#ParsedReport #CompletenessMedium
26-02-2026

New Head Mare newsletter: the phantom contract

https://securelist.ru/head-mare-new-campaign/114892/

Report completeness: Medium

Actors/Campaigns:
Head_mare (motivation: hacktivism)

Threats:
Phantomheart
Phantomcore
Phantomdl
Com_hijacking_technique

Victims:
Public sector, Logistics sector, Financial sector, Industrial sector, Russian organizations

Industry:
Logistic

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036.007, T1053.005, T1059.001, T1071.001, T1090.003, T1105, T1140, T1204.001, T1204.002, have more...

IOCs:
File: 8
Hash: 28
IP: 2
Path: 2
Url: 13
Domain: 4

Algorithms:
zip, xor, md5, base64

Languages:
golang, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года хактивистская группа Head Mare запустила фишинг-кампанию, используя PhantomDL-вариант Backdoor. PhantomCore от "PhantomCore.CC" ("Черный ход"). Злоумышленники отправляли электронные письма с зашифрованными архивами, содержащими файлы ярлыков .lnk, которые при открытии запускали скрипт PowerShell для загрузки бэкдора, замаскированного под txt-файл. Бэкдор, использующий COM Hijacking PSFactoryBuffer для сохранения, использует POST-запросы в формате JSON для связи со своим сервером C2, позволяя выполнять такие команды, как загрузка дополнительного вредоносное ПО и создание сетевого туннеля для дальнейшей эксплуатации.
-----

В феврале 2026 года хактивистская группа Head Mare инициировала широкомасштабную фишинг-кампанию с использованием нового варианта бэкдора PhantomCore, называемого PhantomDL. Цели получали электронные письма, созданные так, чтобы они выглядели как сообщение от законной исследовательской организации, содержащие зашифрованные архивы. Примечательно, что текущий год служит паролем к этим архивам, которые включают в себя несколько файлов быстрого доступа (.lnk). При открытии эти ярлыки позволяют автоматически загружать и устанавливать Backdoor.

Каждый ярлык работает аналогично, отличаясь только спецификой ссылок, ведущих к соответствующим бэкдор и документам. Механизм вредоносной доставки использует скрипт PowerShell, который загружает файл с именем USOCachedData.txt , которая, несмотря на расширение .txt, является исполняемой библиотекой последней версии PhantomCore. Этот Вредоносный файл защищен в системе и настроен на автоматический запуск. Для закрепление используется метод PSFactoryBuffer COM Hijacking, который изменяет путь реестра к системной библиотеке, позволяя запускать Вредоносный файл, когда законные приложения пытаются получить доступ к соответствующим COM-объектам.

Бэкдор PhantomCore, написанный на C++, использует побайтовое шифрование XOR для своих строк, обеспечивая связь со своим сервером command and control (C2) посредством POST-запросов в формате JSON. Бэкдор сначала регистрирует зараженную систему, передавая закодированные данные, а затем отправляет только идентификатор бота для последующих команд. Он выполняет последовательность команд, включающих загрузку архива, содержащего TemplateMaintenanceHost.exe вредоносное ПО, которое используется для создания сетевого туннеля.

Команды, выполняемые бэкдором, включают загрузку вредоносное ПО через PowerShell и извлечение его в каталог AppData. Кроме того, он планирует задачу для обеспечения последовательного выполнения, в конечном счете запуская cmd.exe процессы для установления соединения с удаленным хостом с использованием ssh.exe инструмент, эффективно действующий как прокси-сервер SOCKS5. Это позволяет злоумышленникам направлять трафик через систему компрометация для взаимодействия с другими устройствами в сети. Кампания успешно нацелен на несколько сотен пользователей из российских организаций, в частности, оказав воздействие на различные структуры государственного сектора и компании в логистическом, финансовом и промышленном секторах.

