#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, использующая брендинг DHL, нацелена на пользователей с целью кражи учетных данных посредством двухфазного подхода: первоначального обманным образом составленного электронного письма и поддельного этапа проверки одноразового пароля (OTP). Фишинговый набор инструментов использует цепочку атаки из 11 шагов, применяя JavaScript для генерации шестизначного OTP, а также эксплуатирует EmailJS для бесшовной эксфильтрации данных. Тактика позволяет злоумышленникам собирать конфиденциальную информацию, используя знакомые элементы и доверенный брендинг, несмотря на отсутствие сложного вредоносного программного обеспечения или бэкенд-инфраструктуры.
-----

Недавняя фишинговая кампания, выявленная X-Labs, нацелена на физических лиц и использует брендинг DHL для обмана пользователей и кражи их учетных данных. Атака состоит из двух основных фаз: первоначального приманки и эксплуатации поддельного шага проверки одноразового пароля (OTP), обе из которых призваны создать доверие перед выполнением кражи конфиденциальной информации. Фишинговое письмо имитирует уведомление о доставке от DHL, используя отображаемое имя "DHL EXPRESS", хотя оно отправлено с мошеннического домена cupelva.com. Хотя сообщение может проходить проверки DKIM, что может ввести в заблуждение системы фильтрации, оно в конечном итоге является вредоносным, поскольку аутентифицировано доменом, принадлежащим злоумышленникам.

Фишинговый набор, описываемый как легкий, следует 11-шаговой цепочке атаки. После получения фишингового письма жертвы направляются на поддельную страницу OTP, которая генерирует шестизначный номер с помощью локального JavaScript, способствуя иллюзии легитимности. На этом этапе набор извлекает публичный IP-адрес жертвы через различные сервисы, что помогает злоумышленнику выявлять целевые объекты высокой ценности и отличать реальных пользователей от тех, кто представлен автоматизированными сканерами. Эти данные также могут использоваться для поддержки дальнейших мошеннических действий.

Для облегчения сбора учетных записей злоумышленники используют EmailJS, легитимный сервис, который позволяет осуществлять бесшовную эксфильтрацию данных через браузер без серьезных требований к инфраструктуре. Используя эту тактику, злоумышленники могут сохранять низкий профиль и более эффективно разрабатывать свои фишинговые схемы. В конечном итоге, хотя кампания не использует сложное ВПО или сложные системы бэкенда, она опирается на знакомые элементы, чтобы подтолкнуть жертв к передаче своих учетных данных, не вызывая подозрений.

Сочетание ложного процесса верификации, использования легитимного стороннего сервиса для сбора данных и финального перенаправления на подлинный сайт DHL — это стратегические шаги, направленные на предотвращение немедленного обнаружения. Этот инцидент подчеркивает, что фишинговые атаки могут быть высокоэффективными даже без технической сложности, полагаясь вместо этого на психологическую манипуляцию и узнаваемость бренда для достижения своих целей.

#ParsedReport #CompletenessLow
30-04-2026

Anti-DDoS Firm Heaped Attacks on Brazilian ISPs

https://www.cryptika.com/anti-ddos-firm-heaped-attacks-on-brazilian-isps/

Report completeness: Low

Actors/Campaigns:
Ddos-for-hire

Threats:
Dns_amplification_technique
Mirai

Victims:
Brazilian isps, Small regional providers

Industry:
Financial, Telco, Entertainment, Iot

Geo:
Brazil, Brazilian

CVEs:
CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer_ax21_firmware (<1.1.4)


ChatGPT TTPs:
do not use without manual check
T1059.006, T1190, T1498, T1498.002, T1552.004, T1583.003, T1584.008, T1595.001

IOCs:
Domain: 2

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Значительные DDoS-атаки, направленные на бразильских интернет-провайдеров, связаны с злоумышленником, сохраняющим доступ к Huge Networks и использующим скомпрометированные закрытые SSH-ключи. Актор применяет технику массового сканирования для создания ботнета, нацеленного на небезопасные маршрутизаторы и неуправляемые DNS-серверы, в частности эксплуатируя уязвимость CVE-2023-1389 в маршрутизаторах TP-Link Archer AX21. В атаках задействовано ВПО на базе Mirai, что указывает на сложные атаки, использующие тактику DNS-рефлекса для усиления воздействия, подчеркивая существующие уязвимости и угрозы со стороны инсайдеров в секторе.
-----

Недавние расследования выявили масштабные DDoS-атаки, направленные на бразильских интернет-провайдеров, с доказательствами, указывающими на злоумышленника, сохраняющего постоянный доступ к Huge Networks, провайдеру услуг DDoS-защиты. В открытом архиве вредоносных программ на португальском языке, написанных на Python, были обнаружены закрытые SSH-ключи компании, что предполагает, что потенциальный инсайдер или сложный внешний актор координирует эти атаки.

