#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Эксплойт-кит Coruna нацелен на iPhone, работающие на версиях iOS с 13 по 17.2.1, используя 23 эксплойта, включая уязвимости выполнения удаленного кода (RCE) и повышения локальных привилегий (LPE). Он облегчает развертывание сложного шпионского ПО через атаки на водопой, нацеленные на криптовалютные кошельки, с заметной связью с российским угрозой в Украине. Методы комплекта отражают переход от тактики государств-наций к методологиям киберпреступников, позволяя осуществлять обширный сбор данных с компрометированных устройств через различные имплант-модули.
-----

Эксплойт-набор Coruna, проанализированный Группой угроз Google и подтвержденный исследователями iVerify, представляет собой значительный шаг в развитии киберугроз, специально нацеленных на iPhone с iOS версии 13 до 17.2.1. Этот набор инструментов включает 23 эксплойта, позволяющих осуществлять различные атаки на мобильные устройства. Основное внимание набора Coruna уделяется сложным возможностям шпионского ПО, которые перешли от коммерческих поставщиков наблюдения к акторам государств-наций и потенциально крупным преступным организациям.

Исследование выявило подозрительный домен, mxbc-v2.tjbjdod.cn, который хостил цепочку эксплойтов, включающую уязвимости для удаленного выполнения кода (RCE) в Safari и эксплойты для повышения локальных привилегий (LPE), позволяющие злоумышленникам получать контроль над целевыми устройствами. Эксплойт-ки́т, внутренне называемый CryptoWaters, использовался в основном через атаки на водоёмах против криптовалютных кошельков жертв, с конкретным российским угрозным актором, связанным с его развертыванием в Украине.

Методология данного анализа, включающая как статические, так и динамические форенсические подходы, показала, что цепочки эксплойтов не проявляли специфических эвристик целевого нацеливания. Вместо этого они имели возможность инфицировать любое устройство с уязвимой версией iOS, посещающее сайт, что указывает на сдвиг от традиционных тактик государств к методологиям, характерным для киберпреступной активности. Были захвачены несколько эксплойтов, включая различные JavaScript-файлы, способствующие различным этапам цепочки атаки, а также модули для связи и управления.

После успешной инфекции, эксплойт-кит развернул несколько модулей имплантации, которые захватывали приложения цели, такие как WhatsApp и SpringBoard, что позволяло осуществлять обширную экстракцию данных. Это включало мониторинг пользовательских коммуникаций и загрузку конфиденциальной информации, такой как фотографии и заметки. Связь с серверами командования и управления осуществлялась через различные строки User Agent, часто имитируя аутентичный трафик приложений, чтобы избежать обнаружения.

Обнаружение набора эксплоитов Coruna включает в себя мониторинг аномального поведения User Agent и судебных показателей, оставленных в результате инъекционных действий вредоносного ПО. IOC, собранные в ходе анализа, включают различные внутренние названия процессов, агенты пользователей и паттерны связи, которые отклоняются от ожидаемых норм.

Это расследование сигнализирует о первой признанной волне массовой эксплуатации, нацеленной на устройства iOS, и ожидается, что продолжающееся исследование поможет более подробно раскрыть развивающиеся возможности инструментария и его последствия для мобильной безопасности.

#ParsedReport #CompletenessLow
03-03-2026

PDF-Borne Living-off-the-Land Attacks with RMM Abuse

https://www.sonicwall.com/blog/pdf-borne-living-off-the-land-attacks-with-rmm-abuse

Report completeness: Low

Threats:
Lolbin_technique
Screenconnect_tool
Msp360_tool

Victims:
General users

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.001, T1105, T1218.007, T1566.002

