#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GLITTER CARP и SEQUIN CARP, хакерские группировки, связанные с Китаем, атакуют журналистов и активистов с помощью сложных фишинговых кампаний. GLITTER CARP использует имперсонацию по электронной почте для сбора учетных записей, тогда как SEQUIN CARP применяет потоки согласия OAuth для получения постоянного доступа к учетным записям без необходимости использования паролей. Обе группировки демонстрируют операционные недостатки в своих тактиках, что подчеркивает их зависимость от автоматизированных процессов и более широкие последствия для гражданских свобод через целенаправленное цифровое подавление.
-----

В отчете подробно описываются две хакерские группировки, связанные с Китайской Народной Республикой, идентифицированные как GLITTER CARP и SEQUIN CARP, которые занимаются преимущественно цифровой трансграничной репрессией, направленной против журналистов и активистов. GLITTER CARP с апреля 2025 года проводит масштабные кампании фишинга, используя тактики Имперсонации через целевые электронные письма. Эти письма имитируют сообщения от уважаемых лиц и систем безопасности технологических компаний для сбора учетных данных активистов из диаспор уйгуров, тибетцев, тайваньцев и жителей Гонконга, а также международных журналистов. Основной фокус группы заключается в получении первоначального доступа к Учетным записям эл. почты, вероятно, для достижения более широких оперативных целей в рамках фреймворка «Военно-гражданская интеграция», который позволяет частным подрядчикам проводить операции, спонсируемые государством.

Начиная с июня 2025 года SEQUIN CARP инициировала целевые фишинговые кампании, направленные на журналистов, занимающихся расследованиями, связанными с репрессивными действиями Китая. Группа использует социальную инженерию через убедительные нарративы, что позволяет ей использовать существующие медиа-нарративы для создания фишинговых приманок. Одна из заметных тактик включает побуждение целей авторизовать доступ к сторонним приложениям через потоки согласия OAuth, что позволяет злоумышленникам получать постоянный доступ к учетным записям без необходимости в паролях. Использование легитимных запросов OAuth обходит традиционную многофакторную аутентификацию (MFA), что повышает риск, если пользователь непреднамеренно предоставит разрешения.

Обе группы демонстрируют специфические технические поведения, которые раскрывают их операционные характеристики. GLITTER CARP в основном использует сбор учетных записей через поддельные порталы входа, применяя трекерные пиксели для мониторинга взаимодействия с их фишинговыми письмами. Напротив, продвинутые методы SEQUIN CARP включают фишинг с согласия OAuth, что предоставляет им более устойчивый доступ к скомпрометированным учетным записям. Обе группы также проявляют операционные недостатки, особенно в управлении персонами и усилиях социальной инженерии, что указывает либо на автоматизированные процессы атак, либо на ограниченное человеческое наблюдение.

В отчете подчеркиваются последствия этих атак для гражданского общества, с акцентом на то, как цифровая транснациональная репрессия расширяет контроль китайского правительства за пределами его границ, нацеливаясь как на прямых диссидентов, так и на союзников, таких как журналисты. Этот шаблон атак отражает систематические усилия китайского правительства по запугиванию и замалчиванию критических голосов по всему миру. Аутсорсинг киберопераций подрядчикам позволяет достигать более высоких объемов работы при меньших затратах, расширяя масштаб и эффективность этих кампаний цифрового нацеливания. В конечном итоге исследование выявляет масштабы использования Китаем цифровых тактик для укрепления контроля над своим нарративом и подавления инакомыслия, а также присущие этим операциям риски для гражданских свобод.

#ParsedReport #CompletenessMedium
27-04-2026

New Malware SLOTAGENT for BOF Execution, etc.

https://sect.iij.ad.jp/blog/2026/04/slotagent/

Report completeness: Medium

Threats:
Cobalt_strike_tool
Timestomp_technique
Slotagent

Geo:
Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.007, T1041, T1057, T1070.004, T1070.006, T1082, T1083, T1095, have more...