Методология, применяемая этим актором, строится на создании DDoS-ботнета с использованием подхода массового сканирования, при котором целенаправленно атакуются небезопасные интернет-маршрутизаторы и неуправляемые серверы системы доменных имен (DNS). Эти скомпрометированные системы используются для проведения атак с отражением через DNS, которые заключаются в отправке поддельных DNS-запросов, вызывающих ответы, направляемые на предполагаемую жертву, что эффективно усиливает интенсивность атаки. Такая тактика может генерировать ответы, значительно превышающие по объему исходные запросы, создавая серьезную угрозу для уязвимых сетей.

В частности, сообщается, что ботнет был мобилизован против маршрутизаторов TP-Link Archer AX21, которые всё ещё подвержены уязвимости CVE-2023-1389 — критической уязвимости несанкционированной инъекции команд, не требующей аутентификации, исправленной ранее в апреле 2023 года. Извлечённая история командной строки из вредоносного архива включает сведения о сканировании, координируемом с сервера Digital Ocean, известного злоупотреблениями. Скрипты были специально написаны для атак на диапазоны IP-адресов Бразилии, выполняя атаки на выбранные цели в течение коротких интервалов времени с использованием нескольких параллельных процессов.

Участие вредоносного ПО на базе Mirai подчеркивает сложность этих атак. Mirai, известный своими рекордными DDoS-атаками с 2016 года, был связан с множеством повышенных угроз в киберпространстве, особенно против игровых и интернет-провайдерских организаций. Анализ также выявляет домены, ранее связанные с ботнетами Интернета вещей (IoT), что дополнительно подчеркивает масштаб и сложность операций злоумышленника.

Генеральный директор Huge Networks Эрик Насименто отрицал какое-либо личное участие в организации атак в корыстных целях и назвал спекуляции необоснованными. Он отметил, что атаки были направлены на более мелких региональных провайдеров, которые не входят в клиентскую базу Huge Networks, тем самым опровергая версию о том, что компания могла бы извлечь выгоду из хаоса. Насименто предположил, что существуют доказательства, которые могут указывать на конкурента, тем самым вводя в формирующийся нарратив элемент потенциального корпоративного шпионажа.

В заключение, эти DDoS-атаки, усиленные скомпрометированными инфраструктурами и уязвимостями, подчеркивают непрерывный ландшафт угроз, с которым сталкиваются интернет-провайдеры в Бразилии, усугубленный постоянным риском инсайдерских угроз и межорганизационной конкуренции, которые часто размывают границы между безопасностью и эксплуатацией в области кибербезопасности.

#ParsedReport #CompletenessHigh
29-04-2026

Deep#Door Stealer: Stealthy Python Backdoor and Credential Stealer Leveraging Tunneling, Multi-Layer Persistence, and In-Memory Surveillance Capabilities

https://www.securonix.com/blog/deepdoor-python-backdoor-and-credential-stealer/

Report completeness: High

Threats:
Deepdoor
Credential_stealing_technique
Credential_harvesting_technique
Sandbox_evasion_technique
Process_injection_technique
Credential_dumping_technique
Procmon_tool
Timestomp_technique

Victims:
Windows systems

Industry:
Critical_infrastructure

TTPs:
Tactics: 11
Technics: 30

IOCs:
Domain: 1
Command: 5
File: 6
Hash: 4

Soft:
Windows security, Windows Defender, Microsoft Defender, Windows PowerShell, Windows Firewall, Event Tracing for Windows, Windows kernel, VirtualBox, Hyper-V, Xen, have more...

Algorithms:
xor, base64, sha256

Functions:
Set-MpPreference, _chk_triage, find_bore_port, _find_bore_port, _patch_amsi, _patch_etw, _unhook_ntdll, _clear_cmdline, _stomp_pe_header, _kill_event_log, have more...