#ParsedReport #CompletenessHigh
26-02-2026

Chronology of MuddyWater APT Attacks Targeting the Middle East

https://www.genians.co.kr/en/blog/threat_intelligence/muddywater-apt

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: information_theft, cyber_espionage, financially_motivated)

Threats:
Spear-phishing_technique
Dll_sideloading_technique
Syncro_tool
Atera_tool
Screenconnect_tool
Simplehelp_tool
N-able_tool
Splashtop_tool
Anydesk_tool
Teamviewer_tool

Victims:
Telecommunications providers, Universities, Government agencies, Foreign ministries, Embassies, International organizations, Insurance industry, Pension fund management, It services providers, Energy sector, have more...

Industry:
Education, Military, Government, Energy, Telco

Geo:
Jordan, Oman, Americas, Malaysia, Iraq, Malaysian, Asia, Middle east, Iran, United kingdom, Turkmenistan, Egypt, Africa, France, America, Israel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1033, T1036, T1059.001, T1059.005, T1071.001, T1082, T1106, have more...

IOCs:
File: 17
Domain: 3
Path: 1
IP: 2
Hash: 39

Soft:
Microsoft Office, Microsoft Word, Dropbox, Microsoft OneDrive, Windows Installer, Microsoft Defender

Algorithms:
md5, xor, zip

Functions:
Document_Open, dddd, love_me_

Win API:
InitializeSecurityContextW

Languages:
rust, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, code: 1, table: 1, dump: 5, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater APT, преступная хакерская группировка с Ближнего Востока, специализируется на долгосрочном проникновении и сборе разведданных, главным образом, путем Целевой фишинг с использованием макросов VBA в документах, в обход последних мер макробезопасности. Они используют инструменты удаленного мониторинга и управления для первоначальный доступ, сочетая вредоносную активность с законными операциями, и перешли к использованию HTML-файлов, которые направляют пользователей к вредоносное ПО, размещенному в Облачные сервисы. Их изощренная тактика включает в себя разведка и использование вредоносное ПО на основе Rust, что указывает на эволюционирующий ландшафт угроз, нацеленных на различные секторы, особенно на правительство и телекоммуникации.
-----

MuddyWater APT - хакерская группировка с Ближнего Востока, специализирующаяся на долгосрочном проникновении и сборе разведданных. Группа использует Целевой фишинг-атаки с использованием вредоносных документов, содержащих макросы VBA в Microsoft Word. Они используют социальную инженерию, чтобы убедить пользователей включить макросы, особенно в средах с устаревшим программным обеспечением. Вредоносные документы часто маскируются под законные деловые сообщения, чтобы побудить пользователей выполнять макросы, которые запускают дальнейшее вредоносное ПО с помощью встроенных команд PowerShell или бэкдор. MuddyWater также использует инструменты удаленного мониторинга и управления (RMM), такие как Syncro и Atera, для первоначальный доступ, маскируя вредоносные действия под обычные административные задачи. Современные методы включают использование вредоносных HTML-файлов, которые побуждают пользователей загружать вредоносное ПО из законных облачных сервисов хранения данных. Группа нацелена на несколько организаций в пределах одного сектора, что указывает на стратегический подход к компрометация сети. Их бэкдор взаимодействует с серверами командования и контроля (C2) для извлечения системной информации и развертывания дополнительных полезных нагрузок. Интеграция вредоносное ПО на основе Rust демонстрирует прогресс в изощренности их кампаний. Эффективная стратегия обнаружения конечных точек и реагирования на них (EDR) имеет решающее значение для обороны, поскольку традиционная защита периметра неадекватна их тактике. EDR улучшает видимость поведения конечных точек, обнаруживая ненормальные действия с использованием законных инструментов и отслеживая подозрительные сетевые подключения.

