#ParsedReport #CompletenessHigh
20-02-2026
Attribution in Action
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_4_hiroaki_hara-doel_santos_en.pdf
Report completeness: High
Actors/Campaigns:
Stinky_libra
Cl-sta-1048 (motivation: cyber_espionage)
Ghostemperor
Stac1305
Crimson_palace
Cl-sta-1049 (motivation: cyber_espionage)
Unfading_sea_haze
Stac1870
Red_delta (motivation: cyber_espionage)
Threats:
Crimson_rat
Eggstreme_agent
Eggstreme_fuel
Masol
Fluffygh0st
Pubload
Hiupan
Coolclient
Eggstreme_loader
Poshrat
Trackbak
Darkloadlibrary_tool
Timestomp_technique
Ccoredoor
Etherealgh0st
Dll_sideloading_technique
Gh0st_rat
Hypnosis_loader
Insidiousgh0st
Mistcloak
Claimloader
Bookworm
Victims:
Government, Military, Organizations in southeast asia
Industry:
Government, Military
Geo:
China, Asia, Philippine, Malaysia, Singapore, Chinese, Taiwan, Philippines, Myanmar, Mongolia
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1016, T1021.002, T1027, T1033, T1046, T1047, T1053.005, T1055, T1056.001, have more...
IOCs:
File: 20
Command: 1
Path: 5
IP: 16
Domain: 8
Hash: 26
Soft:
Chrome, Windows service, winlogon, Dropbox, splwow64, Linux, OpenSSL
Algorithms:
rc4, sha256, lznt1, gzip
Functions:
1800013E0, deobfuscate, Micro
Win API:
CreateFileA, GetModuleFileNameA, GetFileSize, VirtualAlloc, ReadFile
Win Services:
MsMpEng, NTLMSSP
Platforms:
intel
Links:
20-02-2026
Attribution in Action
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_4_hiroaki_hara-doel_santos_en.pdf
Report completeness: High
Actors/Campaigns:
Stinky_libra
Cl-sta-1048 (motivation: cyber_espionage)
Ghostemperor
Stac1305
Crimson_palace
Cl-sta-1049 (motivation: cyber_espionage)
Unfading_sea_haze
Stac1870
Red_delta (motivation: cyber_espionage)
Threats:
Crimson_rat
Eggstreme_agent
Eggstreme_fuel
Masol
Fluffygh0st
Pubload
Hiupan
Coolclient
Eggstreme_loader
Poshrat
Trackbak
Darkloadlibrary_tool
Timestomp_technique
Ccoredoor
Etherealgh0st
Dll_sideloading_technique
Gh0st_rat
Hypnosis_loader
Insidiousgh0st
Mistcloak
Claimloader
Bookworm
Victims:
Government, Military, Organizations in southeast asia
Industry:
Government, Military
Geo:
China, Asia, Philippine, Malaysia, Singapore, Chinese, Taiwan, Philippines, Myanmar, Mongolia
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1016, T1021.002, T1027, T1033, T1046, T1047, T1053.005, T1055, T1056.001, have more...
IOCs:
File: 20
Command: 1
Path: 5
IP: 16
Domain: 8
Hash: 26
Soft:
Chrome, Windows service, winlogon, Dropbox, splwow64, Linux, OpenSSL
Algorithms:
rc4, sha256, lznt1, gzip
Functions:
1800013E0, deobfuscate, Micro
Win API:
CreateFileA, GetModuleFileNameA, GetFileSize, VirtualAlloc, ReadFile
Win Services:
MsMpEng, NTLMSSP
Platforms:
intel
Links:
https://github.com/Idcsaa/HP-Socket
CTT Report Hub
#ParsedReport #CompletenessHigh 20-02-2026 Attribution in Action https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_4_hiroaki_hara-doel_santos_en.pdf Report completeness: High Actors/Campaigns: Stinky_libra Cl-sta-1048 (motivation: cyber_espionage)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В докладе основное внимание уделяется шпионской деятельности двух групп, CL-STA-1048 и CL-STA-1049, предположительно связанных с группой угроз Earth Estries и другими, нацеленных на Филиппины, Тайвань и Малайзию с 2018 года. CL-STA-1048 использует различное сложное вредоносное ПО, включая Gorem RAT, которое обладает расширенными возможностями бэкдора, DLL sideloading и функциями разведки для сбора обширной информации. CL-STA-1049 демонстрирует сходство инструментов и тактические инновации, такие как использование Hypnosis Loader, подчеркивая необходимость усовершенствованных методов атрибуции в ответ на эти постоянные угрозы.
-----
В отчете подробно описывается текущая шпионская деятельность, связанная с различными хакерская группировка, сосредоточенная главным образом на двух кластерах: CL-STA-1048 и CL-STA-1049, с подозрениями в связях с группой угроз Earth Estries и другими, такими как Unfading Sea Haze и Stately Taurus - величественный телец. С 2018 года эти кластеры в основном нацелен на регионы на Филиппинах, Тайване и Малайзии, и сохраняется высокая вероятность того, что они мотивированы шпионскими интересами.
Набор инструментов, наблюдаемый в кластере CL-STA-1048, включает в себя известные вредоносное ПО, такие как RawCookie (также известный как EggStreme Fuel), EggStreme Loader, Gorem RAT (который служит продвинутым бэкдором), PoshRAT и Masol RAT. RawCookie, по-видимому, предназначен для начальных операций с бэкдором, в то время как Gorem RAT работает как основной и более сложный бэкдор, используя gRPC и протокольные буферы для связи. Вредоносное ПО демонстрирует комплексную цепочку заражения, используя DLL Sideloading, выполнение PowerShell для уклонения от обнаружения и сложные возможности управление (C2), включая возможность обновлять конфигурации сервера и запускать обратные оболочки.
Функциональные возможности этих инструментов для разведка позволяют злоумышленник собирать обширную информацию о среде, в которую они проникают, такую как время безотказной работы системы, перечень служб и сетевые ресурсы, что еще больше расширяет их возможности по переключению между системами компрометация. Примечательно, что Gorem RAT также включает в себя модуль кейлоггера, который отслеживает события входа в систему, что еще раз демонстрирует его эффективность в шпионских операциях.
Анализ инфраструктуры показывает, что многие IP-адреса, связанные с этим кластером, происходят из Филиппин и Малайзии, что соответствует регионам, на которые нацелен этот кластер. Схемы использования вредоносное ПО предполагают необходимость частой смены доменов и IP-адресов, чтобы избежать обнаружения, что усложняет усилия по установлению авторства. В частности, сообщалось о Masol RAT, связанной с несколькими китайскими APT-группировка, что указывает на то, что ее присутствие может не ограничиваться одним актор.