IOCs:
File: 3
IP: 1
Hash: 8

Soft:
Dropbox

Algorithms:
zip

Languages:
swift, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки, наблюдаемые SonicWall Capture Labs, exploit файлы PDF для доставки несанкционированного программного обеспечения удаленного мониторинга и управления (RMM), такого как ScreenConnect и MSP360, с использованием тактик социальной инженерии. Пользователи обманом заставляются кликать по ссылкам, которые запускают загрузки MSI установщиков или ZIP архивов, содержащих вредоносные скрипты. Эти кампании используют техники "living-off-the-land", используя доверенные облачные сервисы для хостинга и полагаясь на цифровые подписи бинарных файлов, чтобы избежать обнаружения на платформах анализа вредоносных программ.
-----

Недавние наблюдения SonicWall Capture Labs выявили серию сложных кампаний, использующих PDF-файлы для доставки программного обеспечения для удаленного мониторинга и управления (RMM) с целью несанкционированного доступа к системам жертв. Эти кампании используют тактики социальной инженерии для создания убедительных сценариев, которые побуждают пользователей взаимодействовать с вредоносным контентом. PDF-документы в этих атаках зачастую выглядят легитимно, с встроенными гиперссылками, ведущими к дальнейшему компромету.

В первом сценарии, нажатие на казалось бы безобидную ссылку внутри PDF запускает загрузку файла установщика MSI для ScreenConnect, инструмента RMM, который обычно используется в ИТ-поддержке, но здесь злонамеренно развернут без согласия пользователя. Этот легитимный инструмент предпочитают злоумышленники из-за его цифровой подписи, которая позволяет обходить множество антивирусных защит и предоставляет всесторонние возможности удаленного доступа после установки, включая передачу файлов, выполнение команд и просмотр экрана.

Еще одна вариация атаки представляет собой PDF, имитирующий сообщение от Администрации социального обеспечения. Щелчок по ссылке в этом документе перенаправляет пользователя на вредоносный URL, который загружает ZIP-архив, якобы содержащий законное заявление. Внутри этого архива находится командный файл Windows, предназначенный для выполнения скрытого процесса PowerShell для установки ScreenConnect, снова используя доверенный статус инструмента.

Кроме того, одна кампания ложно представляет себя как финансовое соглашение от вымышленной организации "Swift Labs", что приводит к доставке установщика для MSP360 — легитимного решения для резервного копирования и удаленного управления. Хотя оно предназначено для законных ИТ-практик, несанкционированное использование MSP360 может привести к значительным угрозам безопасности для жертв, включая раскрытие конфигураций резервного копирования и учетных данных облачного хранилища.

Эти кампании демонстрируют сложное использование техник living-off-the-land, полагаясь на доверенные облачные сервисы, такие как Dropbox, для размещения вредоносных полезных нагрузок или используя коммерчески подписанные двоичные файлы, чтобы уклоняться от обнаружения на основе хешей файлов. Примечательно, что отсутствие этих вредоносных файлов на крупных платформах анализа вредоносного ПО, таких как VirusTotal, указывает на то, что они новые и на данный момент не широко помечены как угрозы, что требует повышенного внимания и тщательной проверки со стороны специалистов по кибербезопасности.

#ParsedReport #CompletenessLow
06-03-2026

InstallFix: How attackers are weaponizing malvertized install guides

https://pushsecurity.com/blog/installfix/

Report completeness: Low

Threats:
Installfix_technique
Clickfix_technique
Consentfix_technique
Amatera_stealer
Acr_stealer
Ghostsocks

Victims:
Developers, Ai tool users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1218.005, T1583.001

IOCs:
File: 3
Url: 4
Domain: 17
Path: 1

Soft:
Claude, curl, MacOS

Algorithms:
base64

Languages:
rust

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания "InstallFix" использует процесс установки легитимного программного обеспечения, специально нацеливаясь на инструменты разработчиков через клонированные веб-сайты, которые вводят в заблуждение жертв, заставляя их выполнять вредоносные команды, часто напоминающие доверенные скрипты "curl to bash". Нападающие используют малвертизацию через Google Ads для распространения этих сайтов, увеличивая риск для нетехнических пользователей. Вовлеченное вредоносное ПО, Amatera, является продвинутым инфостилером, который эксфильтрует конфиденциальные данные, применяя техники уклонения, чтобы избежать обнаружения.
-----