#ParsedReport #CompletenessHigh
25-02-2026

Exposing the Undercurrent: Disrupting the GRIDTIDE Global Cyber Espionage Campaign

https://cloud.google.com/blog/topics/threat-intelligence/disrupting-gridtide-global-espionage-campaign/

Report completeness: High

Actors/Campaigns:
Unc2814 (motivation: cyber_espionage)
Ghostemperor

Threats:
Gridtide
Lolbin_technique

Victims:
Telecommunications, Government organizations

Industry:
Telco, Government

Geo:
Asia, China, Africa, Americas

TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 7
File: 4
IP: 26
Domain: 192
Url: 7

Soft:
SoftEther, Curl, Sudo, firefox, systemd

Algorithms:
cbc, sha256, base64, aes-128, gzip

Functions:
Sheets

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания кибершпионажа UNC2814, связанная с Китаем и действующая с 2017 года, использует сложные методы для нацеливания на телекоммуникационные и правительственные организации по всему миру. Примечательно, что он использует бэкдор под названием GRIDTIDE, который использует Google Sheets API для операций управление, маскируя вредоносный трафик под законные вызовы API, что усложняет обнаружение. Вредоносное ПО позволяет выполнять произвольные команды оболочки и сохраняется путем создания зашифрованных конфигураций и использования механизма опроса операций, что иллюстрирует риск, создаваемый такими злоумышленник.
-----

UNC2814 - это кампания кибершпионажа, связанная с Китаем, действующая с 2017 года. Недавно группа внедрила бэкдор под названием GRIDTIDE для операций управление с использованием функциональности Google Sheets API. Этот метод маскирует вредоносный трафик под законные вызовы API, чтобы избежать обнаружения. Подтвержденные вторжения затронули 53 жертвы в 42 странах, с возможными нападениями еще в 20. Вектор первоначальный доступ остается неподтвержденным, но исторические методы включают в себя компрометация веб-серверов и пограничных систем. Исследования выявили двоичный файл, который повышал привилегии и устанавливал закрепление за GRIDTIDE. Вредоносное ПО выполняет команды для сохранения доступа после завершения сеансов и обменивается данными через механизм опроса в определенных ячейках Google Sheet. GRIDTIDE может выполнять произвольные команды оболочки и загружать файлы, используя Google Sheets в качестве канала C2, скрывая свои операции. Данные конфигурации, включая данные учетной записи службы, зашифрованы и защищены локально. Вредоносное ПО очищает свой Google Sheet, удаляя предыдущие записи, чтобы сохранить конфиденциальность. Сбой в работе UNC2814 повлек за собой прекращение работы облачной инфраструктуры и публикацию индикаторов компрометация (IOCs). Несмотря на эту неудачу, ожидается, что группа адаптируется и продолжит свою деятельность. Кампания нацелена на телекоммуникации и конфиденциальные данные с целью шпионажа против диссидентов и активистов.

#ParsedReport #CompletenessMedium
26-02-2026

GTFire Phishing Scheme: Avoiding Detection Using Google Services

https://www.group-ib.com/blog/gtfire-phishing-scheme/

Report completeness: Medium

Actors/Campaigns:
Gtfire

Threats:
Credential_harvesting_technique

Victims:
Multiple organizations, Global users

Industry:
Government, Education

Geo:
India, Spain, Mexico, Argentina, Spanish, Latin american

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1204.001, T1564.003, T1566.002

IOCs:
File: 1
Domain: 2

Soft:
LiteSpeed, Telegram

Algorithms:
base64

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Схема GTFire фишинг-атаки использует надежные Облачные сервисы, в первую очередь Google Firebase, для проведения крупномасштабного сбор учетных записей с помощью обманчивых страниц фишинг-атак, имитирующих законные URL-адреса. Используя Google Translate для маскировки конечных пунктов назначения и динамической загрузки шаблонов входа в систему, специфичных для конкретного бренда, злоумышленники повышают эффективность своих усилий, одновременно усложняя обнаружение. Процесс атаки заключается в том, что жертвам предлагается дважды ввести свои учетные данные, что позволяет получать информацию с помощью HTTP-запросов GET, демонстрируя сложный подход к фишинг.
-----

Схема GTFire фишинг-атак иллюстрирует эволюцию фишинг-атак, использующих надежные Облачные сервисы и популярные платформы для облегчения крупномасштабного сбор учетных записей. Эта кампания преимущественно использует Google Firebase для размещения фишинг-страниц под видом законных URL-адресов, эффективно обходя меры безопасности, основанные на репутации URL-адресов. Использование Google Translate в качестве посредника еще больше скрывает истинную природу этих ссылок, затрудняя как автоматизированным методам обнаружения, так и пользователям идентификацию вредоносного контента.

