память, сохраняя низкий уровень защиты от обнаружения в изолированной среде. Он особенно чувствителен к экологическим проверкам, чтобы избежать выполнения в виртуализированных средах, и кодирует базовые коммуникации C2. Напротив, HTTP_VIP - это загрузчик, который проводит разведка системы и связывается со своим сервером C2 для аутентификации и выполнения дополнительных команд. Вредоносное ПО предназначено для исключения узлов компрометация, связанных с определенными доменами, которые, по-видимому, коррелируют с "приманками", созданными для выявления угроз.
CHAR backdoor представляет собой заметный сдвиг в возможностях MuddyWater's, позволяющий отправлять команды через Телеграм. Он обеспечивает зашифрованную связь и специальные конечные точки API для выполнения команд, направленные на то, чтобы избежать обнаружения. Кампания также указывает на потенциальное использование искусственного интеллекта при разработке некоторых компонентов вредоносное ПО, о чем свидетельствуют аномалии в коде, предполагающие автоматизацию процесса создания.
Инфраструктура C2 для доступного вредоносное ПО охватывает множество доменов, включая те, которые были идентифицированы в ходе предыдущих операций MuddyWater. GhostFetch и HTTP_VIP используют различные серверные архитектуры, использующие фреймворк Python, а также реализуют эффективные методы запутывания, позволяющие оставаться скрытыми от механизмов безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция Olalampo, атрибутирован с иранской APT-группировка MuddyWater, нацелена на организации региона MENA, использующие новые варианты вредоносное ПО, начиная с 26 января 2026 года. Ключевые компоненты включают в себя бэкдор на основе Rust, CHAR, который обменивается данными через Телеграм, и два загрузчика с именами GhostFetch и HTTP_VIP, которые выполняют полезную нагрузку и проводят разведка системы, избегая обнаружения в виртуальных средах. В ходе операции особое внимание уделяется тактике фишинг с использованием вредоносных офисных документов и демонстрируются передовые механизмы командования и контроля, использующие зашифрованные коммуникации и сложную систему обфускации.
-----
Операция "Olalampo" - это новая киберкампания, атрибутирован с иранской APT-группировка MuddyWater, ориентированная на организации в регионе MENA. Запущенная 26 января 2026 года, эта операция использует несколько новых вариантов вредоносное ПО, поддерживает связь командования и контроля (C2) через бота Телеграм и демонстрирует действия после эксплуатации, соответствующие исторической тактике группы. Вредоносное ПО включает в себя бэкдор на основе Rust с именем CHAR и два загрузчика, известные как GhostFetch и HTTP_VIP, а также продвинутый бэкдор под названием GhostBackDoor.
Методы работы MuddyWater's эволюционировали, но остаются в строгом соответствии с предыдущими методами. Кампания была инициирована с помощью фишинг-писем, содержащих вредоносные документы Microsoft Office. В этих документах использовалось выполнение макросов для развертывания различных полезных нагрузок вредоносное ПО при открытии, специально предназначенных для отдельных лиц и организаций, связанных с энергетическим сектором. Например, один документ Excel имитировал законную компанию и развернул CHAR backdoor, в то время как другое приглашение на загрузку привело к выполнению GhostFetch, который извлекает GhostBackDoor.
GhostFetch функционирует как загрузчик первого этапа, предназначенный для загрузки вторичных полезных данных в память, сохраняя низкий уровень защиты от обнаружения в изолированной среде. Он особенно чувствителен к экологическим проверкам, чтобы избежать выполнения в виртуализированных средах, и кодирует базовые коммуникации C2. Напротив, HTTP_VIP - это загрузчик, который проводит разведка системы и связывается со своим сервером C2 для аутентификации и выполнения дополнительных команд. Вредоносное ПО предназначено для исключения узлов компрометация, связанных с определенными доменами, которые, по-видимому, коррелируют с "приманками", созданными для выявления угроз.
CHAR backdoor представляет собой заметный сдвиг в возможностях MuddyWater's, позволяющий отправлять команды через Телеграм. Он обеспечивает зашифрованную связь и специальные конечные точки API для выполнения команд, направленные на то, чтобы избежать обнаружения. Кампания также указывает на потенциальное использование искусственного интеллекта при разработке некоторых компонентов вредоносное ПО, о чем свидетельствуют аномалии в коде, предполагающие автоматизацию процесса создания.
Инфраструктура C2 для доступного вредоносное ПО охватывает множество доменов, включая те, которые были идентифицированы в ходе предыдущих операций MuddyWater. GhostFetch и HTTP_VIP используют различные серверные архитектуры, использующие фреймворк Python, а также реализуют эффективные методы запутывания, позволяющие оставаться скрытыми от механизмов безопасности.
#ParsedReport #CompletenessMedium
21-02-2026
January 2026 APT Attack Trends Report (Domestic)
https://asec.ahnlab.com/ko/92647/
Report completeness: Medium
Threats:
Spear-phishing_technique
Endrat
Hadesdoor
Mudsdoor
Thumbstealer
Xenorat
Victims:
Korea
Geo:
Korea
ChatGPT TTPs:
T1036, T1041, T1053.005, T1056.001, T1059, T1059.001, T1083, T1105, T1204.002, T1218.005, have more...
IOCs:
File: 9
Hash: 5
Url: 5
Soft:
curl, task scheduler
Algorithms:
md5
Languages:
powershell, autoit
21-02-2026
January 2026 APT Attack Trends Report (Domestic)
https://asec.ahnlab.com/ko/92647/
Report completeness: Medium
Threats:
Spear-phishing_technique
Endrat
Hadesdoor
Mudsdoor
Thumbstealer
Xenorat
Victims:
Korea
Geo:
Korea
ChatGPT TTPs:
do not use without manual checkT1036, T1041, T1053.005, T1056.001, T1059, T1059.001, T1083, T1105, T1204.002, T1218.005, have more...
IOCs:
File: 9
Hash: 5
Url: 5
Soft:
curl, task scheduler
Algorithms:
md5
Languages:
powershell, autoit
ASEC
2026년 1월 APT 공격 동향 보고서(국내) - ASEC
2026년 1월 APT 공격 동향 보고서(국내) ASEC
CTT Report Hub
#ParsedReport #CompletenessMedium 21-02-2026 January 2026 APT Attack Trends Report (Domestic) https://asec.ahnlab.com/ko/92647/ Report completeness: Medium Threats: Spear-phishing_technique Endrat Hadesdoor Mudsdoor Thumbstealer Xenorat Victims: Korea…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В январе 2026 года APT-атаки в Корее в основном использовали spear phishing, уделяя особое внимание вредоносным файлам LNK для доставки полезной нагрузки. Атаки типа A использовали файлы LNK для выполнения команд PowerShell, которые загружали вредоносное ПО AutoIt, обеспечивая постоянное управление с помощью запланированных сценариев. Используемые атаки типа В curl.exe загружать и запускать HTA-файлы с хостинговых платформ, облегчая развертывание вредоносное ПО стиллер, кейлоггера и бэкдора, тем самым усиливая контроль злоумышленников над компрометация систем.