Недавний анализ выявил киберугрозу, получившую название "InstallFix", в рамках которой злоумышленники используют процесс установки легитимных программных инструментов, таких как Claude Code, для распространения вредоносного ПО. В этой схеме угрозы акторы создают клонированные веб-сайты, которые имитируют внешний вид и ощущение подлинных страниц установки популярных инструментов разработчиков. Жертвы вводят в заблуждение и запускают вредоносные команды, поданные под видом легитимных инструкций по установке. Вредоносная команда, как правило, дублирует широко используемую однострочную команду "curl to bash", где пользователи доверяют источнику и выполняют команды без достаточной проверки.

Основной метод распространения этих вредоносных страниц — это малвертайзинг, в частности, использование Google Ads для появления в результатах поиска по терминам, связанным с целевыми инструментами, такими как "Claude Code install." Этот подход использует доверие пользователей; поскольку клонирование сайтов почти идентично, пользователи могут не заметить различий до выполнения вредоносных команд. Вредоносные установки используют отдельные домены для перенаправления пользователей на сервер, контролируемый злоумышленником, что негативно сказывается на их системах. Эта тенденция особенно обеспокоительна, учитывая, что многие нетехнические пользователи и менее осведомленные о безопасности лица начинают использовать эти инструменты разработчиков, что увеличивает вероятность успешных атак.

Зловредное ПО, задействованное в недавних атаках InstallFix, было идентифицировано как Amatera, инфостилер, появившийся примерно в 2025 году. Amatera разработан для эксфильтрации конфиденциальных данных, включая пароли браузеров и токены сессий. Его операционная структура сложна и использует методы уклонения, чтобы обойти антивирусные и решения для обнаружения на конечных точках, такие как использование жестко закодированных IP-адресов, принадлежащих легитимным сетям доставки контента, для связи командного и контрольного управления. Эта обфускация затрудняет обнаружение и предотвращение стандартными мерами безопасности.

В дополнение к угрозам, связанным с InstallFix, появились аналогичные кампании, использующие тактики, такие как выдача себя за другое программное обеспечение через захваченные веб-страницы, клонированные сайты и вредоносный код, встроенный в различные операционные контексты, такие как npm пакеты. Общая тенденция указывает на устойчивый паттерн, в котором злоумышленники используют схемы малвертайзинга для распространения различных инфостилеров или для выдачи себя за популярные инструменты разработчиков, подчеркивая, что бдительность необходима в любом инструменте, который позволяет публичные взаимодействия.

Поскольку эта кампания продолжает развиваться, мониторинг и обнаружение остаются решающими для усилий в области кибербезопасности. Недавние стратегии сосредоточились на анализе веб-страниц, отображаемых в браузерах пользователей, для выявления сигналов, связанных с малвари и клонированными сайтами. Проактивный подход к выявлению этих угроз в реальном времени необходим, особенно по мере того как атаки становятся более сложными и менее зависят от традиционных механизмов фишинга.

#ParsedReport #CompletenessLow
02-03-2026

Tracking CyberStrikeAI Usage

https://www.team-cymru.com/post/tracking-cyberstrikeai-usage

Report completeness: Low

Actors/Campaigns:
Ed1s0nz

Threats:
Cyberstrikeai_tool
Steganography_technique
Privhunterai_tool
Infiltratex_tool

Victims:
Fortinet fortigate devices, Edge devices

Industry:
Telco, Government

Geo:
Singapore, China, Chinese, Hong kong, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1583, T1584, T1588.002, T1588.006, T1595

IOCs:
IP: 20

Soft:
DeepSeek, Starlink, Outlook

Links:
https://github.com/Ed1s0nZ/CyberStrikeAI
https://github.com/Ed1s0nZ
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CyberStrikeAI, открытый инструмент для ведения наступательной безопасности, созданный "Ed1s0nZ," связан с кибероперациями, поддерживаемыми китайским государством, и был быстро развернут на 21 IP-адресе, в основном в регионах с значительным населением, говорящим на китайском языке. Этот инструмент активно используется для эксплуатации уязвимостей в устройствах Fortinet FortiGate и ассоциируется с известными группами, связанными с Министерством государственной безопасности Китая, что предполагает возможность эксплуатации нулевого дня. Появление CyberStrikeAI представляет собой тенденцию к милитаризации ИИ в кибероперациях, что создает повышенные риски для сетевой безопасности.
-----