IOCs:
File: 2
IP: 1
Hash: 4

Soft:
Twitter

Algorithms:
sha256, xor, rc4, zip

Win API:
NtCreateFile, NtCreateThreadEx

YARA: Found

Links:
https://github.com/mopisec/research/blob/main/decrypt\_slotagent\_string.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2026 года исследователи выявили SLOTAGENT, многофункциональную Троянскую программу (RAT), содержащуюся в ZIP-архиве, с возможностями выполнения разнообразных команд, таких как создание снимков экрана и запуск удаленной оболочки. Она использует техники криминалистический анализ, такие как time-stomping, и применяет XOR-кодированный shellcode с жестко закодированным C2-сервером для связи, маскируя свою деятельность через API Hashing и шифрование внутренних строк. Сложная функциональность SLOTAGENT согласуется с известными фреймворк пост-эксплуатации, такими как Cobalt Strike.
-----

В начале 2026 года IIJ выявила недавно обнаруженное ВПО под названием SLOTAGENT, найденное в ZIP-архиве, загруженном из Японии в публичный репозиторий вредоносного ПО. Данное ВПО функционирует как многофункциональная Троянская программа (RAT), обладающая возможностью выполнять различные команды, отправляемые злоумышленником. Примечательно, что SLOTAGENT способен выполнять Payloads в формате Beacon Object File (BOF), что сближает его с некоторыми известными фреймворками для пост-эксплуатации, включая Cobalt Strike. Вредоносное ПО также включает механизмы противодействия криминалистическому анализу, такие как time-stomping, для сокрытия своей активности.

SLOTAGENT запускается через шеллкод, закодированный с помощью XOR, который при выполнении декодируется с использованием 16-байтового ключа, расположенного по определенному смещению, а затем загружается рефлексивно. После запуска вредоносное ПО инициирует TCP-коммуникации через собственный протокол с жестко заданным сервером управления (C2), расположенным по адресу 43.156.59.110:699. После установления соединения оно отправляет информацию обратно на сервер C2 в формате JSON, что знаменует начало обмена командами и управлением. Команды, которые может выполнять SLOTAGENT, включают функции для создания скриншотов, загрузки или выгрузки файлов, запуска удаленной оболочки, сбора системной информации, манипулирования файлами и атрибутами, выполнения BOF-пэйлоадов и многое другое.

SLOTAGENT также использует несколько техник для затруднения анализа. Он применяет хеширование API, что позволяет ему динамически разрешать адреса функций Windows API во время выполнения с использованием алгоритма на основе DJB2. Кроме того, большинство внутренних строк, включая имена команд, зашифрованы методом, напоминающим Алгоритм шифрования Tiny (TEA), что ограничивает статический анализ, поскольку строки должны быть расшифрованы во время выполнения. Для содействия эффективному анализу был разработан и опубликован скрипт IDAPython для статической расшифровки этих строк.

Учитывая его сложные возможности и универсальность, SLOTAGENT, как ожидается, будет представлять собой постоянную угрозу в кибероперациях. В контексте его распространения и потенциального использования хеши файлов и соответствующие конечные точки связи были переданы для содействия обнаружению и укреплению защиты от этого ВПО.

#ParsedReport #CompletenessHigh
28-04-2026

VECT: Ransomware by design, Wiper by accident

https://research.checkpoint.com/2026/vect-ransomware-by-design-wiper-by-accident/

Report completeness: High

Actors/Campaigns:
Vect
Teampcp

Threats:
Supply_chain_technique
Lockbit
Windows_locker
Shadow_copies_delete_technique
Wevtutil_tool
Rclone_tool
Restic_tool

Victims:
Software, Virtualization platforms, Cloud storage services, Downstream software consumers

Industry:
Healthcare

Geo:
Ukraine

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 61
Command: 3
Hash: 6

Soft:
ESXi, Linux, Trivy, LiteLLM, Linux ESXi, outlook, firefox, Windows Service, bcdedit, Windows registry, have more...