-----
В январе 2026 года большинство APT-атак в Корее были осуществлены с помощью spear phishing, с заметным акцентом на вредоносные файлы LNK в качестве механизма доставки. Spear phishing - это метод нацелен-ной атаки, который включает в себя обширную разведка с целью сбора подробной информации о конкретных лицах или группах. Эта информация позволяет злоумышленникам создавать убедительные фишинг-письма, в которых часто указаны поддельные адреса отправителей и содержатся вредоносные вложения или ссылки, предназначенные для того, чтобы побудить получателей к совершению вредоносных действий.
В недавней тенденции наблюдались два основных типа атак. Первый, обозначенный как тип A, включал использование файлов LNK для выполнения команд PowerShell, которые инициируют загрузку вредоносное ПО AutoIt. Во время этого процесса файл LNK подключается к внешнему URL-адресу, загружает дополнительные файлы и переименовывает законный curl.exe программа для выполнения вредоносных скриптов. Эти скрипты, которые зарегистрированы в планировщике задач для постоянного выполнения, могут выполнять различные команды, получать доступ к каталогам, загружать файлы, что указывает на значительный уровень возможностей управления.
Атаки типа B использовали встроенные средства Windows, в частности curl.exe , чтобы загрузить и запустить вредоносный HTA-файл из папки %TEMP%. Эти HTA-файлы часто размещались на таких платформах, как Github или Google Drive, и были разработаны для создания загрузчика, который маскировался под файл-приманку и sys.имя библиотеки dll. Загрузчик активирует вредоносное ПО типа "стиллер", которое собирает конфиденциальную системную информацию, списки файлов и сведения о виртуальных активах. Кроме того, этот тип атаки включает в себя кейлоггер и бэкдор, которые предоставляют злоумышленникам возможность отдавать удаленные команды, значительно усиливая их контроль над зараженными системами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В январе 2026 года APT-атаки в Корее в основном использовали spear phishing, уделяя особое внимание вредоносным файлам LNK для доставки полезной нагрузки. Атаки типа A использовали файлы LNK для выполнения команд PowerShell, которые загружали вредоносное ПО AutoIt, обеспечивая постоянное управление с помощью запланированных сценариев. Используемые атаки типа В curl.exe загружать и запускать HTA-файлы с хостинговых платформ, облегчая развертывание вредоносное ПО стиллер, кейлоггера и бэкдора, тем самым усиливая контроль злоумышленников над компрометация систем.
-----
В январе 2026 года большинство APT-атак в Корее были осуществлены с помощью spear phishing, с заметным акцентом на вредоносные файлы LNK в качестве механизма доставки. Spear phishing - это метод нацелен-ной атаки, который включает в себя обширную разведка с целью сбора подробной информации о конкретных лицах или группах. Эта информация позволяет злоумышленникам создавать убедительные фишинг-письма, в которых часто указаны поддельные адреса отправителей и содержатся вредоносные вложения или ссылки, предназначенные для того, чтобы побудить получателей к совершению вредоносных действий.
В недавней тенденции наблюдались два основных типа атак. Первый, обозначенный как тип A, включал использование файлов LNK для выполнения команд PowerShell, которые инициируют загрузку вредоносное ПО AutoIt. Во время этого процесса файл LNK подключается к внешнему URL-адресу, загружает дополнительные файлы и переименовывает законный curl.exe программа для выполнения вредоносных скриптов. Эти скрипты, которые зарегистрированы в планировщике задач для постоянного выполнения, могут выполнять различные команды, получать доступ к каталогам, загружать файлы, что указывает на значительный уровень возможностей управления.
Атаки типа B использовали встроенные средства Windows, в частности curl.exe , чтобы загрузить и запустить вредоносный HTA-файл из папки %TEMP%. Эти HTA-файлы часто размещались на таких платформах, как Github или Google Drive, и были разработаны для создания загрузчика, который маскировался под файл-приманку и sys.имя библиотеки dll. Загрузчик активирует вредоносное ПО типа "стиллер", которое собирает конфиденциальную системную информацию, списки файлов и сведения о виртуальных активах. Кроме того, этот тип атаки включает в себя кейлоггер и бэкдор, которые предоставляют злоумышленникам возможность отдавать удаленные команды, значительно усиливая их контроль над зараженными системами.
#ParsedReport #CompletenessHigh
21-02-2026
Massive Winos 4.0 Campaigns Target Taiwan
https://www.fortinet.com/blog/threat-research/massive-winos-40-campaigns-target-taiwan
Report completeness: High
Actors/Campaigns:
Silver_fox
Threats:
Winos
Byovd_technique
Dll_sideloading_technique
Valleyrat
Uac_bypass_technique
Victims:
Organizations in taiwan, Organizations across asia, Tax administration related targets
Industry:
Financial
Geo:
Asia, Chinese, Taiwanese, China, Taiwan
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1036.003, T1064, T1071.001, T1102, T1105, T1106, T1112, T1140, T1204.001, have more...
IOCs:
File: 49
Path: 3
Domain: 11
Url: 5
IP: 2
Hash: 2
Soft:
curl, Windows kernel-mode driver, Microsoft Defender
Algorithms:
base64, sha256
Functions:
RunUAC
Win API:
RtlInitUnicodeString, NtLoadDriver, RtlAdjustPrivilege
Win Services:
MsMpEng, AvastSvc
Platforms:
x64
21-02-2026
Massive Winos 4.0 Campaigns Target Taiwan
https://www.fortinet.com/blog/threat-research/massive-winos-40-campaigns-target-taiwan
Report completeness: High
Actors/Campaigns:
Silver_fox
Threats:
Winos
Byovd_technique
Dll_sideloading_technique
Valleyrat
Uac_bypass_technique
Victims:
Organizations in taiwan, Organizations across asia, Tax administration related targets
Industry:
Financial
Geo:
Asia, Chinese, Taiwanese, China, Taiwan
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036.003, T1064, T1071.001, T1102, T1105, T1106, T1112, T1140, T1204.001, have more...