Кластер CL-STA-1049 демонстрирует сходство в инструментах с предыдущей группой и атрибутирован с Unfading Sea Haze, напрямую связывая свои операции с предыдущими инцидентами, о которых сообщал Bitdefender. Использование Hypnosis Loader, который использует DLL Sideloading, дополнительно иллюстрирует инновационные методы, которые эти актор применяют для эффективной компрометация систем.
Подводя итог, можно сказать, что развивающиеся возможности и методологии этих злоумышленник подчеркивают появляющуюся тенденцию, при которой несколько кластеров могут независимо нацеливаться на конкретные организации, используя различные инструменты, но руководствуясь схожими мотивами. Это явление отражает индивидуальный подход к кампаниям по шпионажу, требующий повышенного внимания к методологиям атрибуции и необходимости для организаций пересмотреть свои фреймворк безопасности для защиты от этих сложное и целенаправленное использование угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В докладе основное внимание уделяется шпионской деятельности двух групп, CL-STA-1048 и CL-STA-1049, предположительно связанных с группой угроз Earth Estries и другими, нацеленных на Филиппины, Тайвань и Малайзию с 2018 года. CL-STA-1048 использует различное сложное вредоносное ПО, включая Gorem RAT, которое обладает расширенными возможностями бэкдора, DLL sideloading и функциями разведки для сбора обширной информации. CL-STA-1049 демонстрирует сходство инструментов и тактические инновации, такие как использование Hypnosis Loader, подчеркивая необходимость усовершенствованных методов атрибуции в ответ на эти постоянные угрозы.
-----
В отчете подробно описывается текущая шпионская деятельность, связанная с различными хакерская группировка, сосредоточенная главным образом на двух кластерах: CL-STA-1048 и CL-STA-1049, с подозрениями в связях с группой угроз Earth Estries и другими, такими как Unfading Sea Haze и Stately Taurus - величественный телец. С 2018 года эти кластеры в основном нацелен на регионы на Филиппинах, Тайване и Малайзии, и сохраняется высокая вероятность того, что они мотивированы шпионскими интересами.
Набор инструментов, наблюдаемый в кластере CL-STA-1048, включает в себя известные вредоносное ПО, такие как RawCookie (также известный как EggStreme Fuel), EggStreme Loader, Gorem RAT (который служит продвинутым бэкдором), PoshRAT и Masol RAT. RawCookie, по-видимому, предназначен для начальных операций с бэкдором, в то время как Gorem RAT работает как основной и более сложный бэкдор, используя gRPC и протокольные буферы для связи. Вредоносное ПО демонстрирует комплексную цепочку заражения, используя DLL Sideloading, выполнение PowerShell для уклонения от обнаружения и сложные возможности управление (C2), включая возможность обновлять конфигурации сервера и запускать обратные оболочки.
Функциональные возможности этих инструментов для разведка позволяют злоумышленник собирать обширную информацию о среде, в которую они проникают, такую как время безотказной работы системы, перечень служб и сетевые ресурсы, что еще больше расширяет их возможности по переключению между системами компрометация. Примечательно, что Gorem RAT также включает в себя модуль кейлоггера, который отслеживает события входа в систему, что еще раз демонстрирует его эффективность в шпионских операциях.
Анализ инфраструктуры показывает, что многие IP-адреса, связанные с этим кластером, происходят из Филиппин и Малайзии, что соответствует регионам, на которые нацелен этот кластер. Схемы использования вредоносное ПО предполагают необходимость частой смены доменов и IP-адресов, чтобы избежать обнаружения, что усложняет усилия по установлению авторства. В частности, сообщалось о Masol RAT, связанной с несколькими китайскими APT-группировка, что указывает на то, что ее присутствие может не ограничиваться одним актор.
Кластер CL-STA-1049 демонстрирует сходство в инструментах с предыдущей группой и атрибутирован с Unfading Sea Haze, напрямую связывая свои операции с предыдущими инцидентами, о которых сообщал Bitdefender. Использование Hypnosis Loader, который использует DLL Sideloading, дополнительно иллюстрирует инновационные методы, которые эти актор применяют для эффективной компрометация систем.
Подводя итог, можно сказать, что развивающиеся возможности и методологии этих злоумышленник подчеркивают появляющуюся тенденцию, при которой несколько кластеров могут независимо нацеливаться на конкретные организации, используя различные инструменты, но руководствуясь схожими мотивами. Это явление отражает индивидуальный подход к кампаниям по шпионажу, требующий повышенного внимания к методологиям атрибуции и необходимости для организаций пересмотреть свои фреймворк безопасности для защиты от этих сложное и целенаправленное использование угроз.
#ParsedReport #CompletenessHigh
20-02-2026
Konni's New Arsenal: Unmasking GSRAT in North Korea-linked APT Operation
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_9_takuma_matsumoto-yoshihiro_ishikawa_en.pdf
Report completeness: High
Actors/Campaigns:
Konni (motivation: cyber_espionage)
Evilplane
Moneyholic
Kimsuky
Clouddragon
Kimdragon
Threats:
Gsrat
Spear-phishing_technique
Konni_rat
Babyface
Fxfdoor
Amadey
Quasar_rat
Xrat_rat
Lilith_rat
Remcos_rat
Rftrat
Linkon
Curkon
Appleseed
Babyshark
Gold_dragon
Rokrat
Chinotto
Navrat_rat
M2rat
Alphaseed
Randomquery
Pubnubrat_rat
Flowerpower
Endclientrat
Endrat
Victims:
Financial sector, Political organizations, Cryptocurrency sector, Individuals interested in north korea, Government agencies, Private companies
Industry:
Government
Geo:
North korea, Usa, Russian federation, Japan, Japanese, Korean, Indonesia, Russian, Russia, Korea, North korean
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 36
Command: 2
Path: 21
IP: 11
Hash: 11
Domain: 2
Soft:
curl, WordPress, KakaoTalk, Android, Windows Defender Application Control, AutoHotkey
Crypto:
bitcoin
Algorithms:
zip, sha256, xor, prng
Functions:
Directly, ISMULTIPLE, rand
Win API:
DeleteFile, decompress:decompress
Languages:
java, autoit, php, powershell, python
Platforms:
x64
YARA: Found
SIGMA: Found
20-02-2026
Konni's New Arsenal: Unmasking GSRAT in North Korea-linked APT Operation
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_9_takuma_matsumoto-yoshihiro_ishikawa_en.pdf
Report completeness: High
Actors/Campaigns:
Konni (motivation: cyber_espionage)
Evilplane
Moneyholic
Kimsuky
Clouddragon
Kimdragon
Threats:
Gsrat
Spear-phishing_technique
Konni_rat
Babyface
Fxfdoor
Amadey
Quasar_rat
Xrat_rat
Lilith_rat
Remcos_rat
Rftrat
Linkon
Curkon
Appleseed
Babyshark
Gold_dragon
Rokrat
Chinotto
Navrat_rat
M2rat
Alphaseed
Randomquery
Pubnubrat_rat
Flowerpower
Endclientrat
Endrat
Victims:
Financial sector, Political organizations, Cryptocurrency sector, Individuals interested in north korea, Government agencies, Private companies
Industry:
Government
Geo:
North korea, Usa, Russian federation, Japan, Japanese, Korean, Indonesia, Russian, Russia, Korea, North korean
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 36
Command: 2
Path: 21
IP: 11
Hash: 11
Domain: 2
Soft:
curl, WordPress, KakaoTalk, Android, Windows Defender Application Control, AutoHotkey
Crypto:
bitcoin
Algorithms:
zip, sha256, xor, prng
Functions:
Directly, ISMULTIPLE, rand
Win API:
DeleteFile, decompress:decompress
Languages:
java, autoit, php, powershell, python
Platforms:
x64
YARA: Found
SIGMA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 20-02-2026 Konni's New Arsenal: Unmasking GSRAT in North Korea-linked APT Operation https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_9_takuma_matsumoto-yoshihiro_ishikawa_en.pdf Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В мае 2025 года северокорейская APT Group Konni использовала новую Троянская программа удаленного доступа (RAT) под названием GSRAT, разработанную с использованием языка сценариев Autolt, для нацеливания на японские финансовые учреждения посредством Целевой фишинг. Вредоносное ПО распространялось через файлы LNK, которые выполняли команды PowerShell для обфускации скриптов и загрузки GSRAT с сайтов компрометация. GSRAT демонстрирует расширенные возможности, включая эксфильтрация данных с помощью хэшей SHA-256 и тактику обхода антивирусного программного обеспечения при использовании различных методов распространения, таких как KakaoTalk.