Wallets:
harmony_wallet

Algorithms:
sha256, xor, poly1305, chacha20, chacha20-poly1305

Functions:
randombytes, getrandom, safe_read, Set-MpPreference

Win API:
RtlGenRandom, NtQueryInformationProcess

Win Services:
VeeamDeploymentSvc

Languages:
powershell

Platforms:
x86, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО VECT 2.0 имеет существенные недостатки в архитектуре, из-за которых оно функционирует скорее как инструмент для уничтожения данных, чем как эффективное шифровальщик, особенно из-за неправильной обработки nonce при шифровании, что приводит к потере данных для файлов размером более 128 КБ. Работая в средах Windows, Linux и VMware ESXi, оно обладает сложным пользовательским интерфейсом для создания полезной нагрузки, но страдает от неэффективного использования процессора и ошибочных методов антианализа. Группа, стоящая за VECT, по-видимому, эксплуатирует уязвимости цепочки поставок для распространения, что указывает на сохраняющуюся угрозу, несмотря на технические недостатки вредоносного ПО.
-----

Шифровальщик VECT 2.0 имеет существенные недостатки в архитектуре, из-за которых он функционирует скорее как инструмент для уничтожения данных, чем как средство для вымогательства.

Он работает на платформах Windows, Linux и VMware ESXi, используя скомпрометированную кодовую базу и шифр ChaCha20-IETF.

Критическая уязвимость в схеме шифрования приводит к потере необходимых nonce для файлов размером более 128 КБ, что вызывает необратимое Уничтожение данных.

Программное обеспечение-вымогатель отбрасывает три из четырёх значений nonce, необходимых для расшифровки больших файлов, что предотвращает восстановление данных как для злоумышленников, так и для жертв.

Интерфейс VECT позволяет аффилированным лицам создавать целевые для платформы полезную нагрузку, но не имеет режимов шифрования с правильной скоростью.

Неэффективное использование процессора и увеличенное время выполнения вызваны выполнением нескольких процессов шифрования.

Оно использует дефектные техники противодействия анализу, которые обнажают его незрелое понимание необходимых мер защиты.

VECT включает возможности перемещения внутри компании через SSH для расширения своего присутствия в сетях.

Группа использует уязвимости в системах цепочки поставок для распространения и сотрудничает с другими для расширения охвата атак.

Несмотря на фасад изощрённости, VECT 2.0 демонстрирует множество технических слабостей, ограничивающих его возможности как программы-вымогателя.

Все-таки нас спалили )))
https://secpost.ru/rejting-ib-kompanij-rossii-2026

#technique

Claude Code Backdoor (PoC)
A Proof of Concept demonstrating how Claude Code (Anthropic's CLI AI agent) hooks can be leveraged for Initial Access and Persistence.

https://github.com/s0ld13rr/claude-code-backdoor

#technique #hardware

Если интересует разбор не софтверных, а железных имплантов, то вотъ

Reverse Engineering a Ledger Nano X Hardware Implant

https://grandideastudio.com/portfolio/security/ledger-hardware-implant/

#ParsedReport #CompletenessMedium
29-04-2026

GachiLoader adopts AI skill lure

https://www.threatdown.com/blog/gachiloader-adopts-ai-skill-lure-from-fake-openclaw-readme-to-rhadamanthys-infostealer/

Report completeness: Medium

Threats:
Gachiloader
Rhadamanthys
Nsis_dropper
Themida_tool

Victims:
Openclaw users, Cryptocurrency users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036, T1055, T1059.001, T1059.007, T1082, T1113, T1204.002, T1497.001, have more...