Win API:
IsDebuggerPresent, NtQueryInformationProcess, NtCreateFile, GetCommandLineW

Win Services:
EventLog

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Deep#Door — это бэкдор на базе Python, который инициирует атаки через пакетный файл, отключая функции безопасности Windows и извлекая встроенный Python-код, одновременно снижая количество артефактов на диске. Данный бэкдор действует как Троянская программа, предоставляя широкие возможности для наблюдения и используя публичный сервис туннелирования TCP для скрытой связи, что позволяет избегать традиционных методов обнаружения. Его продвинутые техники обфускации и многоуровневое декодирование полезной нагрузки подчеркивают растущий тренд в сторону более скрытных и устойчивых стратегий создания ВПО.
-----

Deep#Door — это сложный бэкдор на базе Python, выявленный группой Securonix Threat Research, который демонстрирует растущий тренд использования обфусцированных скриптов вместо традиционного исполняемого ВПО. Он начинает атаку с помощью начального пакетного файла (install_obf.bat), который отключает функции безопасности Windows и динамически извлекает встроенный Python-пэйлоад (svc.py). Такая архитектура снижает необходимость в отдельных этапах загрузки и минимизирует артефакты на диске, одновременно обеспечивая широкое закрепление с помощью таких методов, как скрипты в папке автозагрузки, ключи реестра Run, запланированные задачи и подписки WMI.

После активации Deep#Door предоставляет злоумышленникам надежный фреймворк Троянской программы (RAT), позволяющий выполнять полный набор команд и осуществлять многоаспектный мониторинг, включая Регистрация нажатий клавиш, доступ к веб-камере и отслеживание буфера обмена. ВПО использует публичный сервис туннелирования TCP bore.pub для обеспечения скрытой связи без раскрытия традиционных серверов управления (C2), тем самым избегая обнаружения.

Архитектура бэкдора включает несколько продвинутых техник обфускации и обхода защиты, направленных на срыв усилий по анализу и обнаружению. Это включает отключение критических средств защиты безопасности с помощью команд PowerShell, изменение настроек реестра и патчинг функций Windows Defender. Реализованы как стратегии обхода защиты до выполнения, так и во время выполнения, чтобы поддерживать секретность и операционную живучесть. Например, ВПО использует многослойный процесс декодирования для своей полезной нагрузки и применяет тактические методы для проверки среды, чтобы отличать настоящие системы от сред анализа.

Во время выполнения Deep#Door также структурирует свой канал связи для обеспечения устойчивости к потенциальным сбоям. ВПО сканирует широкие диапазоны портов для установления соединений с туннелирующим сервисом, применяя аутентификацию по принципу «запрос-ответ» для защиты взаимодействий с инфраструктурой атакующего.

Кроме того, основные функции встроенного Python-импланта (svc.py) создают широкую поверхность атаки, включая возможности для сбора учетных записей, обширные возможности удаленного управления и даже деструктивные действия, направленные на нарушение работы системы. Эта комбинация шпионажа и целенаправленного срыва работы подчеркивает его надежность как универсальной угрозы для длительных оперативных кампаний, отражая эволюцию ландшафта киберугроз, которые объединяют скриптовые фреймворки со скрытностью и устойчивостью к обнаружению.

В конечном итоге, Deep#Door представляет собой сдвиг в сторону более гибких, устойчивых и незаметных стратегий ВПО, использующих встроенные скриптовые техники для эксплуатации уязвимостей системы и маскировки вредоносной активности под нормальное поведение системы.

#ParsedReport #CompletenessHigh
30-04-2026

1. IOCONTROL (CyberAv3ngers) - High Confidence

https://krypt3ia.wordpress.com/2026/04/30/threat-intelligence-report-irgc-affiliated-ot-iot-malware-evolution/

Report completeness: High

Actors/Campaigns:
Cyberav3nger (motivation: cyber_espionage, sabotage)
Irgc
Apt33
Blackshadow
Cyber_av3ngers

Threats:
Iocontrol
Zionsiphon
Tickler
Credential_harvesting_technique

Victims:
Critical infrastructure, Fuel management systems, Water utilities, Defense, Energy, Telecommunications

Industry:
Energy, Telco, Ics, Iot, Critical_infrastructure, Petroleum

Geo:
Iran, Israel, Iranian, Israeli

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.002, T1037.004, T1046, T1059.004, T1070.004, T1071.005, T1082, T1140, T1485, T1491, have more...