-----
В мае 2025 года северокорейская APT Group Konni запустила кампанию, используя Троянская программа удаленного доступа (RAT) под названием GSRAT, созданную на основе языка сценариев Autolt. Основными целями были японские финансовые учреждения, осуществлявшие Целевой фишинг-атаки, замаскированные под сообщения от законных компаний. GSRAT был распространен в виде файла LNK, содержащего сценарий Autolt. Файлы LNK выполняли команды PowerShell для запуска запутанных сценариев. Примечательно, что они обнаружили и запустили PowerShell из каталога "System32\WindowsPowerShell" и загрузили CAB-файл, содержащий GSRAT, с внешнего сайта, используя curl.exe . Установочный пакетный файл (install.bat) обеспечивал закрепление, размещая ссылки быстрого доступа в папке автозагрузки для автоматического выполнения при загрузке.
Скомпилированный GSRAT скрипт Autolt, appcheck.au3, имеет идентифицируемые подписи и отступы. Вредоносное ПО извлекает данные, отправляя хэши SHA-256 идентификаторов Аппаратное обеспечение на свои серверы командования и контроля (C2), что позволяет выполнять команды и управлять ими. Обновленная версия GSRAT, представленная в августе 2025 года, передавала данные в формате JSON. Методы Konni's эволюционировали и включают в себя использование KakaoTalk для распространения вредоносное ПО, выдачу себя за профессионалов для использования тактики социальной инженерии. Развертывание вредоносное ПО отражает переход от пользовательской Lilith RAT к GSRAT, что указывает на адаптивность Konni's threats. Их инфраструктура включает в себя множество Виртуальный выделенный сервер (VPS) и сайты WordPress для промежуточного использования. GSRAT проверяет наличие антивирусного программного обеспечения, особенно от Avast, чтобы избежать обнаружения. Методы закрепление и векторы первоначальный доступ указывают на системный подход к компрометация нацелен на среды. Для снижения рисков организациям рекомендуются усиленные меры обнаружения, нацелен на автоматическое удаление вредоносное ПО, и поведенческий мониторинг при выполнении файлов LNK.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В мае 2025 года северокорейская APT Group Konni использовала новую Троянская программа удаленного доступа (RAT) под названием GSRAT, разработанную с использованием языка сценариев Autolt, для нацеливания на японские финансовые учреждения посредством Целевой фишинг. Вредоносное ПО распространялось через файлы LNK, которые выполняли команды PowerShell для обфускации скриптов и загрузки GSRAT с сайтов компрометация. GSRAT демонстрирует расширенные возможности, включая эксфильтрация данных с помощью хэшей SHA-256 и тактику обхода антивирусного программного обеспечения при использовании различных методов распространения, таких как KakaoTalk.
-----
В мае 2025 года северокорейская APT Group Konni запустила кампанию, используя Троянская программа удаленного доступа (RAT) под названием GSRAT, созданную на основе языка сценариев Autolt. Основными целями были японские финансовые учреждения, осуществлявшие Целевой фишинг-атаки, замаскированные под сообщения от законных компаний. GSRAT был распространен в виде файла LNK, содержащего сценарий Autolt. Файлы LNK выполняли команды PowerShell для запуска запутанных сценариев. Примечательно, что они обнаружили и запустили PowerShell из каталога "System32\WindowsPowerShell" и загрузили CAB-файл, содержащий GSRAT, с внешнего сайта, используя curl.exe . Установочный пакетный файл (install.bat) обеспечивал закрепление, размещая ссылки быстрого доступа в папке автозагрузки для автоматического выполнения при загрузке.
Скомпилированный GSRAT скрипт Autolt, appcheck.au3, имеет идентифицируемые подписи и отступы. Вредоносное ПО извлекает данные, отправляя хэши SHA-256 идентификаторов Аппаратное обеспечение на свои серверы командования и контроля (C2), что позволяет выполнять команды и управлять ими. Обновленная версия GSRAT, представленная в августе 2025 года, передавала данные в формате JSON. Методы Konni's эволюционировали и включают в себя использование KakaoTalk для распространения вредоносное ПО, выдачу себя за профессионалов для использования тактики социальной инженерии. Развертывание вредоносное ПО отражает переход от пользовательской Lilith RAT к GSRAT, что указывает на адаптивность Konni's threats. Их инфраструктура включает в себя множество Виртуальный выделенный сервер (VPS) и сайты WordPress для промежуточного использования. GSRAT проверяет наличие антивирусного программного обеспечения, особенно от Avast, чтобы избежать обнаружения. Методы закрепление и векторы первоначальный доступ указывают на системный подход к компрометация нацелен на среды. Для снижения рисков организациям рекомендуются усиленные меры обнаружения, нацелен на автоматическое удаление вредоносное ПО, и поведенческий мониторинг при выполнении файлов LNK.