IOCs:
File: 8
Hash: 9
Coin: 1
Url: 1

Soft:
OpenClaw, Node.js, Electron, Telegram, Outlook, Windows Defender, Hyper-V

Algorithms:
sha256, aes-256-cbc, zip

Functions:
spawn

Win API:
Polygon

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GachiLoader демонстрирует эволюцию киберугроз, используя возможности AI-агентов в качестве вектора атаки, чтобы обманом заставить пользователей загрузить кажущийся безобидным навык OpenClaw, который запускает выполнение Windows-бинарника, доставляющего стиллер Rhadamanthys через безфайловую инъекцию. Это ВПО использует смарт-контракт блокчейна Polygon для динамического разрешения управления и использует однофайловые приложения Node.js и приложение Electron для обеспечения доставки своей полезной нагрузки. Атака разработана для обхода обнаружения программным обеспечением безопасности, нацелена на веб-браузеры, криптокошельки и Менеджеры паролей для эксфильтрации данных.
-----

Анализированная кампания демонстрирует эволюцию тактик киберугроз, в частности, через использование навыков AI-агентов в качестве вектора атаки. В данном случае GachiLoader применяет стратегию социальной инженерии, использующую легитимно выглядящий навык OpenClaw для обмана пользователей с целью заставить их загрузить вредоносный бинарный файл. Этот навык не содержит вредоносного кода, но служит сложной уловкой, чтобы побудить пользователей выполнить бинарный файл Windows, который доставляет стиллер Rhadamanthys через безфайловую инъекцию. Этот полезный нагрузка использует смарт-контракт блокчейна Polygon в качестве резолвера для управления (C2), что отмечает заметный сдвиг в сторону использования децентрализованных технологий для злонамеренной деятельности.

Инфраструктура, поддерживающая эту кампанию, размещена на одноразовом аккаунте GitHub, специально созданном для операции GachiLoader. Этот аккаунт содержит выпуски, использующие Маскировка для имитации легитимных навыков OpenClaw, что придает ложное доверие механизму доставки полезной нагрузки. Две основные ветки обеспечивают эту атаку: однофайловые приложения Node.js (SEAs) и приложение на базе Electron, обе из которых в конечном итоге доставляют одну и ту же вредоносную полезную нагрузку.

Атака начинается с файла README, который представляет убедительную историю о боте Polymarket для прогнозирования погоды, эффективно создавая нарратив, который направляет потенциальных жертв на загрузку вредоносного файла Polymarket.exe. Node.js SEA доставляет обфусцированные бинарные файлы, предназначенные для размещения файла .node в каталоге TEMP, который затем служит загрузчиком для вредоносного ПО Rhadamanthys. Примечательно, что адрес C2 динамически запрашивается через смарт-контракт Polygon, а не захардкожен, что является уникальной особенностью работы GachiLoader.

В отличие от этого, загрузчик Electron использует приложение NullSoft Installer, которое создает иллюзию легитимного процесса установки. Этот компонент работает в директории %TEMP%, вовлекая пользователей в фиктивный мастер установки, одновременно выполняя тактики уклонения от антивирусного ПО. Он выполняет ряд проверок, таких как завершение определенных процессов и изменение настроек Windows Defender для избежания обнаружения. Полезная нагрузка также упакована с помощью Themida, сохраняя методы скрытности, характерные для ее предыдущих вариантов. ВПО в первую очередь нацелено на ряд приложений, включая веб-браузеры, криптокошельки и менеджеры паролей, что повышает его потенциал для эксфильтрации данных.

Эта кампания означает стратегический поворот в методологиях GachiLoader, эффективно превращая навыки AI-агентов в оружие для создания нового вектора первоначального доступа, который текущие меры безопасности с трудом обнаруживают должным образом. По мере роста экосистемы, окружающей AI, расширяется и потенциальный ландшафт угроз, при этом навыки теперь рассматриваются как современная эквивалент фишинговых вложений.

#ParsedReport #CompletenessHigh
29-04-2026

Handala Hack Targets U.S. Troops with Doxxing Threats in Bahrain

https://socradar.io/blog/handala-hack-us-doxxing-troop-bahrain/

Report completeness: High

Actors/Campaigns:
Handala-hacking-team (motivation: hacktivism)
Void_manticore
Irgc
Cyberav3nger

Threats:
Spear-phishing_technique
Process_hollowing_technique
Bibi-wiper
Hatef
Hamsa
Coolwipe
Chillwipe
Handala_wiper

Victims:
Military, Medical device, Law enforcement, Education, Nuclear research, Defense, Bahrain, United states, Israel, Persian gulf, have more...