IOCs:
File: 2
Hash: 5
Domain: 2
IP: 4

Soft:
Linux, Gasboy, Orpak, RabbitMQ

Algorithms:
sha1, aes-256-cbc, sha256, md5

Platforms:
mips, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
IOCONTROL, бэкдор для Linux ARM, связанный с группой CyberAv3ngers, связанной с Корпусом стражей исламской революции (IRGC) Ирана, расширяет операционные возможности в средах OT, обеспечивая постоянное управление и используя MQTT для command-and-control. Он позволяет профилировать устройства, выполнять команды и проводить внутреннее сканирование, особенно в системах управления топливом, что повышает риски для гражданской критической инфраструктуры. В отличие от этого, ZionSiphon оценивается как угроза более низкого уровня, нацеленная на водный сектор, но не имеющая функциональности, способной создать значительный киберфизический риск.
-----

IOCONTROL — это кастомный бэкдор для Linux ARM, связанный с группой CyberAv3ngers, связанной с Корпусом стражей исламской революции (IRGC) Ирана.

Бэкдор расширяет операционные возможности, обеспечивая постоянное подключение и зашифрованные конфигурации с использованием алгоритмов класса AES.

Он использует управление на основе MQTT (C2), что позволяет эффективно масштабировать и координировать действия по различным целям.

IOCONTROL задокументирован в реальных средах, особенно в системах управления топливом, что указывает на его потенциал для проникновения в гражданскую критическую инфраструктуру.

CyberAv3ngers эволюционировала от вандализма на программируемых логических контроллерах (ПЛК) к использованию сложного ВПО для обеспечения постоянного доступа на устройства OT-adjacent на базе Linux, такие как топливные контроллеры и маршрутизаторы.

ВПО может выполнять произвольные команды, выполнять внутреннее сканирование и имеет функциональность самоуничтожения на встроенных OT/IoT-системах.

Хотя CyberAv3ngers представляет собой значительную угрозу для секторов, зависящих от систем OT/IoT, они пока не продемонстрировали способности напрямую манипулировать логикой ПЛК.

Еще одно ВПО, ZionSiphon, связано с аналогичными темами, но оценивается как имеющее низкий или умеренный уровень угрозы, не обладая функциональными возможностями связи с АСУ ТП.

ZionSiphon нацелен на объекты водного сектора, но в основном рассматривается как демонстрация концепции, а не как значимая киберфизическая угроза.

Другие кластеры IRGC, такие как APT33, используют фишинг и пользовательские бэкдоры для тактик, ориентированных на ИТ, в критических секторах, таких как энергетика и телекоммуникации.

Ландшафт иранских кибервозможностей делится на корпоративный шпионаж, деструктивные операции и принудительные действия в области OT/IoT.

Меры обнаружения должны быть сосредоточены на необычном трафике MQTT от устройств АСУ ТП, сканирующем поведении и неожиданных инициализационных скриптах как индикаторах развертывания IOCONTROL.

#ParsedReport #CompletenessMedium
29-04-2026

Manlinghua group using NUITKA packaged python samples for delivery

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247508516&idx=1&sn=a869f67294b5777615ad597c3730105e&chksm=f9c1912dceb6183b4f7f359de87814c613d58b671245307a99857eb03847a0860743516e7fae&scene=178&cur_album_id=1955835290309230595&search_click_id=#rd

Report completeness: Medium

Actors/Campaigns:
Bitter

Threats:
Steganography_technique
Remcos_rat

Victims:
Government, Military industry, National defense, Universities, Foreign related institutions, South asia, Pakistan, Bangladesh

Industry:
Military, Government, Education

Geo:
Asian, Bangladesh, Pakistan, Asia

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1027.002, T1033, T1041, T1059.003, T1059.006, T1082, T1083, T1105, have more...