#ParsedReport #CompletenessLow
21-02-2026
Crypto Compensation Scam: Fake BTC Payout Lure Abusing Survey & Payment Flows
https://malwr-analysis.com/2026/02/22/crypto-compensation-scam-fake-btc-payout-lure-abusing-survey-payment-flows/
Report completeness: Low
Victims:
Cryptocurrency users
IOCs:
Url: 5
Domain: 2
Crypto:
bitcoin
21-02-2026
Crypto Compensation Scam: Fake BTC Payout Lure Abusing Survey & Payment Flows
https://malwr-analysis.com/2026/02/22/crypto-compensation-scam-fake-btc-payout-lure-abusing-survey-payment-flows/
Report completeness: Low
Victims:
Cryptocurrency users
IOCs:
Url: 5
Domain: 2
Crypto:
bitcoin
Malware Analysis, Phishing, and Email Scams
Crypto Compensation Scam: Fake BTC Payout Lure Abusing Survey & Payment Flows
Overview I recently came across a message containing the following link: hxxps://yandex[.]com/poll/PdZ7vgekGrNakuXZcpiB6b At first, it didn’t look suspicious. It opened as a simple survey/poll page…
CTT Report Hub
#ParsedReport #CompletenessLow 21-02-2026 Crypto Compensation Scam: Fake BTC Payout Lure Abusing Survey & Payment Flows https://malwr-analysis.com/2026/02/22/crypto-compensation-scam-fake-btc-payout-lure-abusing-survey-payment-flows/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний анализ выявил изощренную аферу с крипто-компенсациями, которая использует схему авансовых платежей, обманом заставляя жертв платить авансовые платежи, обещая поддельные выплаты в биткоинах. Злоумышленники адаптируют свою тактику, изменяя свой подход, чтобы охватить более широкую аудиторию, сохраняя при этом основные механизмы обмана, наряду с использованием опросов и потоков платежей для повышения легитимности. Это демонстрирует продуманную стратегию киберпреступников, направленную на использование растущего интереса к криптовалюте, что делает мошенничество более правдоподобным для потенциальных жертв.
-----
Недавний анализ выявил мошенничество с крипто-компенсациями, которое вращается вокруг мошеннической схемы, разработанной для заманивания жертв с помощью поддельного описания выплат в биткоинах. Этот тип мошенничества классифицируется как мошенничество с авансовым платежом, когда злоумышленники обещают потенциальным жертвам финансовую отдачу, соблазняя их оплатить авансовые платежи под предлогом получения вознаграждения в криптовалюте.
Изощренность этой аферы заключается в ее адаптивности; одна и та же лежащая в основе мошенническая структура может проявляться в различных формах путем изменения первоначального подхода. Было замечено, что злоумышленники используют различные точки входа или презентации, сохраняя при этом основную механику мошенничества, что указывает на продуманную стратегию охвата и обмана более широкой аудитории. Такое повторное использование тактики говорит о том, что киберпреступники постоянно совершенствуют свои методы, чтобы увлечь потенциальных жертв, гарантируя, что они смогут эффективно использовать растущий интерес к криптовалюте.
В этом сценарии участие в опросах и платежных потоках добавляет еще один уровень обмана, поскольку потенциальным целям это может показаться более законным. Маскировка мошенничества под различные обличья и форматы позволяет злоумышленникам использовать психологические элементы, которые делают мошенничество более правдоподобным. В результате жертвы могут поверить, что они участвуют в законном процессе выплаты, а не становятся жертвами мошенничества.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний анализ выявил изощренную аферу с крипто-компенсациями, которая использует схему авансовых платежей, обманом заставляя жертв платить авансовые платежи, обещая поддельные выплаты в биткоинах. Злоумышленники адаптируют свою тактику, изменяя свой подход, чтобы охватить более широкую аудиторию, сохраняя при этом основные механизмы обмана, наряду с использованием опросов и потоков платежей для повышения легитимности. Это демонстрирует продуманную стратегию киберпреступников, направленную на использование растущего интереса к криптовалюте, что делает мошенничество более правдоподобным для потенциальных жертв.
-----
Недавний анализ выявил мошенничество с крипто-компенсациями, которое вращается вокруг мошеннической схемы, разработанной для заманивания жертв с помощью поддельного описания выплат в биткоинах. Этот тип мошенничества классифицируется как мошенничество с авансовым платежом, когда злоумышленники обещают потенциальным жертвам финансовую отдачу, соблазняя их оплатить авансовые платежи под предлогом получения вознаграждения в криптовалюте.
Изощренность этой аферы заключается в ее адаптивности; одна и та же лежащая в основе мошенническая структура может проявляться в различных формах путем изменения первоначального подхода. Было замечено, что злоумышленники используют различные точки входа или презентации, сохраняя при этом основную механику мошенничества, что указывает на продуманную стратегию охвата и обмана более широкой аудитории. Такое повторное использование тактики говорит о том, что киберпреступники постоянно совершенствуют свои методы, чтобы увлечь потенциальных жертв, гарантируя, что они смогут эффективно использовать растущий интерес к криптовалюте.
В этом сценарии участие в опросах и платежных потоках добавляет еще один уровень обмана, поскольку потенциальным целям это может показаться более законным. Маскировка мошенничества под различные обличья и форматы позволяет злоумышленникам использовать психологические элементы, которые делают мошенничество более правдоподобным. В результате жертвы могут поверить, что они участвуют в законном процессе выплаты, а не становятся жертвами мошенничества.