IOCs:
File: 49
Path: 3
Domain: 11
Url: 5
IP: 2
Hash: 2
Soft:
curl, Windows kernel-mode driver, Microsoft Defender
Algorithms:
base64, sha256
Functions:
RunUAC
Win API:
RtlInitUnicodeString, NtLoadDriver, RtlAdjustPrivilege
Win Services:
MsMpEng, AvastSvc
Platforms:
x64
Fortinet Blog
Massive Winos 4.0 Campaigns Target Taiwan
FortiGuard Labs analyzes Winos 4.0 (ValleyRat) campaigns targeting Taiwan, detailing phishing lures, DLL sideloading, BYOVD abuse, and evolving attacker infrastructure…
CTT Report Hub
#ParsedReport #CompletenessHigh 21-02-2026 Massive Winos 4.0 Campaigns Target Taiwan https://www.fortinet.com/blog/threat-research/massive-winos-40-campaigns-target-taiwan Report completeness: High Actors/Campaigns: Silver_fox Threats: Winos Byovd_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Silver Fox нацелен на тайваньские организации, используя изощренные фишинг-кампании для развертывания вредоносное ПО Winos 4.0 (ValleyRat). Их методы включают DLL Sideloading, вредоносные LNK-файлы и методы BYOVD с многоэтапными процессами заражения, инициируемыми с помощью поддельных документов, связанных с налогами. Winos 4.0 демонстрирует расширенные возможности уклонения за счет взаимодействия с Нативный API и включает постоянное подключение к своей инфраструктуре управление, обеспечивая постоянный доступ к системам компрометация.
-----
Недавние кампании группы Silver Fox были нацелен на организации на Тайване, используя сложные стратегии кибератак, сосредоточенные на вредоносное ПО Winos 4.0 (ValleyRat). Злоумышленники используют тактику фишинг, замаскированную под законные налоговые уведомления и электронные счета-фактуры, для распространения вредоносных полезных данных. Анализ, проведенный FortiGuard Labs, выявил две заметные кампании, использующие различные векторы атак, включая DLL Sideloading, вредоносные файлы LNK и методы "Принеси свой собственный уязвимый драйвер" (BYOVD).
В первой кампании злоумышленники создали многоэтапный процесс заражения, используя RAR-архив с надписью "taxIs_RX3001.rar " содержащий как документ-приманку, так и вредоносный LNK-файл. После выполнения скрипт создает рабочий каталог и использует системную двоичную Маскировка путем копирования и переименования законных утилит, чтобы скрыть присутствие вредоносное ПО. Этот процесс позволяет злоумышленнику загрузить исполняемый файл, который извлекает встроенную полезную нагрузку, ответственную за развертывание Winos 4.0 и облегчающую последующую загрузку драйвер для уклонения.
Вторая кампания также использует приманки на налоговую тематику, но меняет свою методологию, распространяя поддельные документы Министерства финансов через фишинг-электронные письма. Злоумышленники перенаправляют пользователей с поддельного официального домена на китайский облачный сервис для загрузки архива, содержащего вредоносную DLL-библиотеку. Эта библиотека DLL загружается через легальное приложение с использованием тех же методов, которые использовались в первой кампании, что подчеркивает адаптивность группы и эволюцию в области доставки вредоносное ПО.
Winos 4.0 демонстрирует расширенные возможности закрепление и уклонения. Вредоносное ПО использует драйвер в режиме ядра, wsftprm.sys , и спроектирован таким образом, чтобы обходить стандартный мониторинг путем динамического взаимодействия с Нативный API. Он активно запрашивает значения системного реестра, чтобы корректировать свои операции в зависимости от наличия или влияния мер безопасности. Вредоносное ПО включает в себя жестко запрограммированный список активных процессов, привязанных к различным продуктам безопасности, нацеленный на ряд антивирусных решений, чтобы отключить их для бесперебойной работы.
Примечательным аспектом Winos 4.0 является его инфраструктура управление (C2), идентифицируемая закодированным адресом 47.76.86.151. Вредоносное ПО поддерживает постоянное соединение с этим C2 для загрузки основных модулей, обеспечивая постоянный доступ и контроль над компрометация систем. Отнесение атак к группе Silver Fox подтверждается согласованными схемами регистрации доменов и наблюдаемыми метаданными, которые связывают недавние действия с предыдущими операциями, атрибутирован с этим актор - сложная целенаправленная угроза. Методы этой группы отличаются высоким уровнем изощренности, с акцентом на локализованную тактику, разработанную для использования конкретных региональных процессов и уязвимостей в рамках операционных фреймворк тайваньских организаций.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Silver Fox нацелен на тайваньские организации, используя изощренные фишинг-кампании для развертывания вредоносное ПО Winos 4.0 (ValleyRat). Их методы включают DLL Sideloading, вредоносные LNK-файлы и методы BYOVD с многоэтапными процессами заражения, инициируемыми с помощью поддельных документов, связанных с налогами. Winos 4.0 демонстрирует расширенные возможности уклонения за счет взаимодействия с Нативный API и включает постоянное подключение к своей инфраструктуре управление, обеспечивая постоянный доступ к системам компрометация.
-----
Недавние кампании группы Silver Fox были нацелен на организации на Тайване, используя сложные стратегии кибератак, сосредоточенные на вредоносное ПО Winos 4.0 (ValleyRat). Злоумышленники используют тактику фишинг, замаскированную под законные налоговые уведомления и электронные счета-фактуры, для распространения вредоносных полезных данных. Анализ, проведенный FortiGuard Labs, выявил две заметные кампании, использующие различные векторы атак, включая DLL Sideloading, вредоносные файлы LNK и методы "Принеси свой собственный уязвимый драйвер" (BYOVD).
В первой кампании злоумышленники создали многоэтапный процесс заражения, используя RAR-архив с надписью "taxIs_RX3001.rar " содержащий как документ-приманку, так и вредоносный LNK-файл. После выполнения скрипт создает рабочий каталог и использует системную двоичную Маскировка путем копирования и переименования законных утилит, чтобы скрыть присутствие вредоносное ПО. Этот процесс позволяет злоумышленнику загрузить исполняемый файл, который извлекает встроенную полезную нагрузку, ответственную за развертывание Winos 4.0 и облегчающую последующую загрузку драйвер для уклонения.
Вторая кампания также использует приманки на налоговую тематику, но меняет свою методологию, распространяя поддельные документы Министерства финансов через фишинг-электронные письма. Злоумышленники перенаправляют пользователей с поддельного официального домена на китайский облачный сервис для загрузки архива, содержащего вредоносную DLL-библиотеку. Эта библиотека DLL загружается через легальное приложение с использованием тех же методов, которые использовались в первой кампании, что подчеркивает адаптивность группы и эволюцию в области доставки вредоносное ПО.
Winos 4.0 демонстрирует расширенные возможности закрепление и уклонения. Вредоносное ПО использует драйвер в режиме ядра, wsftprm.sys , и спроектирован таким образом, чтобы обходить стандартный мониторинг путем динамического взаимодействия с Нативный API. Он активно запрашивает значения системного реестра, чтобы корректировать свои операции в зависимости от наличия или влияния мер безопасности. Вредоносное ПО включает в себя жестко запрограммированный список активных процессов, привязанных к различным продуктам безопасности, нацеленный на ряд антивирусных решений, чтобы отключить их для бесперебойной работы.