IOCs:
Hash: 8
File: 9
IP: 3
Url: 13
Domain: 1

Soft:
NUITKA

Algorithms:
aes, rc4, md5

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 17, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-08, также известный как Manlinghua или BITTER, — это стойкий злоумышленник, нацеленный на государственные, военные и академические секторы Южной Азии с использованием ВПО на Python, упакованного в NUITKA. Его основной метод заключается в доставке вредоносных исполняемых файлов, которые выполняют инструкции командной строки, загружают бэкдоры и используют Стеганографию для эксфильтрации данных. Недавние образцы указывают на использование Python 3.12 и демонстрируют возможности удаленного выполнения команд, сбора системной информации и поддержания связи с серверами управления.
-----

Группа APT-C-08, также известная как Manlinghua или BITTER, — это сложный целенаправленный актор, известный своими обширными возможностями кибератак как минимум с 2013 года. Эта группа в первую очередь нацелена на государственные учреждения, военные сектора, университеты и организации, связанные с иностранными государствами, в Южной Азии, представляя собой постоянную угрозу для региональной кибербезопасности.

Недавние исследования 360 Security Brain показали, что Manlinghua использует образцы Python, упакованные с помощью NUITKA, для доставки атак — как напрямую, так и через CHM-файлы, которые загружают эти образцы. Основной полезной нагрузкой является скрипт Python, упакованный в исполняемый файл, который затем загружает различные компоненты бэкдора. Эти бэкдоры предназначены для выполнения командных инструкций удаленно, что позволяет злоумышленникам собирать информацию о системе, загружать дополнительные вредоносные полезной нагрузки и выполнять стеганографические операции.

Анализ захваченных вредоносных образцов показывает, что используется версия Python 3.12, при этом компоненты извлекаются во временную папку на скомпрометированных системах. Распакованный образец предназначен для подключения к серверу управления (C2) и ожидает команд для выполнения. Это включает получение команд на установку необходимых инструментов, таких как среда выполнения Python, а также проведение действий, таких как сканирование устройств хранения на наличие конфиденциальных данных перед синхронизацией этой информации с C2.

Взаимодействие с сервером C2 включает передачу системных сведений, включая имена пользователей и версии системы, а полезная нагрузка поддерживает асинхронные операции для обеспечения загрузки файлов на основе приоритета задач, установленного сервером C2. Конфигурация образца интегрирует стеганографические техники для мониторинга устройств хранения, обеспечивая периодическую передачу данных на сервер, контролируемый злоумышленником.

Среди инструментов, используемых в этой кампании, находится компонент удаленного управления Remcos, что соответствует прошлым методологиям нацеливания, применяемым группировкой против таких регионов, как Пакистан. Структура команд и процессы выполнения напрямую связаны с ранее задокументированными кампаниями, что подтверждает атрибуцию к APT-C-08. Общие операционные паттерны указывают на устойчивую и развивающуюся приверженность кибероперациям против конкретных геополитических целей в Южной Азии, подчеркивая их высокий уровень угрозы в ландшафте угроз.

#ParsedReport #CompletenessLow
29-04-2026

Increase in Email Bombing and IT Impersonation Campaigns

https://www.esentire.com/security-advisories/increase-in-email-bombing-and-it-impersonation-campaigns

Report completeness: Low

Actors/Campaigns:
0ktapus
Payouts_king
Unc6692

Threats:
Email_bombing_technique
Microsoft_quick_assist_tool
Anydesk_tool
Rclone_tool
Megasync_tool

ChatGPT TTPs:
do not use without manual check
T1105, T1219, T1566.003, T1583.001, T1656, T1660

IOCs:
File: 1
Email: 1

Soft:
Microsoft Teams, WinSCP, Office 365, Windows Security

Algorithms:
zip

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С начала 2026 года наблюдается рост фишинговых атак с использованием Microsoft Teams, при этом злоумышленники имитируют службу технической поддержки для получения удаленного доступа к устройствам. Такие группы, как Scattered Spider и UNC6692, применяют email-бомбардировку и прямое взаимодействие, используя инструменты вроде Quick Assist для первоначального доступа, за которыми следуют эксфильтрация данных и развертывание ВПО через утилиты, такие как WinSCP. Эти организованные атаки все чаще включают реалистичные псевдонимы и одноразовые домены, что указывает на скоординированные усилия с высокой эффективностью в обмане пользователей.
-----

С начала 2026 года атаки фишинга на основе Microsoft Teams резко увеличились, в основном с участием злоумышленников, выдающих себя за команды IT Support и Helpdesk, чтобы обманом заставить пользователей предоставить удаленный доступ к своим устройствам. Эти атаки часто начинаются с email bombing, за которым следует прямое взаимодействие с пользователями под предлогом оказания помощи. Общая цель — получить удаленный доступ, что позволяет злоумышленникам похищать конфиденциальные данные и развертывать дополнительное ВПО, включая ransomware, для закрепления в скомпрометированных системах.