#ParsedReport #CompletenessHigh
20-02-2026
Ghost in Your Network: How Earth Kurma Stays Hidden and Exfiltrates Your Data
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_5_nick_dai_sunny-w-lu_en.pdf
Report completeness: High
Actors/Campaigns:
Earth_kurma
Toddycat
Lancefly
Tunnelsnake
Sharppanda
Threats:
Nbtscan_tool
Ladon_tool
Frpc_tool
Kmlog_tool
Krnrat
Moriya
Mmload
Dunloader
Tesdat
Dmloader
Downbegin
Wmihacker_tool
Odriz_tool
Simpoboxspy_tool
Simpowebexspy
Downtown
Cobalt_strike_tool
Vikturi
Victorydll
Victims:
Southeast asia
Industry:
Government, Telco
Geo:
Indonesia, Philippines, Asia, Thailand, Malaysia, Vietnam
TTPs:
Tactics: 6
Technics: 0
IOCs:
Command: 10
Path: 13
File: 34
IP: 11
Email: 1
Hash: 33
Domain: 1
Soft:
Dropbox, Windows Filter Manager, Windows Security, Microsoft Word, Microsoft Excel
Algorithms:
zip, xor, sha256
Win API:
NetBIOS, NtCreateThreadEx, ObRegisterCallbacks, PsSetLoadImageNotifyRoutine, PsSetCreateProcessNotifyRoutine, SwitchToFiber, WaitForMultipleObjects
Languages:
powershell
Platforms:
x64
20-02-2026
Ghost in Your Network: How Earth Kurma Stays Hidden and Exfiltrates Your Data
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_5_nick_dai_sunny-w-lu_en.pdf
Report completeness: High
Actors/Campaigns:
Earth_kurma
Toddycat
Lancefly
Tunnelsnake
Sharppanda
Threats:
Nbtscan_tool
Ladon_tool
Frpc_tool
Kmlog_tool
Krnrat
Moriya
Mmload
Dunloader
Tesdat
Dmloader
Downbegin
Wmihacker_tool
Odriz_tool
Simpoboxspy_tool
Simpowebexspy
Downtown
Cobalt_strike_tool
Vikturi
Victorydll
Victims:
Southeast asia
Industry:
Government, Telco
Geo:
Indonesia, Philippines, Asia, Thailand, Malaysia, Vietnam
TTPs:
Tactics: 6
Technics: 0
IOCs:
Command: 10
Path: 13
File: 34
IP: 11
Email: 1
Hash: 33
Domain: 1
Soft:
Dropbox, Windows Filter Manager, Windows Security, Microsoft Word, Microsoft Excel
Algorithms:
zip, xor, sha256
Win API:
NetBIOS, NtCreateThreadEx, ObRegisterCallbacks, PsSetLoadImageNotifyRoutine, PsSetCreateProcessNotifyRoutine, SwitchToFiber, WaitForMultipleObjects
Languages:
powershell
Platforms:
x64
CTT Report Hub
#ParsedReport #CompletenessHigh 20-02-2026 Ghost in Your Network: How Earth Kurma Stays Hidden and Exfiltrates Your Data https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_5_nick_dai_sunny-w-lu_en.pdf Report completeness: High Actors/Campaigns: Earth_kurma…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Earth Kurma - это APT-группировка, нацеленная на Юго-Восточную Азию с конца 2020 года, специализирующаяся на эксфильтрация данных с использованием передовых методов уклонения. Группа использует различные инструменты для перемещение внутри компании, такие как NBTSCAN и WMIHACKER, а также множество руткит, бэкдор и загрузчиков, в частности KRNRAT и DOWNBEGIN, для операций командования и контроля. Их тактика вредоносное ПО включает в себя использование законных сервисов для связи C& C и эксфильтрация данных, сохраняя скрытность и адаптивность в своих стратегиях атак.
-----
Earth Kurma - это сложная APT-группировка, которая действует с ноября 2020 года, в основном нацеленная на Юго-Восточную Азию. Группа уделяет особое внимание эксфильтрация данных, используя передовые методы уклонения и закрепление. Их деятельность показала слабые связи с другими известными APT-группировка, такими как ToddyCat и Lancefly, что еще раз указывает на их уникальную методологию.
Этот APT использует различные инструменты для перемещение внутри компании, включая NBTSCAN для сканирования NetBIOS, LADON для проникновения в интрасеть и WMIHACKER для облегчения перемещение внутри компании. Что касается механизмов закрепление, Earth Kurma использует множество руткит, бэкдор и загрузчиков. Среди их ключевых инструментов - KRNRAT, комплексный бэкдор, использующий несколько проектов с открытым исходным кодом. Его агент пользовательского режима вводится в "svchost.exe - и работает в режиме резидентной памяти. Аналогичным образом, они используют MORIYA, перехватчик трафика, который скрывает вредоносную полезную нагрузку в TCP-трафике, специально нацеливаясь на пакеты на основе их начальных байтов для внедрения.
Арсенал Earth Kurma's включает в себя многоэтапные руткит с отражающей загрузкой, способные к бэкдор-операциям, и агенты, работающие в памяти, которые используют законные сервисы, такие как Cisco Webex и DFSR, для обмена данными между командами и контролем, а также для развертывания вредоносное ПО. Они разработали множество пользовательских загрузчиков и бэкдор-программ, таких как DOWNBEGIN, который работает через rundll32.exe , предлагающий многочисленные командные возможности для управления файлами и связи C&C. Этот вариант особенно примечателен своей функцией создания нескольких конференц-залов Cisco Webex для облегчения связи с системами компрометация.
Группа также использует SIMPOBOXSPY, простой инструмент для загрузки файлов в такие сервисы, как Dropbox, что подчеркивает их зависимость от законных платформ для эксфильтрации данных. Разнообразие их инструментов, включая возможности отражающей загрузки и конкретные команды, используемые для операций с файлами, свидетельствует о хорошо продуманной стратегии атаки, которая фокусируется как на скрытности, так и на эффективности. Сложные методологии Earth Kurma's иллюстрируют непрерывную эволюцию киберугроза, подчеркивая необходимость постоянной бдительности и адаптации мер безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Earth Kurma - это APT-группировка, нацеленная на Юго-Восточную Азию с конца 2020 года, специализирующаяся на эксфильтрация данных с использованием передовых методов уклонения. Группа использует различные инструменты для перемещение внутри компании, такие как NBTSCAN и WMIHACKER, а также множество руткит, бэкдор и загрузчиков, в частности KRNRAT и DOWNBEGIN, для операций командования и контроля. Их тактика вредоносное ПО включает в себя использование законных сервисов для связи C& C и эксфильтрация данных, сохраняя скрытность и адаптивность в своих стратегиях атак.
-----
Earth Kurma - это сложная APT-группировка, которая действует с ноября 2020 года, в основном нацеленная на Юго-Восточную Азию. Группа уделяет особое внимание эксфильтрация данных, используя передовые методы уклонения и закрепление. Их деятельность показала слабые связи с другими известными APT-группировка, такими как ToddyCat и Lancefly, что еще раз указывает на их уникальную методологию.
Этот APT использует различные инструменты для перемещение внутри компании, включая NBTSCAN для сканирования NetBIOS, LADON для проникновения в интрасеть и WMIHACKER для облегчения перемещение внутри компании. Что касается механизмов закрепление, Earth Kurma использует множество руткит, бэкдор и загрузчиков. Среди их ключевых инструментов - KRNRAT, комплексный бэкдор, использующий несколько проектов с открытым исходным кодом. Его агент пользовательского режима вводится в "svchost.exe - и работает в режиме резидентной памяти. Аналогичным образом, они используют MORIYA, перехватчик трафика, который скрывает вредоносную полезную нагрузку в TCP-трафике, специально нацеливаясь на пакеты на основе их начальных байтов для внедрения.
Арсенал Earth Kurma's включает в себя многоэтапные руткит с отражающей загрузкой, способные к бэкдор-операциям, и агенты, работающие в памяти, которые используют законные сервисы, такие как Cisco Webex и DFSR, для обмена данными между командами и контролем, а также для развертывания вредоносное ПО. Они разработали множество пользовательских загрузчиков и бэкдор-программ, таких как DOWNBEGIN, который работает через rundll32.exe , предлагающий многочисленные командные возможности для управления файлами и связи C&C. Этот вариант особенно примечателен своей функцией создания нескольких конференц-залов Cisco Webex для облегчения связи с системами компрометация.