Примечательным аспектом Winos 4.0 является его инфраструктура управление (C2), идентифицируемая закодированным адресом 47.76.86.151. Вредоносное ПО поддерживает постоянное соединение с этим C2 для загрузки основных модулей, обеспечивая постоянный доступ и контроль над компрометация систем. Отнесение атак к группе Silver Fox подтверждается согласованными схемами регистрации доменов и наблюдаемыми метаданными, которые связывают недавние действия с предыдущими операциями, атрибутирован с этим актор - сложная целенаправленная угроза. Методы этой группы отличаются высоким уровнем изощренности, с акцентом на локализованную тактику, разработанную для использования конкретных региональных процессов и уязвимостей в рамках операционных фреймворк тайваньских организаций.
#ParsedReport #CompletenessLow
20-02-2026
Incident Response at the Edge: Unmasking the Massive Exploitation of Ivanti
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_7_Greg_chen_Sharon_liu_en.pdf
Report completeness: Low
Actors/Campaigns:
Chimera
Slime68
Teleboyi
Threats:
Textdoor
Debttheft
Prawns
Spawnchimera
Spawnmole
Spawnsnail
Spawnsloth
Victims:
Ivanti vpn users, Technology sector, Telecommunications sector, Government sector, Financial services
Industry:
Ics
Geo:
Germany, Sweden, United arab emirates, United kingdom, Austria, Japan, Singapore, Korea, France, China, Pakistan, Poland, Turkey, Malaysia, Taiwan, Canada, Arab emirates, Spain, Australia, Barbados
CVEs:
CVE-2025-0283 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (<9.1, <22.7, 21.9, 21.12, 22.1)
- ivanti neurons_for_zero-trust_access (-, 22.2, 22.3, 22.4, 22.5)
- ivanti policy_secure (<22.7)
CVE-2025-22457 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (<22.7)
- ivanti policy_secure (<22.7)
- ivanti zero_trust_access_gateway (<22.8)
CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (22.7)
- ivanti neurons_for_zero-trust_access (22.7)
- ivanti policy_secure (22.7)
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 43
Email: 1
Soft:
Ivanti, Linux, BusyBox, SELinux, sudo, Ubuntu, Debian, UNIX
Algorithms:
crc-32, gzip, sha256
Functions:
strlcpy
Languages:
c_language, python
20-02-2026
Incident Response at the Edge: Unmasking the Massive Exploitation of Ivanti
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_7_Greg_chen_Sharon_liu_en.pdf
Report completeness: Low
Actors/Campaigns:
Chimera
Slime68
Teleboyi
Threats:
Textdoor
Debttheft
Prawns
Spawnchimera
Spawnmole
Spawnsnail
Spawnsloth
Victims:
Ivanti vpn users, Technology sector, Telecommunications sector, Government sector, Financial services
Industry:
Ics
Geo:
Germany, Sweden, United arab emirates, United kingdom, Austria, Japan, Singapore, Korea, France, China, Pakistan, Poland, Turkey, Malaysia, Taiwan, Canada, Arab emirates, Spain, Australia, Barbados
CVEs:
CVE-2025-0283 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (<9.1, <22.7, 21.9, 21.12, 22.1)
- ivanti neurons_for_zero-trust_access (-, 22.2, 22.3, 22.4, 22.5)
- ivanti policy_secure (<22.7)
CVE-2025-22457 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (<22.7)
- ivanti policy_secure (<22.7)
- ivanti zero_trust_access_gateway (<22.8)
CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (22.7)
- ivanti neurons_for_zero-trust_access (22.7)
- ivanti policy_secure (22.7)
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 43
Email: 1
Soft:
Ivanti, Linux, BusyBox, SELinux, sudo, Ubuntu, Debian, UNIX
Algorithms:
crc-32, gzip, sha256
Functions:
strlcpy
Languages:
c_language, python
CTT Report Hub
#ParsedReport #CompletenessLow 20-02-2026 Incident Response at the Edge: Unmasking the Massive Exploitation of Ivanti https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_7_Greg_chen_Sharon_liu_en.pdf Report completeness: Low Actors/Campaigns: Chimera…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Эксплуатация Ivanti привела к значительным угрозам, особенно в связи с обнаружением сложного бэкдора SSH и критической уязвимости CVE-2025-0282, которая связана с переполнением стека в двоичном коде, обрабатывающем протоколы HTTP и VPN. Злоумышленники использовали Prawns memory injector для развертывания бэкдора TextDoor, связанного с китайскими APT-группировка, позволяющего перехватывать трафик TLS и выполнять команды. Кроме того, вредоносная программа SPAWNCHIMERA расширяет возможности закрепление и перемещение внутри компании, обходя проверки целостности и нейтрализуя механизмы защиты.
-----
Недавнее использование Ivanti привело к возникновению значительных угроз для организаций в 25 регионах мира, при этом сообщения о заметных инцидентах поступают из таких стран, как Швеция, Япония и Соединенные Штаты. Реагирование на инцидент включало удаленную отладку и автономный анализ с помощью расшифровки образа диска, что выявило наличие сложного SSH-Backdoor.
Критическая уязвимость, идентифицированная как CVE-2025-0282, была связана с двоичным файлом, расположенным по адресу /home/bin/web, который отвечает за обработку HTTP-запросов и протоколов VPN. Эта уязвимость, связанная с переполнением стека, была использована с использованием утекшего доказательства концепции (PoC) от PHRACK, первоначально использовавшегося в 2024 году. Наряду с CVE-2025-0282, CVE-2025-0283 также актуален в этом контексте, указывая на текущие эксплуатационные риски.
Технология эксплуатации включала развертывание начальной полезной нагрузки, в которой использовался инжектор памяти, получивший название Prawns, который был специально использован для внедрения бэкдора под названием TextDoor в веб-процесс промышленной системы управления (ICS). TextDoor, который был связан с китайскими APT-группировка, функционирует как пассивный бэкдор, специально разработанный для веб-сервера Ivanti VPN. Примечательно, что он подключается к веб-серверу ICS для перехвата трафика TLS, что позволяет злоумышленник собирать адреса критически важных устройств в различных версиях ICS.
Бэкдор TextDoor отличается своей надежной функциональностью, включая выполнение команд, произвольный доступ к файлам, внедрение в память и возможность выполнять повышение привилегий, активно удаляя следы, такие как дампы ядра и журналы аудита. Кроме того, вредоносное ПО семейства SPAWN было использовано базирующимися в Китае актор APT для закрепление и перемещение внутри компании в сетях компрометация. В частности, SPAWNCHIMERA является частью этого пакета, в котором представлены передовые методы обхода проверок целостности открытых ключей Ivanti.