CyberStrikeAI — это инструмент offensivной безопасности с открытым исходным кодом, разработанный лицом, идентифицированным как "Ed1s0nZ", который, похоже, имеет связи с государственными киберактивами Китая. Инструмент, написанный на Go, интегрирует более 100 средств безопасности, включает интеллектуальный движок оркестрации и возможности для тестирования на основе ролей и управления жизненным циклом. Его наблюдение началось после отчета команды Amazon CTI о инфраструктуре киберугроз, улучшенной с помощью ИИ, конкретно связанной с IP-адресом 212.11.64.250, идентифицированным как запускающим CyberStrikeAI.

Использование CyberStrikeAI быстро расширилось, и в исследовании команды отмечается, что после релиза в ноябре 2025 года инструмент был развернут на 21 уникальном IP-адресе к февралю 2026 года. Эти IP-адреса в основном происходят из регионов с большим количеством говорящих на китайском, включая Китай, Сингапур и Гонконг, что указывает на целевую демографию. Примечательно, что выводы анализа команды Cymru указывают на то, что инструмент активно используется против устройств Fortinet FortiGate, подчеркивая его применение в эксплуатации уязвимостей сети.

Профиль Ed1s0nZ на GitHub раскрывает портфолио, которое указывает на сосредоточение на эксплуатации; это включает инструменты для обнаружения уязвимостей повышения привилегий (PrivHunterAI) и автоматизированный инструмент для сканирования на предмет повышения привилегий (InfiltrateX). Более того, деятельность вокруг CyberStrikeAI включает сотрудничество с группами, которые имеют известные связи с Министерством государственной безопасности Китая (MSS), такими как Knownsec, и имеются доказательства, указывающие на то, что эти связи могут позволить потенциальную эксплуатацию нулевого дня. Такие связи были замаскированы, поскольку разработчик, как сообщается, удалил упоминания о инициативе уязвимости CNNVD из своего профиля, вероятно, чтобы уменьшить внимание к возможному сотрудничеству с государством.

Наблюдаемый рост использования CyberStrikeAI подчеркивает более широкую тенденцию к милитаризации ИИ в наступательных кибероперациях, позволяя злоумышленникам с постоянными угрозами (APTs) оптимизировать атаки на уязвимые устройства на краю сети. Ожидается, что CyberStrikeAI вместе с его связанными инструментами снизит барьер для входа для противников, пытающихся осуществить сложную эксплуатацию сети, что заставит команды кибербезопасности усилить своё мониторинг и защитные стратегии в ожидании все более сложных атак. Эта развивающаяся обстановка требует от защитников оставаться бдительными против растущего использования и возможностей, предоставляемых инструментами с улучшенной ИИ, путём отслеживания конкретных индикаторов и IP-адресов, связанных с такими операциями.

#ParsedReport #CompletenessLow
06-03-2026

Phishing Emails Push Fake ChatGPT and Gemini iOS Apps To Steal Logins

https://cybersecuritynews.com/phishing-emails-push-fake-chatgpt/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Iphone users, Facebook users

Industry:
E-commerce

Geo:
Australian

ChatGPT TTPs:
do not use without manual check
T1056.003, T1195, T1556.003, T1566, T1588.002

IOCs:
Url: 2

Soft:
ChatGPT, OpenAI

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целевая фишинговая кампания эксплуатирует доверие к AI-платформам, таким как ChatGPT от OpenAI и Gemini от Google, чтобы обманывать пользователей iPhone с помощью вредоносных приложений, которые выдают себя за эти бренды. Злоумышленники продвигают приложения, GeminiAI Advertising и Ads GPT, доступные в австралийском App Store, которые незаметно собирают учетные данные для входа в Facebook от пользователей. Этот подход обозначает сдвиг в тактиках сбора учетных данных, внедряя вредоносные операции внутри легитимных платформ, что усложняет обнаружение для потенциальных жертв.
-----