GTFire работает путем создания широкого спектра поддоменов через Firebase, что позволяет злоумышленникам быстро менять инфраструктуру и минимизировать затраты, а также гарантирует, что страницы для фишинг-атак имитируют брендинг нацелен на организации. Методология фишинг включает динамическую загрузку шаблонов входа в систему, специфичных для конкретного бренда, которые кажутся жертвам заслуживающими доверия, тем самым повышая вероятность предоставления учетных данных, не вызывая подозрений. Более того, злоумышленники используют многоуровневую схему перенаправления с использованием URL-адресов Google Translate (translate.goog), которая усложняет анализ, скрывая конечный пункт назначения на странице, размещенной на Firebase, до конца процесса.

Рабочий процесс сбор учетных записей особенно прост и включает в себя запрос жертвам дважды ввести свои учетные данные, одновременно извлекая информацию с помощью HTTP-запросов GET. Первоначальный ввод сопровождается сообщением "неверный пароль", побуждающим жертву повторно ввести свои данные, что позволяет злоумышленникам зафиксировать обе попытки. Собранные учетные данные, наряду с метаданными о жертве (такими как местоположение и язык браузера), отправляются на серверы управление (C2), использующие инфраструктуру веб-сервера LiteSpeed, что предполагает организованный подход к хранению учетные данные и потенциальному использованию.

Эта кампания затронула более тысячи организаций в более чем ста странах, демонстрируя широкий охват подобной тактики фишинг. Простота развертывания готовых фишинг-скриптов и оперативная эффективность, достигаемая за счет использования платформ, пользующихся широким доверием, позволяют GTFire работать незамеченным в течение длительного времени.

Чтобы противодействовать этим изощренным тактикам, организациям рекомендуется внедрять многофакторную аутентификацию (MFA), устойчивую к атакам на фишинг, постоянно отслеживать случаи Имперсонация бренда на облачных платформах и обучать сотрудников распознаванию схем фишинг, основанных на Google. Случай с GTFire подчеркивает необходимость переоценки моделей доверия и усовершенствованных стратегий обнаружения неправомерного использования законных сервисов в киберугроза.

#ParsedReport #CompletenessLow
25-02-2026

Active exploitation of Cisco Catalyst SD-WAN by UAT-8616

https://blog.talosintelligence.com/uat-8616-sd-wan/

Report completeness: Low

Actors/Campaigns:
Uat-8616

Victims:
Critical infrastructure, High value organizations, Network edge device users, Cisco catalyst sd wan users

Industry:
Critical_infrastructure

CVEs:
CVE-2026-20127 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-20775 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.6.3, <20.7.2, 20.8)
- cisco sd-wan_vbond_orchestrator (<20.6.3, <20.7.2, 20.8)
- cisco sd-wan_vsmart_controller (<20.6.3, <20.7.2, 20.8)


ChatGPT TTPs:
do not use without manual check
T1021.004, T1068, T1070.003, T1070.004, T1078, T1098, T1098.004, T1136, T1190, T1550.004, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Продолжающаяся эксплуатация CVE-2026-20127 представляет значительную угрозу для контроллеров SD-WAN Cisco Catalyst, позволяя злоумышленникам, не прошедшим проверку подлинности, идентифицированным как UAT-8616, обходить аутентификацию и получать административные привилегии. Этот изощренный злоумышленник воспользовался связанными уязвимостями, включая CVE-2022-20775, с помощью таких методов, как понижение версии программного обеспечения для получения корневого доступа. Ключевыми показателями компрометация являются неавторизованные учетные записи пользователей, аномальные SSH-ключи и подозрительные события пиринга контрольного соединения, что подчеркивает важность тщательного мониторинга потенциальных атак.
-----