Группа также использует SIMPOBOXSPY, простой инструмент для загрузки файлов в такие сервисы, как Dropbox, что подчеркивает их зависимость от законных платформ для эксфильтрации данных. Разнообразие их инструментов, включая возможности отражающей загрузки и конкретные команды, используемые для операций с файлами, свидетельствует о хорошо продуманной стратегии атаки, которая фокусируется как на скрытности, так и на эффективности. Сложные методологии Earth Kurma's иллюстрируют непрерывную эволюцию киберугроза, подчеркивая необходимость постоянной бдительности и адаптации мер безопасности.
#ParsedReport #CompletenessHigh
20-02-2026
The Betrayed Update: Beyond the Signpost
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_1_yamamoto_en.pdf
Report completeness: High
Actors/Campaigns:
Pirate_panda
Threats:
Spear-phishing_technique
Eviltwin_technique
Supply_chain_technique
Mitm_technique
Dns_hijacking_technique
Xiangoop
Entryshell
Cobalt_strike_tool
Victims:
Software supply chain, Dictionary application users, Home router users, Public wifi users
Geo:
Japan
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1036, T1071.001, T1105, T1195, T1199, T1204.002, T1553.002, T1554
IOCs:
File: 4
Url: 2
IP: 4
Hash: 1
Soft:
VSCode, youdao
Algorithms:
md5
Languages:
powershell, golang
20-02-2026
The Betrayed Update: Beyond the Signpost
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_1_yamamoto_en.pdf
Report completeness: High
Actors/Campaigns:
Pirate_panda
Threats:
Spear-phishing_technique
Eviltwin_technique
Supply_chain_technique
Mitm_technique
Dns_hijacking_technique
Xiangoop
Entryshell
Cobalt_strike_tool
Victims:
Software supply chain, Dictionary application users, Home router users, Public wifi users
Geo:
Japan
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1071.001, T1105, T1195, T1199, T1204.002, T1553.002, T1554
IOCs:
File: 4
Url: 2
IP: 4
Hash: 1
Soft:
VSCode, youdao
Algorithms:
md5
Languages:
powershell, golang
CTT Report Hub
#ParsedReport #CompletenessHigh 20-02-2026 The Betrayed Update: Beyond the Signpost https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_1_yamamoto_en.pdf Report completeness: High Actors/Campaigns: Pirate_panda Threats: Spear-phishing_technique Eviltwin_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Tropic Trooper, злоумышленник, нацеленный в первую очередь на пользователей в Японии, использует передовые методы, включая DNS hijacking и заражение законных приложений во время обновлений. Группа распространяет бэкдор на базе Golang, заменяя официальные файлы конфигурации и перенаправляя обновления приложений на вредоносный сервер. Этот сложный подход не только компрометация конкретных приложений, но и перехват конфигураций DNS, что позволяет осуществлять более широкий перехват сетевого трафика и его дальнейшее использование.
-----
Анализ Tropic Trooper, злоумышленник, также известный как Pirate Panda и APT23, выявляет сложные методы атак, нацеленные в первую очередь на пользователей в Японии и прилегающих районах. Деятельность группы демонстрирует эволюцию методов распространения вредоносное ПО, в частности, DNS hijacking и коварное использование законных приложений в качестве прикрытия для вредоносных действий.
Примечательный наблюдаемый метод включает заражение законных приложений, в частности приложения-словаря, во время процесса обновления. Это заражение происходит после, казалось бы, обычного обновления приложения, которое маскирует вредоносную активность под видом законного поведения программного обеспечения. Бэкдор, разработанный в Golang, был вставлен в назначенный каталог обновлений приложения, подчеркивая сложный метод доставки, который использует легальную программную инфраструктуру в неблаговидных целях.
Процесс обновления приложения, подвергшегося компрометация, включал замену официального файла конфигурации на поддельную версию. Эта поддельная конфигурация перенаправляла приложение на вредоносный сервер обновлений, тем самым облегчая загрузку Backdoor. Расследование выявило незначительный промежуток времени между созданием папки для обновлений и добавлением вредоносное ПО, что свидетельствует о высокой степени скоординированности установки на этапе обновления.
Более того, злоумышленники использовали подозрительный IP-адрес, настроенный как кэшированный DNS-сервер домашнего маршрутизатора. Этот маневр иллюстрировал классический DNS hijacking, когда многократный поиск в DNS приводил к одному и тому же IP-адресу с компрометация, что оказывало воздействие на различные приложения, выходящее за рамки первоначальной цели. Имеющиеся данные свидетельствуют о том, что установленное вредоносное ПО может перенаправлять трафик и способствовать дальнейшему распространению атаки путем перехвата законного сетевого трафика, что затрудняет обнаружение для пользователей.
Последствия этих выводов распространяются на неуправляемые сети, такие как общедоступный Wi-Fi, где зависимость от настроек DNS, распределенных маршрутизатором, создает уязвимости. Рекомендации включают использование внутренних настроек DNS, когда это возможно, с использованием защищенных протоколов, таких как DNS через TLS или DNS через HTTPS, для предотвращения перехвата.
Задокументированный случай свидетельствует о более широкой стратегии, используемой Tropic Trooper для использования законного поведения пользователей и инфраструктуры, иллюстрируя закрепление и адаптивность злоумышленника в поддержании скрытого контроля над компрометация систем. Эта постоянная потребность в бдительности подчеркивает важность защиты механизмов обновления и конфигураций DNS для снижения рисков, связанных со сложными методами доставки вредоносное ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Tropic Trooper, злоумышленник, нацеленный в первую очередь на пользователей в Японии, использует передовые методы, включая DNS hijacking и заражение законных приложений во время обновлений. Группа распространяет бэкдор на базе Golang, заменяя официальные файлы конфигурации и перенаправляя обновления приложений на вредоносный сервер. Этот сложный подход не только компрометация конкретных приложений, но и перехват конфигураций DNS, что позволяет осуществлять более широкий перехват сетевого трафика и его дальнейшее использование.
-----
Анализ Tropic Trooper, злоумышленник, также известный как Pirate Panda и APT23, выявляет сложные методы атак, нацеленные в первую очередь на пользователей в Японии и прилегающих районах. Деятельность группы демонстрирует эволюцию методов распространения вредоносное ПО, в частности, DNS hijacking и коварное использование законных приложений в качестве прикрытия для вредоносных действий.
Примечательный наблюдаемый метод включает заражение законных приложений, в частности приложения-словаря, во время процесса обновления. Это заражение происходит после, казалось бы, обычного обновления приложения, которое маскирует вредоносную активность под видом законного поведения программного обеспечения. Бэкдор, разработанный в Golang, был вставлен в назначенный каталог обновлений приложения, подчеркивая сложный метод доставки, который использует легальную программную инфраструктуру в неблаговидных целях.