Целевая фишинговая кампания в настоящее время эксплуатирует доверие к популярным платформам искусственного интеллекта, в частности ChatGPT от OpenAI и Gemini от Google, чтобы обмануть пользователей iPhone. Нападающие разработали вредоносные приложения, которые выдают себя за эти доверенные бренды, используя их распознаваемость, чтобы заманить потенциальные жертвы. Вредоносные приложения не являются случайными утилитами; скорее, они представляются как законные инструменты, связанные с известными AI-сервисами, которые используют многие профессионалы.

Кампания начинается с фишинговых электронных писем, разработанных так, чтобы казаться законными сообщениями от ChatGPT или Gemini. Эти письма рекламируют два конкретных приложения, GeminiAI Advertising и Ads GPT, которые были доступны в австралийском App Store под идентификаторами приложений id6759005662 и id6759514534 соответственно. Проникнув на официальный рынок приложений, угроза не только добавляет слой обмана, но и значительно усложняет процесс проверки для пользователей и цифровых дистрибутивных платформ.

После загрузки вредоносных приложений жертвы оказываются пойманными в схему сбора учетных данных. Эти приложения тихо собирают информацию для входа пользователей в Facebook, предоставляя в дальнейшем злоумышленникам доступ к личным профилям Facebook, учетным записям бизнес-рекламы и страницам, связанным с скомпрометированными аккаунтами. Эти данные особенно ценны для финансово мотивированных угроз, так как они могут привести к более широкому использованию онлайн-присутствия жертвы.

Эта фишинговая кампания представляет собой заметный сдвиг в тактике со стороны угрожающих акторов, занимающихся сбором учетных данных. Вместо того чтобы полагаться на фальшивые веб-сайты или вредоносные вложения электронной почты, они теперь внедряют свои операции в легитимные цифровые платформы, тем самым осложняя обнаружение и повышая риски для потенциальных жертв. Пользователям рекомендуется оставаться бдительными, проверяя информацию о разработчиках, изучая отзывы пользователей и тщательно оценивая описания приложений на предмет несоответствий перед загрузкой приложений, поскольку эти шаги могут помочь выявить мошеннические схемы.

Ладно, в этом случае никаких вопросов по атрибуции нет.

Согласно отчету Rapid7, ворьё бутыля огненной воды можно вычислить по hash
SHA-256: 522faa41e7dc20bcacb1651ed1ea85a58c34b4a24411a7f75a00f4e795ac0d35
SHA-256: d8f3ee9dd462c7745db488bc4a8e77ea11b79048ce952b66e55665c530de2ddc

#ParsedReport #CompletenessMedium
10-03-2026

From a Sophisticated Browser-Extension Supply-Chain Compromise to a VibeCoded Twist: A Chrome Extension as the Initial Access Vector for a Broader Malware Chain

https://monxresearch-sec.github.io/shotbird-extension-malware-report/

Report completeness: Medium

Threats:
Supply_chain_technique
Clickfix_technique

Victims:
Browser users, Consumers

Industry:
Foodtech

Geo:
Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1056.007, T1059.001, T1059.007, T1102, T1105, T1119, T1199, have more...

IOCs:
File: 12
Hash: 5
Command: 1
Path: 1
IP: 1

Soft:
Chrome, Chromium, Firefox, Google Chrome

Algorithms:
sha1, sha256, md5

Functions:
debugLog, Get-WinEvent, Task-ID

Languages:
powershell, swift, javascript

Links:
https://github.com/monxresearch-sec/shotbird-extension-malware-report

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расширение Chrome ShotBird было злонамеренно перепрофилировано после передачи прав собственности, что привело к таким действиям, как установление соединений с инфраструктурой, контролируемой злоумышленниками, выполнение удаленных скриптов и сбор конфиденциальных данных пользователей. Вредоносное ПО использовало механизм выполнения в два этапа, вовлекая вводящий в заблуждение обновление, которое выполняло команды PowerShell для извлечения дальнейших payload с orangewater00.com. Технический анализ показал его способность удалять заголовки безопасности браузера и использовать инъекционные атаки через манипулированные элементы интерфейса, демонстрируя эволюционирующую угрозу через скомпрометированные легитимные инструменты.
-----