Активно отслеживается использование CVE-2026-20127, что указывает на значительную угрозу Кибербезопасность, направленную против контроллеров SD-WAN Cisco Catalyst, ранее известных как vSmart. Эта уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, обходить аутентификацию и получать административные привилегии, отправляя специально созданные запросы в уязвимую систему. Успешная эксплуатация предоставляет злоумышленникам доступ в качестве пользователя с высокими привилегиями, не являющегося root, что может привести к дальнейшим вредоносным действиям.

Злоумышленник, идентифицированный как UAT-8616, оцененный как сложная организация, предположительно использовал эту уязвимость в течение длительного периода, и расследования предполагают, что их деятельность насчитывает не менее трех лет. Злоумышленники, по-видимому, используют методы повышения своих привилегий путем понижения версии программного обеспечения, что исторически позволяло им использовать CVE-2022-20775, тем самым получая root-доступ перед возвратом к предыдущей версии программного обеспечения.

Особое внимание уделяется выявлению событий пиринга управляющего соединения в журналах систем Cisco Catalyst SD-WAN, поскольку они могут указывать на попытки использования вышеупомянутой уязвимости. Любое пиринговое событие должно быть проверено вручную, чтобы определить его легитимность, особенно в отношении типов vManage. Злоумышленники-актор часто устанавливают несанкционированные одноранговые соединения, которые могут напоминать обычный трафик, но могут инициироваться с незнакомых IP-адресов или возникать в подозрительное время, несовместимое со стандартным операционным поведением. Таким образом, тщательный процесс проверки имеет решающее значение для проведения различия между обычной сетевой активностью и потенциальными показателями компрометация.

Ключевые этапы проверки криминалистический анализ включают проверку временных меток на соответствие запланированному техническому обслуживанию, подтверждение IP-адресов с помощью организационных описей и анализ ролей одноранговых устройств для обеспечения соответствия ожидаемым конфигурациям. Сопоставление аномальных событий или нераспознанных связей может выявить закономерности, указывающие на разведка или постоянные попытки доступа.

Дополнительные высокоточные индикаторы успешной компрометация с помощью UAT-8616 включают создание неавторизованных учетных записей пользователей и манипулирование ими, необъяснимые SSH-ключи и усеченные журналы, которые указывают на попытки запутывания. Случаи корневого доступа, зафиксированные во время интерактивных сеансов, и наличие истории вредоносных команд в неожиданных местах должны вызывать тревогу. Индикаторы понижения версии в сочетании с перезагрузками системы также могут указывать на попытки эксплуатации, равно как и на наличие эксплойтов обхода пути, связанных с CVE-2022-20775.

Подводя итог, продолжающееся использование уязвимостей в инфраструктуре SD-WAN Cisco с помощью UAT-8616 подчеркивает необходимость тщательного мониторинга и принятия мер упреждающего реагирования в рамках критически важной сетевой инфраструктуры.

#ParsedReport #CompletenessMedium
26-02-2026

New Dohdoor malware campaign targets education and health care

https://blog.talosintelligence.com/new-dohdoor-malware-campaign/

Report completeness: Medium

Actors/Campaigns:
Uat-10027
Lazarus
Kimsuky

Threats:
Dohdoor
Lolbin_technique
Cobalt_strike_tool
Dll_sideloading_technique
Api_obfuscation_technique
Process_hollowing_technique
Lazarloader
Mauicrypt

Victims:
Education, Health care, United states

Industry:
Healthcare, Education

Geo:
North korean, North korea

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1055.012, T1059.001, T1059.003, T1071.004, T1090.003, T1112, T1204.002, T1562.001, have more...