Industry:
Government, Healthcare, Maritime, Military

Geo:
Iranian, Iran, Palestinian, Bahraini, Israel, Bahrain, Israeli

TTPs:
Tactics: 5
Technics: 9

IOCs:
IP: 4
Url: 1
Hash: 5

Soft:
WhatsApp, Telegram, audacity, Gmail, AutoHotKey, Linux

Algorithms:
sha256, md5

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Handala, иранская хакерская группировка, связанная с MOIS, активизировала операции против военнослужащих США, отправляя угрожающие сообщения в WhatsApp, в которых утверждалось о слежке и нацеливании с помощью ракет. Ранее известная как Void Manticore, Handala использует комбинацию собственного ВПО и социальной инженерии, полагаясь на Телеграм для управления, чтобы скрыть вредоносную деятельность. Их недавние тактики включают персонализированные атаки с использованием данных, полученных через доксинг, что указывает на стратегический сдвиг в сторону операций, направленных на влияние, а не исключительно на военные действия.
-----

Handala, новая киберхакерская группировка, связанная с Министерством разведки Ирана (MOIS), недавно усилила свои операции против военнослужащих США. Группа привлекла внимание СМИ, когда военнослужащие США в Бахрейне получили угрожающие сообщения в WhatsApp, в которых утверждалось, что они находятся под наблюдением и являются целью ракетных и беспилотных ударов. Сообщения, приписываемые Handala, были отправлены с потенциально поддельного местного номера телефона и содержали утверждения о публикации личных данных 2379 морских пехотинцев, дислоцированных в регионе.

Эта кибергруппа появилась в декабре 2023 года на фоне усиления пропалестинского хактивизма после атак ХАМАС в начале того же года. Хотя различные кибербезопасностные компании отслеживали Handala под разными псевдонимами — такими как Void Manticore и Storm-0842 — атрибуция к MOIS указывает на фокус на психологических операциях и сборе разведданных, а не на чисто военных целях. Этот отличительный фактор подчеркивает сдвиг в тактике от операций, обусловленных конфликтом, к операциям, направленным на влияние.

История кибердеятельности Handala включала значительные атаки как на цели в США, так и на израильские объекты. В частности, в марте 2026 года они взяли на себя ответственность за масштабное удаление данных в компании Stryker Corporation, являющейся подрядчиком Министерства обороны США, путем эксплуатации скомпрометированных учетных данных Microsoft Intune без использования традиционного ВПО. Они также получили несанкционированный доступ к личной учетной записи Gmail директора ФБР Каша Пателя, опубликовав электронные письма и назвав это актом возмездия за изъятие их доменов властями США.

Прежде чем переходить к прямым угрозам в отношении военнослужащих США, Handala атаковала израильскую инфраструктуру, включая захват систем оповещения в израильских детских садах и заявления о выводе данных из конфиденциальных объектов, включая Ядерный исследовательский центр Сорека. Их набор инструментов сочетает собственное ВПО и коммерчески доступные средства, эффективно применяя техники социальной инженерии во время конкретных реальных событий.

Их семейство ВПО включает такие варианты, как BiBi Wiper и Hamsa, специально разработанные для деструктивных полезной нагрузки. Для операций управления использует Telegram Bot API, что позволяет скрыть вредоносную активность в рамках обычного сетевого трафика, усложняя усилия по обнаружению.

Недавние действия группы представляют собой значительную угрозу, особенно в контексте перехода к персонализированным атакам против военнослужащих, где используется ранее собранная личная информация для создания психологического давления. Наличие целевых угроз в отношении отдельных военнослужащих свидетельствует о развитых оперативных возможностях и указывает на то, что Handala не следует недооценивать, даже если некоторые из их заявлений преувеличены или не поддаются проверке.