SPAWNCHIMERA может удалить измененные файлы, чтобы нейтрализовать стандартные механизмы защиты, и может отключить сканер проверки целостности в образе coreboot, что еще больше усугубляет риски для безопасности. Кроме того, исправление для связанной уязвимости, CVE-2025-22457, включает в себя подключение функции strlcpy() для предотвращения использования с помощью волшебных переполненных строк, что предполагает нацелен на устранение этих конкретных векторов атак для усиления защиты от текущих угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Эксплуатация Ivanti привела к значительным угрозам, особенно в связи с обнаружением сложного бэкдора SSH и критической уязвимости CVE-2025-0282, которая связана с переполнением стека в двоичном коде, обрабатывающем протоколы HTTP и VPN. Злоумышленники использовали Prawns memory injector для развертывания бэкдора TextDoor, связанного с китайскими APT-группировка, позволяющего перехватывать трафик TLS и выполнять команды. Кроме того, вредоносная программа SPAWNCHIMERA расширяет возможности закрепление и перемещение внутри компании, обходя проверки целостности и нейтрализуя механизмы защиты.
-----
Недавнее использование Ivanti привело к возникновению значительных угроз для организаций в 25 регионах мира, при этом сообщения о заметных инцидентах поступают из таких стран, как Швеция, Япония и Соединенные Штаты. Реагирование на инцидент включало удаленную отладку и автономный анализ с помощью расшифровки образа диска, что выявило наличие сложного SSH-Backdoor.
Критическая уязвимость, идентифицированная как CVE-2025-0282, была связана с двоичным файлом, расположенным по адресу /home/bin/web, который отвечает за обработку HTTP-запросов и протоколов VPN. Эта уязвимость, связанная с переполнением стека, была использована с использованием утекшего доказательства концепции (PoC) от PHRACK, первоначально использовавшегося в 2024 году. Наряду с CVE-2025-0282, CVE-2025-0283 также актуален в этом контексте, указывая на текущие эксплуатационные риски.
Технология эксплуатации включала развертывание начальной полезной нагрузки, в которой использовался инжектор памяти, получивший название Prawns, который был специально использован для внедрения бэкдора под названием TextDoor в веб-процесс промышленной системы управления (ICS). TextDoor, который был связан с китайскими APT-группировка, функционирует как пассивный бэкдор, специально разработанный для веб-сервера Ivanti VPN. Примечательно, что он подключается к веб-серверу ICS для перехвата трафика TLS, что позволяет злоумышленник собирать адреса критически важных устройств в различных версиях ICS.
Бэкдор TextDoor отличается своей надежной функциональностью, включая выполнение команд, произвольный доступ к файлам, внедрение в память и возможность выполнять повышение привилегий, активно удаляя следы, такие как дампы ядра и журналы аудита. Кроме того, вредоносное ПО семейства SPAWN было использовано базирующимися в Китае актор APT для закрепление и перемещение внутри компании в сетях компрометация. В частности, SPAWNCHIMERA является частью этого пакета, в котором представлены передовые методы обхода проверок целостности открытых ключей Ivanti.
SPAWNCHIMERA может удалить измененные файлы, чтобы нейтрализовать стандартные механизмы защиты, и может отключить сканер проверки целостности в образе coreboot, что еще больше усугубляет риски для безопасности. Кроме того, исправление для связанной уязвимости, CVE-2025-22457, включает в себя подключение функции strlcpy() для предотвращения использования с помощью волшебных переполненных строк, что предполагает нацелен на устранение этих конкретных векторов атак для усиления защиты от текущих угроз.
#ParsedReport #CompletenessHigh
20-02-2026
Continuous Evolution of Tianwu's Pangolin8RAT and Custom Cobalt Strike Beacon
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_6_naoki_takayama_en.pdf
Report completeness: High
Actors/Campaigns:
Dragon_castling
Threats:
Cobalt_strike_tool
Pangolin8rat
Corex_loader
Ketugya
Plugx_rat
Shadowpad
Sleepmask
Vmprotect_tool
Victims:
Online gaming, Gambling, Transportation, Telecommunications, Government, Apac region
Industry:
Transport, Telco, Entertainment
Geo:
Tokyo, Chinese, Berlin, Japan, Singapore, Apac, China
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1027.009, T1036, T1041, T1055, T1070.004, T1071.001, T1105, T1112, T1134, have more...
IOCs:
File: 18
Domain: 6
Path: 3
Hash: 7
IP: 3
Soft:
Nginx, Linux, Flash Player
Algorithms:
aes, base64, crc-32, xor, lznt1, sha256, exhibit
Win API:
WNetAddConnection3W, RevertToSelf
Win Services:
avastsvc
Platforms:
x64
YARA: Found
SIGMA: Found
Links:
20-02-2026
Continuous Evolution of Tianwu's Pangolin8RAT and Custom Cobalt Strike Beacon
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_6_naoki_takayama_en.pdf
Report completeness: High
Actors/Campaigns:
Dragon_castling
Threats:
Cobalt_strike_tool
Pangolin8rat
Corex_loader
Ketugya
Plugx_rat
Shadowpad
Sleepmask
Vmprotect_tool
Victims:
Online gaming, Gambling, Transportation, Telecommunications, Government, Apac region
Industry:
Transport, Telco, Entertainment
Geo:
Tokyo, Chinese, Berlin, Japan, Singapore, Apac, China
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1027.009, T1036, T1041, T1055, T1070.004, T1071.001, T1105, T1112, T1134, have more...
IOCs:
File: 18
Domain: 6
Path: 3
Hash: 7
IP: 3
Soft:
Nginx, Linux, Flash Player
Algorithms:
aes, base64, crc-32, xor, lznt1, sha256, exhibit
Win API:
WNetAddConnection3W, RevertToSelf
Win Services:
avastsvc
Platforms:
x64
YARA: Found
SIGMA: Found
Links:
https://github.com/mopisec/jsac2026-continuous-evolution-of-tianwu/blob/main/detection/Tianwu.yara
CTT Report Hub
#ParsedReport #CompletenessHigh 20-02-2026 Continuous Evolution of Tianwu's Pangolin8RAT and Custom Cobalt Strike Beacon https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_6_naoki_takayama_en.pdf Report completeness: High Actors/Campaigns: Dragon_castling…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-группировка Tianwu, также известная как операция Dragon Castling, нацелена на такие секторы, как онлайн-игры и государственные структуры в Азиатско-Тихоокеанском регионе, используя передовые технологии. Было замечено, что они используют вредоносное ПО, такое как Pangolin8RAT и пользовательский Cobalt Strike Beacon, используя такие методы, как двоичная обфускация и стратегии уклонения от обнаружения. Их архитектура вредоносное ПО является сложной, с усовершенствованными протоколами связи и опорой на старую инфраструктуру в сочетании с новыми элементами, что указывает на продолжающуюся эволюцию их киберопераций.
-----
APT-группировка Tianwu, также известная как операция Dragon Castling, продолжает представлять значительную киберугроза, особенно в таких секторах, как онлайн-игры, азартные игры на деньги, транспорт, телекоммуникации и государственные учреждения по всему Азиатско-Тихоокеанскому региону. В сентябре 2025 года Вредоносный файл, связанный с Tianwu, в частности Pangolin8RAT и пользовательский Cobalt Strike Beacon, были обнаружены на VirusTotal, что указывает на продолжающуюся вредоносную активность и эволюцию методов их работы.