IOCs:
File: 7
Path: 4

Soft:
curl

Functions:
Windows

Win API:
NtProtectVirtualMemory, ReadProcessMemory

Languages:
powershell

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2026/02/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злонамеренная кампания, атрибутирован с злоумышленник "UAT-10027", предоставляющий бэкдор "Dohdoor", в первую очередь нацелен на секторы образования и здравоохранения США с помощью методов фишинг. В многоэтапной атаке используется скрипт PowerShell, который загружает вредоносную библиотеку DLL, которая взаимодействует с сервером управление по протоколу DNS через HTTPS для повышения скрытности. Dohdoor использует тактику уклонения, такую как process hollowing и отключение системных вызовов, чтобы избежать обнаружения, при этом insights намекает на общие черты с вредоносное ПО, связанным с северокорейскими актор, в частности с группой Lazarus.
-----

Cisco Talos идентифицировала вредоносную кампанию, атрибутирован с злоумышленник, отслеживаемый как "UAT-10027", который предоставляет новый бэкдор под названием "Dohdoor", по крайней мере, с декабря 2025 года. Эта атака в первую очередь нацелена на секторы образования и здравоохранения в Соединенных Штатах и использует многоэтапную цепочку атак. Первоначальный доступ, скорее всего, осуществляется с помощью методов фишинг, когда скрипт PowerShell загружает пакетный файл Windows, который запускает вредоносную библиотеку DLL, замаскированную под законный файл. Эта библиотека DLL организует связь с сервером управление (C2), используя DNS-over-HTTPS (DoH), что повышает ее скрытность за счет сокрытия трафика C2 в рамках законных HTTPS-коммуникаций и инфраструктур облачных сервисов, в частности Cloudflare.

В цепочке атак dropper пакетного скрипта Windows создает скрытую папку для загрузки вредоносной библиотеки DLL, облегчая ее выполнение при проведении анти-криминалистических мероприятий, включая очистку истории команд и Данные из буфера обмена. Сам Dohdoor выступает в качестве загрузчика для дальнейших полезных нагрузок, используя такие методы, как API obfuscation и зашифрованные сообщения C2, чтобы избежать обнаружения системой безопасности. Метод DLL sideloading имеет решающее значение в этом процессе, позволяя запускать вредоносный код в рамках законных процессов Windows, используя такие методы, как process hollowing, когда вредоносное ПО внедряется в законный исполняемый файл и запускается в приостановленном состоянии.

Dohdoor реализует различные тактики уклонения для обхода систем обнаружения конечных точек и реагирования на них, в частности, отключает системные вызовы, чтобы избежать обнаружения продуктами безопасности. Он достигает этого за счет динамической оценки и восстановления шаблонов системных вызовов, что позволяет ему скрывать свои действия от решений мониторинга. Примечательно, что вредоносное ПО осуществляет разрешение домена через DoH, который отправляет зашифрованные запросы на сервер C2, таким образом обходя традиционные стратегии обнаружения на основе DNS.

Хотя конкретные полезные нагрузки, используемые Dohdoor, не были выявлены в ходе расследования, были отмечены связи с Cobalt Strike из-за общих хэшей JA3S и атрибутов, связанных с сервером Cobalt Strike по умолчанию. Исследователи отмечают сходство с низкой степенью достоверности между методологиями UAT-10027's и известной тактикой, используемой северокорейскими актор, в частности группой Lazarus, ссылаясь на общие методы разработки и эксплуатации вредоносное ПО, такие как использование пользовательских методов дешифрования и сосредоточение внимания на конкретных секторах. Несмотря на сходство, нацеленность на секторы образования и здравоохранения знаменует собой небольшое отклонение от типичной деятельности Lazarus, которая благоприятствует криптовалютам и оборонной промышленности. Однако такое соотношение указывает на оперативную тенденцию среди северокорейских APT в отношении использования этих секторов для киберопераций.