Процесс обновления приложения, подвергшегося компрометация, включал замену официального файла конфигурации на поддельную версию. Эта поддельная конфигурация перенаправляла приложение на вредоносный сервер обновлений, тем самым облегчая загрузку Backdoor. Расследование выявило незначительный промежуток времени между созданием папки для обновлений и добавлением вредоносное ПО, что свидетельствует о высокой степени скоординированности установки на этапе обновления.
Более того, злоумышленники использовали подозрительный IP-адрес, настроенный как кэшированный DNS-сервер домашнего маршрутизатора. Этот маневр иллюстрировал классический DNS hijacking, когда многократный поиск в DNS приводил к одному и тому же IP-адресу с компрометация, что оказывало воздействие на различные приложения, выходящее за рамки первоначальной цели. Имеющиеся данные свидетельствуют о том, что установленное вредоносное ПО может перенаправлять трафик и способствовать дальнейшему распространению атаки путем перехвата законного сетевого трафика, что затрудняет обнаружение для пользователей.
Последствия этих выводов распространяются на неуправляемые сети, такие как общедоступный Wi-Fi, где зависимость от настроек DNS, распределенных маршрутизатором, создает уязвимости. Рекомендации включают использование внутренних настроек DNS, когда это возможно, с использованием защищенных протоколов, таких как DNS через TLS или DNS через HTTPS, для предотвращения перехвата.
Задокументированный случай свидетельствует о более широкой стратегии, используемой Tropic Trooper для использования законного поведения пользователей и инфраструктуры, иллюстрируя закрепление и адаптивность злоумышленника в поддержании скрытого контроля над компрометация систем. Эта постоянная потребность в бдительности подчеркивает важность защиты механизмов обновления и конфигураций DNS для снижения рисков, связанных со сложными методами доставки вредоносное ПО.
#ParsedReport #CompletenessMedium
16-02-2026
Aeternum Loader: When your C2 lives forever
https://ctrlaltintel.com/threat%20research/Aeternum-Part-1/
Report completeness: Medium
Threats:
Aeternum
Errtraffic
Clickfix_technique
Victims:
General users, Blockchain users
Industry:
Financial
TTPs:
Tactics: 1
Technics: 1
ChatGPT TTPs:
T1027, T1036, T1059, T1102, T1105, T1480
IOCs:
Coin: 35
Url: 18
Domain: 20
File: 5
Hash: 2
Wallets:
mainnet
Crypto:
ethereum
Algorithms:
aes-256-gcm, sha256, md5, aes-gcm, base64, pbkdf2, aes
Functions:
updateDomain, getItem, getRandomValues, setItem, encryptPrivateKey, setEncryptionKey, Wallet, getAddress, getNetwork, admin, have more...
Win API:
Polygon
Languages:
solidity, python, javascript
Links:
have more...
16-02-2026
Aeternum Loader: When your C2 lives forever
https://ctrlaltintel.com/threat%20research/Aeternum-Part-1/
Report completeness: Medium
Threats:
Aeternum
Errtraffic
Clickfix_technique
Victims:
General users, Blockchain users
Industry:
Financial
TTPs:
Tactics: 1
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1059, T1102, T1105, T1480
IOCs:
Coin: 35
Url: 18
Domain: 20
File: 5
Hash: 2
Wallets:
mainnet
Crypto:
ethereum
Algorithms:
aes-256-gcm, sha256, md5, aes-gcm, base64, pbkdf2, aes
Functions:
updateDomain, getItem, getRandomValues, setItem, encryptPrivateKey, setEncryptionKey, Wallet, getAddress, getNetwork, admin, have more...
Win API:
Polygon
Languages:
solidity, python, javascript
Links:
have more...
https://github.com/ctrlaltint3l/intelligence/blob/main/Aeternum%20Loader/Smart%20Contract%20Log.csvhttps://github.com/ctrlaltint3l/intelligence/blob/main/Aeternum%20Loader/aeternum\_c2\_command\_decrypt.pyCtrl-Alt-Int3l
Aeternum Loader: When your C2 lives forever
An exposed operator panel revealed how Aeternum Loader abuses Polygon smart contracts for C2, allowing us to view all C2 commands ever sent.
CTT Report Hub
#ParsedReport #CompletenessMedium 16-02-2026 Aeternum Loader: When your C2 lives forever https://ctrlaltintel.com/threat%20research/Aeternum-Part-1/ Report completeness: Medium Threats: Aeternum Errtraffic Clickfix_technique Victims: General users, Blockchain…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Загрузчик Aeternum - это сложное вредоносное ПО, которое использует механизм командования и контроля через блокчейн Polygon, используя смарт-контракты для выполнения команд вместо традиционных серверов. Он имеет два флага команд, "all" и "hwid", что позволяет выполнять универсальное или специфическое выполнение и включает зашифрованные команды, которые могут быть расшифрованы с помощью адреса контракта. Заметная уязвимость существует в одном идентифицированном смарт-контракте со слабым шифрованием, что потенциально позволяет исследователям обнаруживать вредоносную активность, связанную с загрузчиком Aeternum, с помощью анализа цепочки.
-----
Загрузчик Aeternum - это сложный загрузчик вредоносное ПО, который использует уникальный механизм командования и контроля (C2) через блокчейн Polygon, полагаясь на смарт-контракты вместо традиционных серверов C2. Такой подход устраняет необходимость в централизованной инфраструктуре, контролируемой злоумышленниками, поскольку команды встроены в транзакции блокчейна и, таким образом, прозрачны и неизменяемы. Панель, используемая операторами вредоносное ПО, раскрывает детали смарт-контракта, позволяя тщательно проанализировать его функциональность, структуру команд и уязвимости.
Расшифрованные команды из загрузчика Aeternum раскрывают структуру команд, которая включает в себя два основных флага: "all" и "hwid". Флаг "all" указывает, что команда должна выполняться повсеместно, в то время как флаг "hwid" ограничивает выполнение определенными идентификаторами хоста, полученными из хэша MD5 серийного номера системного диска. Команды также указывают URL-адреса, на которых размещаются дополнительные полезные файлы, и вредоносное ПО может устанавливать закрепление и отправлять периодические проверки ping через HTTP.
Команды C2 зашифрованы AES-GCM, а ключи получены из адреса контракта с помощью алгоритма PBKDF2, который использует как значение salt, так и пароль, установленные для адреса контракта. Это позволяет любому, кто знает адрес контракта, расшифровать все команды, связанные с этим конкретным каналом C2. Важным открытием является то, что смарт-контракт, содержащий команды C2, может быть запрошен напрямую через блокчейн, что обеспечивает исследователям возможность поиска исторических команд и мониторинга в режиме реального времени.