Недавний анализ показал, что Tianwu расширила свои возможности вредоносное ПО с помощью передовых методов, включая двоичную обфускацию, подавление информации о типах во время выполнения C++ (RTTI) и улучшенные стратегии уклонения от обнаружения. Вредоносное ПО использует сложные средства для управления своими конфигурационными данными, считывая и сохраняя их в специально названные файлы, которые скрывают его активность. Например, он проверяет наличие 'IntelCPHS.войдите в его рабочий каталог, чтобы определить, как настроить его связь с серверами командования и контроля (C2), что затрудняет решениям безопасности обнаружение типичных шаблонов трафика, связанных с вредоносное ПО.
Функционально Pangolin8RAT работает как модульная Троянская программа удаленного доступа (RAT), которую можно настроить с помощью плагинов. Он подключается к определенному файлообменному сервису во время своей инициализации, демонстрируя широту своих функциональных возможностей. Архитектура вредоносное ПО и структура команд также были усовершенствованы; идентификаторы команд, передаваемые между вредоносное ПО и сервером C2, были изменены, что предполагает обновление их операционной фреймворк.
Были разработаны механизмы обнаружения Pangolin8RAT и его компонентов, включая правила Sigma и YARA для идентификации ключевых артефактов файловой системы и поведения, связанного с RAT. Примечательно, что вредоносное ПО демонстрирует схемы вызова Cobalt Strike Beacon, адаптированные для обхода общепринятых протоколов безопасности. Наблюдаемые файлы и поведение демонстрируют серию упреждающих адаптаций, включая использование кодировки XOR для конфигурационных данных, что увеличивает сложность обратного проектирования.
Кроме того, данные указывают на то, что Tianwu полагается на устаревшую инфраструктуру полезной нагрузки вредоносное ПО, но включает в себя новые элементы. Есть признаки того, что они, возможно, использовали пиратскую версию фреймворка Cobalt Strike, о чем свидетельствует наличие тестовой строки EICAR в некоторых полезных загрузках. Вредоносное ПО обладает сложной архитектурой, а усовершенствованные методы упаковки и запутывания данных усложняют аналитикам безопасности распознавание функциональности без специальных усилий.
Эти события подчеркивают, что Tianwu остается активной и эволюционирующей угрозой в киберпространстве, требующей бдительности и передовых стратегий защиты, чтобы помешать их операциям. Полученные данные подчеркивают постоянное внимание к поддержанию обновленных возможностей обнаружения и мониторингу новых тактических приемов, применяемых этой APT-группировка.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-группировка Tianwu, также известная как операция Dragon Castling, нацелена на такие секторы, как онлайн-игры и государственные структуры в Азиатско-Тихоокеанском регионе, используя передовые технологии. Было замечено, что они используют вредоносное ПО, такое как Pangolin8RAT и пользовательский Cobalt Strike Beacon, используя такие методы, как двоичная обфускация и стратегии уклонения от обнаружения. Их архитектура вредоносное ПО является сложной, с усовершенствованными протоколами связи и опорой на старую инфраструктуру в сочетании с новыми элементами, что указывает на продолжающуюся эволюцию их киберопераций.
-----
APT-группировка Tianwu, также известная как операция Dragon Castling, продолжает представлять значительную киберугроза, особенно в таких секторах, как онлайн-игры, азартные игры на деньги, транспорт, телекоммуникации и государственные учреждения по всему Азиатско-Тихоокеанскому региону. В сентябре 2025 года Вредоносный файл, связанный с Tianwu, в частности Pangolin8RAT и пользовательский Cobalt Strike Beacon, были обнаружены на VirusTotal, что указывает на продолжающуюся вредоносную активность и эволюцию методов их работы.
Недавний анализ показал, что Tianwu расширила свои возможности вредоносное ПО с помощью передовых методов, включая двоичную обфускацию, подавление информации о типах во время выполнения C++ (RTTI) и улучшенные стратегии уклонения от обнаружения. Вредоносное ПО использует сложные средства для управления своими конфигурационными данными, считывая и сохраняя их в специально названные файлы, которые скрывают его активность. Например, он проверяет наличие 'IntelCPHS.войдите в его рабочий каталог, чтобы определить, как настроить его связь с серверами командования и контроля (C2), что затрудняет решениям безопасности обнаружение типичных шаблонов трафика, связанных с вредоносное ПО.
Функционально Pangolin8RAT работает как модульная Троянская программа удаленного доступа (RAT), которую можно настроить с помощью плагинов. Он подключается к определенному файлообменному сервису во время своей инициализации, демонстрируя широту своих функциональных возможностей. Архитектура вредоносное ПО и структура команд также были усовершенствованы; идентификаторы команд, передаваемые между вредоносное ПО и сервером C2, были изменены, что предполагает обновление их операционной фреймворк.
Были разработаны механизмы обнаружения Pangolin8RAT и его компонентов, включая правила Sigma и YARA для идентификации ключевых артефактов файловой системы и поведения, связанного с RAT. Примечательно, что вредоносное ПО демонстрирует схемы вызова Cobalt Strike Beacon, адаптированные для обхода общепринятых протоколов безопасности. Наблюдаемые файлы и поведение демонстрируют серию упреждающих адаптаций, включая использование кодировки XOR для конфигурационных данных, что увеличивает сложность обратного проектирования.
Кроме того, данные указывают на то, что Tianwu полагается на устаревшую инфраструктуру полезной нагрузки вредоносное ПО, но включает в себя новые элементы. Есть признаки того, что они, возможно, использовали пиратскую версию фреймворка Cobalt Strike, о чем свидетельствует наличие тестовой строки EICAR в некоторых полезных загрузках. Вредоносное ПО обладает сложной архитектурой, а усовершенствованные методы упаковки и запутывания данных усложняют аналитикам безопасности распознавание функциональности без специальных усилий.
Эти события подчеркивают, что Tianwu остается активной и эволюционирующей угрозой в киберпространстве, требующей бдительности и передовых стратегий защиты, чтобы помешать их операциям. Полученные данные подчеркивают постоянное внимание к поддержанию обновленных возможностей обнаружения и мониторингу новых тактических приемов, применяемых этой APT-группировка.
#ParsedReport #CompletenessHigh
20-02-2026
Attribution in Action
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_4_hiroaki_hara-doel_santos_en.pdf
Report completeness: High
Actors/Campaigns:
Stinky_libra
Cl-sta-1048 (motivation: cyber_espionage)
Ghostemperor
Stac1305
Crimson_palace
Cl-sta-1049 (motivation: cyber_espionage)
Unfading_sea_haze
Stac1870
Red_delta (motivation: cyber_espionage)
Threats:
Crimson_rat
Eggstreme_agent
Eggstreme_fuel
Masol
Fluffygh0st
Pubload
Hiupan
Coolclient
Eggstreme_loader
Poshrat
Trackbak
Darkloadlibrary_tool
Timestomp_technique
Ccoredoor
Etherealgh0st
Dll_sideloading_technique
Gh0st_rat
Hypnosis_loader
Insidiousgh0st
Mistcloak
Claimloader
Bookworm
Victims:
Government, Military, Organizations in southeast asia
Industry:
Government, Military
Geo:
China, Asia, Philippine, Malaysia, Singapore, Chinese, Taiwan, Philippines, Myanmar, Mongolia
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1016, T1021.002, T1027, T1033, T1046, T1047, T1053.005, T1055, T1056.001, have more...