#ParsedReport #CompletenessLow
28-04-2026

C2 in the Ether

https://intelinsights.substack.com/p/c2-in-the-ether

Report completeness: Low

Threats:
Remus
Etherhiding_technique
Lumma_stealer
Dead_drop_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1102.001, T1497

IOCs:
Coin: 6
Url: 2
IP: 1
Domain: 1
File: 1

Soft:
Telegram, Steam, etherscan

Crypto:
ethereum

Functions:
write

Links:
https://github.com/gendigitalinc/ioc/tree/master/Remus

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вариант Remus вредоносного ПО Lumma использует сложную инфраструктуру управления (C2) с техникой, называемой EtherHiding, что позволяет ему динамически получать адреса управления с таких платформ, как GitHub и Телеграм. Был выявлен активный домен управления, связанный с этой инфраструктурой, который использует смарт-контракт DomainStorage для ротации адресов. Анализ подчеркивает сложности в изучении деталей контракта из-за отсутствия проверки исходного кода, что указывает на постоянную адаптивность стратегий управления в Remus.
-----

В статье обсуждается вариант вредоносного ПО Lumma под названием Remus, который известен своей сложной инфраструктурой управления (управление), использующей технику, известную как EtherHiding. Этот метод позволяет вредоносному ПО динамически получать свой реальный адрес управления с таких платформ, как GitHub, Телеграм или Google Docs, вместо того чтобы полагаться на жестко закодированные адреса, что повышает уклонение от обнаружения. Отчет GenDigital указывает, что Remus использует несколько разрешителей мертвых дропов, причем EtherHiding является новым подходом, заменяющим традиционные методы.

Исследование выявило живой домен C2, функционирующий под конкретным IP-адресом хостинга 185.53.179.128, который ранее был отмечен как часть инфраструктуры Remus. Проанализировав транзакции блокчейна Ethereum на etherscan.io, авторы успешно идентифицировали контракт, используемый ВПО, под названием DomainStorage. Этот контракт был создан примерно 61 день назад и претерпел несколько обновлений, что подтверждает текущую активность ротации доменов C2 и указывает на продолжающиеся кампании.

Изучая блокчейн дальше, авторы попытались выполнить pivot на контракте DomainStorage, но столкнулись с трудностями из-за отсутствия верификации исходного кода оператором на Etherscan. В результате они не смогли найти дополнительные контракты с тем же именем или значимые журналы событий, связанные с другими сообщёнными C2-доменами. Это указывает на то, что различные операторы могут по-прежнему использовать Телеграм и Steam для мёртвых точек или применять разные реализации без регистрации событий в блокчейне.

В статье утверждается, что уникальное событие DomainUpdated, связанное с контрактом DomainStorage, обеспечивает надежный механизм обнаружения. Любое изменение в конфигурации C2 требует вызова функции записи, что запускает это событие, создавая таким образом потенциальную точку отслеживания для специалистов по безопасности, позволяющую контролировать изменения адресов C2 по мере адаптации вредоносного ПО. В целом, данный анализ проливает свет на конкретный аспект сложной инфраструктуры Remus и указывает на направления будущих исследований для более глубокого понимания и разработки стратегий обнаружения.

#ParsedReport #CompletenessLow
29-04-2026

Operation Road Trap: Fake toll and parking texts are spreading worldwide

https://www.bitdefender.com/en-us/blog/labs/operation-road-trap

Report completeness: Low

Threats:
Smishing_technique

Victims:
Drivers, Mobile users, Transport services, Parking services, Government services, Financial services

Industry:
Government, Financial, Transport

Geo:
Brazil, New zealand, Colombia, California, French, Brazilian, Spain, Ireland, Australia, India, Canada, Portuguese, Columbia, Ontario, France, Luxembourg, United kingdom, Spanish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1082, T1102.002, T1102.003, T1111, T1204.002, T1412, T1476, T1566.002, have more...

IOCs:
File: 1
Hash: 10

Soft:
Android, Telegram

Algorithms:
md5

Functions:
Download