Исследование выявило один смарт-контракт, 0x4d70C3393C5d9EC325Edf8b3f289cFA9777e64B0, со слабым методом шифрования, который мог раскрывать команды открытого текста. Если будут найдены другие контракты с аналогичным байт-кодом, они также могут быть связаны с загрузчиком Aeternum, что облегчает автоматическое обнаружение вредоносной активности посредством взаимодействия API с такими платформами, как Etherscan.io .
Идентифицированный создатель смарт-контракта, Ленай, продемонстрировал значительную активность, внедрив многочисленные контракты и команды с начала 2026 года, которые также согласуются с такими кампаниями, как ErrTraffic и ClickFix. Многогранная реализация загрузчика Aeternum не только означает усовершенствованную модель угроз, использующую технологию блокчейн для закрепление и запутывания, но и предоставляет исследователям в области Кибербезопасность ощутимую возможность противодействовать ее внедрению посредством мониторинга в сети и анализа связанных смарт-контрактов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Загрузчик Aeternum - это сложное вредоносное ПО, которое использует механизм командования и контроля через блокчейн Polygon, используя смарт-контракты для выполнения команд вместо традиционных серверов. Он имеет два флага команд, "all" и "hwid", что позволяет выполнять универсальное или специфическое выполнение и включает зашифрованные команды, которые могут быть расшифрованы с помощью адреса контракта. Заметная уязвимость существует в одном идентифицированном смарт-контракте со слабым шифрованием, что потенциально позволяет исследователям обнаруживать вредоносную активность, связанную с загрузчиком Aeternum, с помощью анализа цепочки.
-----
Загрузчик Aeternum - это сложный загрузчик вредоносное ПО, который использует уникальный механизм командования и контроля (C2) через блокчейн Polygon, полагаясь на смарт-контракты вместо традиционных серверов C2. Такой подход устраняет необходимость в централизованной инфраструктуре, контролируемой злоумышленниками, поскольку команды встроены в транзакции блокчейна и, таким образом, прозрачны и неизменяемы. Панель, используемая операторами вредоносное ПО, раскрывает детали смарт-контракта, позволяя тщательно проанализировать его функциональность, структуру команд и уязвимости.
Расшифрованные команды из загрузчика Aeternum раскрывают структуру команд, которая включает в себя два основных флага: "all" и "hwid". Флаг "all" указывает, что команда должна выполняться повсеместно, в то время как флаг "hwid" ограничивает выполнение определенными идентификаторами хоста, полученными из хэша MD5 серийного номера системного диска. Команды также указывают URL-адреса, на которых размещаются дополнительные полезные файлы, и вредоносное ПО может устанавливать закрепление и отправлять периодические проверки ping через HTTP.
Команды C2 зашифрованы AES-GCM, а ключи получены из адреса контракта с помощью алгоритма PBKDF2, который использует как значение salt, так и пароль, установленные для адреса контракта. Это позволяет любому, кто знает адрес контракта, расшифровать все команды, связанные с этим конкретным каналом C2. Важным открытием является то, что смарт-контракт, содержащий команды C2, может быть запрошен напрямую через блокчейн, что обеспечивает исследователям возможность поиска исторических команд и мониторинга в режиме реального времени.
Исследование выявило один смарт-контракт, 0x4d70C3393C5d9EC325Edf8b3f289cFA9777e64B0, со слабым методом шифрования, который мог раскрывать команды открытого текста. Если будут найдены другие контракты с аналогичным байт-кодом, они также могут быть связаны с загрузчиком Aeternum, что облегчает автоматическое обнаружение вредоносной активности посредством взаимодействия API с такими платформами, как Etherscan.io .
Идентифицированный создатель смарт-контракта, Ленай, продемонстрировал значительную активность, внедрив многочисленные контракты и команды с начала 2026 года, которые также согласуются с такими кампаниями, как ErrTraffic и ClickFix. Многогранная реализация загрузчика Aeternum не только означает усовершенствованную модель угроз, использующую технологию блокчейн для закрепление и запутывания, но и предоставляет исследователям в области Кибербезопасность ощутимую возможность противодействовать ее внедрению посредством мониторинга в сети и анализа связанных смарт-контрактов.
#ParsedReport #CompletenessMedium
16-02-2026
Aeternum Loader: Inside the binary
https://ctrlaltintel.com/threat%20research/Aeternum-Part-2/
Report completeness: Medium
Actors/Campaigns:
Muddywater
Threats:
Aeternum
Motw_bypass_technique
Sandbox_evasion_technique
Hijackloader
Cloudeye
Errtraffic
Latrodectus
Stealthcache
Victims:
Windows users, Non russian users
Industry:
Financial
Geo:
Russia, Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1027.007, T1027.009, T1036, T1036.005, T1055.012, T1070.004, T1071.001, T1497, T1497.001, have more...
IOCs:
Coin: 1
Path: 3
File: 8
Hash: 1
Url: 3
Domain: 1
Algorithms:
xor, pbkdf2, base64, aes-gcm, sha256, prng, md5, aes, crc-32
Functions:
Loader, getDomain
Win API:
Polygon, GetModuleFileNameA, InternetReadFile, GetSystemFirmwareTable, RegQueryInfoKeyW, GetSystemDefaultLangID, GetUserDefaultLangID, GetLocaleInfoW, GetModuleFileNameW, VirtualAlloc, have more...
Win Services:
bits
Languages:
python, powershell
Platforms:
intel, x64
Links:
have more...
16-02-2026
Aeternum Loader: Inside the binary
https://ctrlaltintel.com/threat%20research/Aeternum-Part-2/
Report completeness: Medium
Actors/Campaigns:
Muddywater
Threats:
Aeternum
Motw_bypass_technique
Sandbox_evasion_technique
Hijackloader
Cloudeye
Errtraffic
Latrodectus
Stealthcache
Victims:
Windows users, Non russian users
Industry:
Financial
Geo:
Russia, Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1027.007, T1027.009, T1036, T1036.005, T1055.012, T1070.004, T1071.001, T1497, T1497.001, have more...
IOCs:
Coin: 1
Path: 3
File: 8
Hash: 1
Url: 3
Domain: 1
Algorithms:
xor, pbkdf2, base64, aes-gcm, sha256, prng, md5, aes, crc-32
Functions:
Loader, getDomain
Win API:
Polygon, GetModuleFileNameA, InternetReadFile, GetSystemFirmwareTable, RegQueryInfoKeyW, GetSystemDefaultLangID, GetUserDefaultLangID, GetLocaleInfoW, GetModuleFileNameW, VirtualAlloc, have more...
Win Services:
bits
Languages:
python, powershell
Platforms:
intel, x64
Links:
have more...
https://github.com/LloydLabs/delete-self-pochttps://github.com/ctrlaltint3l/intelligence/blob/main/Aeternum%20Loader/PolygonRPC.txtCtrl-Alt-Int3l
Aeternum Loader: Inside the binary
Our attempt at reversing Aeternum Loader to extract contract addresses and reveal functionality.