IOCs:
File: 20
Command: 1
Path: 5
IP: 16
Domain: 8
Hash: 26
Soft:
Chrome, Windows service, winlogon, Dropbox, splwow64, Linux, OpenSSL
Algorithms:
rc4, sha256, lznt1, gzip
Functions:
1800013E0, deobfuscate, Micro
Win API:
CreateFileA, GetModuleFileNameA, GetFileSize, VirtualAlloc, ReadFile
Win Services:
MsMpEng, NTLMSSP
Platforms:
intel
Links:
20-02-2026
Attribution in Action
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_4_hiroaki_hara-doel_santos_en.pdf
Report completeness: High
Actors/Campaigns:
Stinky_libra
Cl-sta-1048 (motivation: cyber_espionage)
Ghostemperor
Stac1305
Crimson_palace
Cl-sta-1049 (motivation: cyber_espionage)
Unfading_sea_haze
Stac1870
Red_delta (motivation: cyber_espionage)
Threats:
Crimson_rat
Eggstreme_agent
Eggstreme_fuel
Masol
Fluffygh0st
Pubload
Hiupan
Coolclient
Eggstreme_loader
Poshrat
Trackbak
Darkloadlibrary_tool
Timestomp_technique
Ccoredoor
Etherealgh0st
Dll_sideloading_technique
Gh0st_rat
Hypnosis_loader
Insidiousgh0st
Mistcloak
Claimloader
Bookworm
Victims:
Government, Military, Organizations in southeast asia
Industry:
Government, Military
Geo:
China, Asia, Philippine, Malaysia, Singapore, Chinese, Taiwan, Philippines, Myanmar, Mongolia
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1016, T1021.002, T1027, T1033, T1046, T1047, T1053.005, T1055, T1056.001, have more...
IOCs:
File: 20
Command: 1
Path: 5
IP: 16
Domain: 8
Hash: 26
Soft:
Chrome, Windows service, winlogon, Dropbox, splwow64, Linux, OpenSSL
Algorithms:
rc4, sha256, lznt1, gzip
Functions:
1800013E0, deobfuscate, Micro
Win API:
CreateFileA, GetModuleFileNameA, GetFileSize, VirtualAlloc, ReadFile
Win Services:
MsMpEng, NTLMSSP
Platforms:
intel
Links:
https://github.com/Idcsaa/HP-Socket
CTT Report Hub
#ParsedReport #CompletenessHigh 20-02-2026 Attribution in Action https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_4_hiroaki_hara-doel_santos_en.pdf Report completeness: High Actors/Campaigns: Stinky_libra Cl-sta-1048 (motivation: cyber_espionage)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В докладе основное внимание уделяется шпионской деятельности двух групп, CL-STA-1048 и CL-STA-1049, предположительно связанных с группой угроз Earth Estries и другими, нацеленных на Филиппины, Тайвань и Малайзию с 2018 года. CL-STA-1048 использует различное сложное вредоносное ПО, включая Gorem RAT, которое обладает расширенными возможностями бэкдора, DLL sideloading и функциями разведки для сбора обширной информации. CL-STA-1049 демонстрирует сходство инструментов и тактические инновации, такие как использование Hypnosis Loader, подчеркивая необходимость усовершенствованных методов атрибуции в ответ на эти постоянные угрозы.
-----
В отчете подробно описывается текущая шпионская деятельность, связанная с различными хакерская группировка, сосредоточенная главным образом на двух кластерах: CL-STA-1048 и CL-STA-1049, с подозрениями в связях с группой угроз Earth Estries и другими, такими как Unfading Sea Haze и Stately Taurus - величественный телец. С 2018 года эти кластеры в основном нацелен на регионы на Филиппинах, Тайване и Малайзии, и сохраняется высокая вероятность того, что они мотивированы шпионскими интересами.
Набор инструментов, наблюдаемый в кластере CL-STA-1048, включает в себя известные вредоносное ПО, такие как RawCookie (также известный как EggStreme Fuel), EggStreme Loader, Gorem RAT (который служит продвинутым бэкдором), PoshRAT и Masol RAT. RawCookie, по-видимому, предназначен для начальных операций с бэкдором, в то время как Gorem RAT работает как основной и более сложный бэкдор, используя gRPC и протокольные буферы для связи. Вредоносное ПО демонстрирует комплексную цепочку заражения, используя DLL Sideloading, выполнение PowerShell для уклонения от обнаружения и сложные возможности управление (C2), включая возможность обновлять конфигурации сервера и запускать обратные оболочки.
Функциональные возможности этих инструментов для разведка позволяют злоумышленник собирать обширную информацию о среде, в которую они проникают, такую как время безотказной работы системы, перечень служб и сетевые ресурсы, что еще больше расширяет их возможности по переключению между системами компрометация. Примечательно, что Gorem RAT также включает в себя модуль кейлоггера, который отслеживает события входа в систему, что еще раз демонстрирует его эффективность в шпионских операциях.
Анализ инфраструктуры показывает, что многие IP-адреса, связанные с этим кластером, происходят из Филиппин и Малайзии, что соответствует регионам, на которые нацелен этот кластер. Схемы использования вредоносное ПО предполагают необходимость частой смены доменов и IP-адресов, чтобы избежать обнаружения, что усложняет усилия по установлению авторства. В частности, сообщалось о Masol RAT, связанной с несколькими китайскими APT-группировка, что указывает на то, что ее присутствие может не ограничиваться одним актор.
Кластер CL-STA-1049 демонстрирует сходство в инструментах с предыдущей группой и атрибутирован с Unfading Sea Haze, напрямую связывая свои операции с предыдущими инцидентами, о которых сообщал Bitdefender. Использование Hypnosis Loader, который использует DLL Sideloading, дополнительно иллюстрирует инновационные методы, которые эти актор применяют для эффективной компрометация систем.