Наблюдаемые техники атак включают злоупотребление совместными платформами, такими как Microsoft Teams, для имперсонации легитимных сотрудников ИТ. Известные группы, такие как Scattered Spider, Payouts King и UNC6692, применяли аналогичные тактики. Первоначальный доступ обычно достигается за счет того, что пользователей обманом заставляют разрешить доступ через инструменты удаленного мониторинга и управления (RMM), такие как Quick Assist или AnyDesk. Получив доступ, злоумышленники часто развертывают утилиты передачи файлов, такие как WinSCP, для эксфильтрации данных или внедрения вредоносных загрузок, например, через ZIP-архив, который запускает вредоносные Java-приложения.

Инфраструктура, поддерживающая эти атаки, демонстрирует высокий уровень организованности, при этом угрозы исходят от так называемых провайдеров пуленепробиваемого хостинга. Эти атаки отличаются использованием как недавно созданных доменов .onmicrosoft.com с названиями, ориентированными на ИТ-специалистов, так и одноразовых доменов, используемых для оперативного фишинга. В заметном сдвиге злоумышленники начали использовать реалистичные персонажи, связанные с их фишинговыми попытками, отказываясь от общих названий учетных записей, основанных на ролях, что повышает достоверность их сообщений.

Недавние наблюдения указывают на значительный рост инцидентов, связанных с эксфильтрацией данных с помощью тактик Имперсонация. Анализ eSentire выявляет не только методы проникновения, но и устойчивые шаблоны в злонамеренных сообщениях Teams, что указывает на скоординированные усилия, а не на изолированные инциденты. Учитывая обнаруженную эскалацию и 72-процентный уровень успешности этих фишинговых стратегий, ожидания относительно продолжения широкого распространения атак с использованием email-бомбардировок и атак с использованием Имперсонация в сфере ИТ высоки на оставшуюся часть 2026 года. Организациям настоятельно рекомендуется внедрять строгие меры, такие как ограничение внешней коммуникации через инструменты совместной работы и повышение осведомленности пользователей для защиты от этих сложных угроз.

#ParsedReport #CompletenessHigh
30-04-2026

Inside Shadow-Earth-053: A China-Aligned Cyberespionage Campaign Against Government and Defense Sectors in Asia

https://www.trendmicro.com/en_us/research/26/d/inside-shadow-earth-053.html

Report completeness: High

Actors/Campaigns:
Earth_alux
Cl-sta-0049
Winnti
Hafnium

Threats:
Dll_sideloading_technique
Proxylogon_exploit
Godzilla_webshell
Shadowpad
Anydesk_tool
Nood_rat
React2shell_vuln
Nltest_tool
Powerview_tool
Iox_tool
Passthehash_technique
Wstunnel_tool
Ringq_tool
Smbexec_tool
Mimikatz_tool
Lsadump_tool
Dcsync_technique
Vshell
Squidoor
Vargeit
Finaldraft
Supply_chain_technique

Industry:
Government, Telco, Critical_infrastructure, Transport

Geo:
Thailand, Sri lanka, Brazil, China, Asia, Malaysia, Myanmar, Asian, India, Poland, Taiwan, Pakistan, Chinese, Latin america

CVEs:
CVE-2021-27065 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2021-26858 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)

CVE-2021-26857 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 43
IP: 4
Coin: 1
Domain: 2
Hash: 4

Soft:
Microsoft Exchange, Microsoft Exchange Server, Linux, Active Directory, MySQL, MS SQL, Windows Registry

Algorithms:
sha256, exhibit

Functions:
Get-DomainUser, Get-Mailbox, Get-User

Win API:
GetComputerNameA, VirtualAlloc, EnumDesktopsA

Languages:
powershell

Links:
https://github.com/EddieIvan01/iox/
https://github.com/checkymander/Sharp-SMBExec/
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1