В значительном инциденте, о котором сообщалось 8 марта 2026 года, ранее законное расширение Chrome, известное как ShotBird, было переработано в канал распространения вредоносного ПО после передачи прав собственности. Зловредная версия расширения занималась различной преступной деятельностью, включая установление соединения с инфраструктурой, контролируемой злоумышленниками, выполнение удаленных задач JavaScript, удаление заголовков безопасности браузера, внедрение ложных обновлений и сбор конфиденциальных данных из форм пользователей.

Трансформация расширения ShotBird происходила с ноября 2024 года по март 2026 года, в течение которого оно получало обновления, которые в конечном итоге привели к злонамеренному поведению. Доказательства указывали на критическое изменение владельца между декабрем 2025 года и началом 2026 года, в результате чего расширение стало использоваться для кибератак. К марту 2026 года (после раскрытия проблемы) листинг расширения был недоступен в Chrome Web Store.

Технический анализ выявил механизм выполнения в два этапа, при котором вредоносное расширение побуждало пользователей загрузить, казалось бы, безобидное обновление, маскирующееся под "googleupdate.exe." Этот файл на самом деле был оберткой, содержащей подлинный установщик Google Chrome и компонент стадии "psfx.msi." Когда он выполнялся на Windows, этот компонент стадии выполнял закодированные команды PowerShell, загружая дополнительные вредоносные нагрузки с домена orangewater00.com с целью расширения своих возможностей, включая потенциальную кражу учетных данных и более широкое компрометирование конечных устройств.

Малварь изображала сложный вектор атаки, который работал внутри браузера, постоянно внедряя вредоносные элементы пользовательского интерфейса на посещенные страницы, чтобы обмануть пользователей, заставив их загрузить вредоносные загрузки. Расширение использовало декларативные правила сетевых запросов для удаления заголовков безопасности, таких как Content-Security-Policy и X-Frame-Options, тем самым увеличивая свою способность бесшовно выполнять инъекционные атаки. Более того, эта атака использовала два различных операционных режима: один, сосредоточенный на загрузке файлов, и другой, позволяющий выполнять команды.

Данные из журналов регистрации блоков сценариев PowerShell на затронутых хостах подтвердили, что заготовленный payload не только выполнял команды, но также занимался перечислением учетных данных и целью данных, хранящихся в браузерах на основе Chromium. Вся инфраструктура была идентифицирована как включающая шаблоны URL-адресов обратного вызова, указывающие на другие известные операции с вредоносным ПО, соответствующие шаблону компрометации законных инструментов после смены владельца.

Инцидент подчеркивает необходимость бдительности при использовании расширений браузера, так как они могут служить начальными точками доступа для более широких атак. Использование злоумышленниками тактик социальной инженерии и обманчивого интерфейса дополнительно подчеркивает тенденцию к использованию легитимных ресурсов с целью совершения злонамеренных действий, что увеличивает ландшафт угроз, связанный с расширениями браузера.

#ParsedReport #CompletenessLow
10-03-2026

OAuth Device Code Phishing: A New Microsoft 365 Account Breach Vector

https://any.run/cybersecurity-blog/oauth-device-code-phishing/

Report completeness: Low

Threats:
Device_code_phishing_technique
Credential_harvesting_technique

Victims:
Technology sector, Education sector, Manufacturing sector, Government and administration sector, Financial sector, Microsoft 365 users

Industry:
Healthcare, Education, Financial, Government

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1114, T1204, T1550.001, T1566

IOCs:
Url: 1
Domain: 13

Soft:
Linux, Android, Microsoft Office

Languages:
javascript