Подводя итог, можно сказать, что развивающиеся возможности и методологии этих злоумышленник подчеркивают появляющуюся тенденцию, при которой несколько кластеров могут независимо нацеливаться на конкретные организации, используя различные инструменты, но руководствуясь схожими мотивами. Это явление отражает индивидуальный подход к кампаниям по шпионажу, требующий повышенного внимания к методологиям атрибуции и необходимости для организаций пересмотреть свои фреймворк безопасности для защиты от этих сложное и целенаправленное использование угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В докладе основное внимание уделяется шпионской деятельности двух групп, CL-STA-1048 и CL-STA-1049, предположительно связанных с группой угроз Earth Estries и другими, нацеленных на Филиппины, Тайвань и Малайзию с 2018 года. CL-STA-1048 использует различное сложное вредоносное ПО, включая Gorem RAT, которое обладает расширенными возможностями бэкдора, DLL sideloading и функциями разведки для сбора обширной информации. CL-STA-1049 демонстрирует сходство инструментов и тактические инновации, такие как использование Hypnosis Loader, подчеркивая необходимость усовершенствованных методов атрибуции в ответ на эти постоянные угрозы.
-----
В отчете подробно описывается текущая шпионская деятельность, связанная с различными хакерская группировка, сосредоточенная главным образом на двух кластерах: CL-STA-1048 и CL-STA-1049, с подозрениями в связях с группой угроз Earth Estries и другими, такими как Unfading Sea Haze и Stately Taurus - величественный телец. С 2018 года эти кластеры в основном нацелен на регионы на Филиппинах, Тайване и Малайзии, и сохраняется высокая вероятность того, что они мотивированы шпионскими интересами.
Набор инструментов, наблюдаемый в кластере CL-STA-1048, включает в себя известные вредоносное ПО, такие как RawCookie (также известный как EggStreme Fuel), EggStreme Loader, Gorem RAT (который служит продвинутым бэкдором), PoshRAT и Masol RAT. RawCookie, по-видимому, предназначен для начальных операций с бэкдором, в то время как Gorem RAT работает как основной и более сложный бэкдор, используя gRPC и протокольные буферы для связи. Вредоносное ПО демонстрирует комплексную цепочку заражения, используя DLL Sideloading, выполнение PowerShell для уклонения от обнаружения и сложные возможности управление (C2), включая возможность обновлять конфигурации сервера и запускать обратные оболочки.
Функциональные возможности этих инструментов для разведка позволяют злоумышленник собирать обширную информацию о среде, в которую они проникают, такую как время безотказной работы системы, перечень служб и сетевые ресурсы, что еще больше расширяет их возможности по переключению между системами компрометация. Примечательно, что Gorem RAT также включает в себя модуль кейлоггера, который отслеживает события входа в систему, что еще раз демонстрирует его эффективность в шпионских операциях.
Анализ инфраструктуры показывает, что многие IP-адреса, связанные с этим кластером, происходят из Филиппин и Малайзии, что соответствует регионам, на которые нацелен этот кластер. Схемы использования вредоносное ПО предполагают необходимость частой смены доменов и IP-адресов, чтобы избежать обнаружения, что усложняет усилия по установлению авторства. В частности, сообщалось о Masol RAT, связанной с несколькими китайскими APT-группировка, что указывает на то, что ее присутствие может не ограничиваться одним актор.
Кластер CL-STA-1049 демонстрирует сходство в инструментах с предыдущей группой и атрибутирован с Unfading Sea Haze, напрямую связывая свои операции с предыдущими инцидентами, о которых сообщал Bitdefender. Использование Hypnosis Loader, который использует DLL Sideloading, дополнительно иллюстрирует инновационные методы, которые эти актор применяют для эффективной компрометация систем.
Подводя итог, можно сказать, что развивающиеся возможности и методологии этих злоумышленник подчеркивают появляющуюся тенденцию, при которой несколько кластеров могут независимо нацеливаться на конкретные организации, используя различные инструменты, но руководствуясь схожими мотивами. Это явление отражает индивидуальный подход к кампаниям по шпионажу, требующий повышенного внимания к методологиям атрибуции и необходимости для организаций пересмотреть свои фреймворк безопасности для защиты от этих сложное и целенаправленное использование угроз.
#ParsedReport #CompletenessHigh
20-02-2026
Konni's New Arsenal: Unmasking GSRAT in North Korea-linked APT Operation
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_9_takuma_matsumoto-yoshihiro_ishikawa_en.pdf
Report completeness: High
Actors/Campaigns:
Konni (motivation: cyber_espionage)
Evilplane
Moneyholic
Kimsuky
Clouddragon
Kimdragon
Threats:
Gsrat
Spear-phishing_technique
Konni_rat
Babyface
Fxfdoor
Amadey
Quasar_rat
Xrat_rat
Lilith_rat
Remcos_rat
Rftrat
Linkon
Curkon
Appleseed
Babyshark
Gold_dragon
Rokrat
Chinotto
Navrat_rat
M2rat
Alphaseed
Randomquery
Pubnubrat_rat
Flowerpower
Endclientrat
Endrat
Victims:
Financial sector, Political organizations, Cryptocurrency sector, Individuals interested in north korea, Government agencies, Private companies
Industry:
Government
Geo:
North korea, Usa, Russian federation, Japan, Japanese, Korean, Indonesia, Russian, Russia, Korea, North korean
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 36
Command: 2
Path: 21
IP: 11
Hash: 11
Domain: 2
Soft:
curl, WordPress, KakaoTalk, Android, Windows Defender Application Control, AutoHotkey
Crypto:
bitcoin
Algorithms:
zip, sha256, xor, prng
Functions:
Directly, ISMULTIPLE, rand
Win API:
DeleteFile, decompress:decompress
Languages:
java, autoit, php, powershell, python
Platforms:
x64
YARA: Found
SIGMA: Found
20-02-2026
Konni's New Arsenal: Unmasking GSRAT in North Korea-linked APT Operation
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_9_takuma_matsumoto-yoshihiro_ishikawa_en.pdf
Report completeness: High
Actors/Campaigns:
Konni (motivation: cyber_espionage)
Evilplane
Moneyholic
Kimsuky
Clouddragon
Kimdragon
Threats:
Gsrat
Spear-phishing_technique
Konni_rat
Babyface
Fxfdoor
Amadey
Quasar_rat
Xrat_rat
Lilith_rat
Remcos_rat
Rftrat
Linkon
Curkon
Appleseed
Babyshark
Gold_dragon
Rokrat
Chinotto
Navrat_rat
M2rat
Alphaseed
Randomquery
Pubnubrat_rat
Flowerpower
Endclientrat
Endrat
Victims:
Financial sector, Political organizations, Cryptocurrency sector, Individuals interested in north korea, Government agencies, Private companies
Industry:
Government
Geo:
North korea, Usa, Russian federation, Japan, Japanese, Korean, Indonesia, Russian, Russia, Korea, North korean
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 36
Command: 2
Path: 21
IP: 11
Hash: 11
Domain: 2
Soft:
curl, WordPress, KakaoTalk, Android, Windows Defender Application Control, AutoHotkey
Crypto:
bitcoin
Algorithms:
zip, sha256, xor, prng
Functions:
Directly, ISMULTIPLE, rand
Win API:
DeleteFile, decompress:decompress
Languages:
java, autoit, php, powershell, python
Platforms:
x64
YARA: Found
SIGMA: Found