#ParsedReport #CompletenessLow
06-05-2026

Turbulence Ahead: Cyber Threats Targeting Aviation and Aerospace in 2026

https://blog.polyswarm.io/turbulence-ahead-cyber-threats-targeting-aviation-and-aerospace-in-2026

Report completeness: Low

Actors/Campaigns:
0ktapus
Apt33
Winnti
Fancy_bear (motivation: cyber_espionage)

Threats:
Qilin_ransomware
Lockbit
Clop
Darkrace
Supply_chain_technique
Sim_swapping_technique

Victims:
Airports, Airlines, Aerospace suppliers, Aerospace manufacturers, Ground handlers, Maintenance providers, Reservation platforms, Aviation it vendors

Industry:
E-commerce, Aerospace, Military, Energy, Government

Geo:
Berlin

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1486, T1656

IOCs:
Hash: 90

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сектор авиации и аэрокосмической отрасли сталкивается с повышенными киберугрозами, включая программы-вымогатели от группировок Qilin и LockBit, атаки на основе идентификации со стороны Scattered Spider и шпионаж со стороны Refined Kitten. Уязвимости возникают из-за зависимости от общих ИТ-систем, что может привести к системным сбоям, как это произошло в инциденте с Collins Aerospace в 2025 году. Кроме того, злоумышленники эксплуатируют существующие слабости в операционных технологиях и уязвимости Глобальной навигационной спутниковой системы (GNSS), что вызывает опасения как по поводу немедленных сбоев, так и долгосрочных операционных последствий.
-----

Авиационная и аэрокосмическая отрасль сталкивается с киберугрозами, в основном исходящими от программ-вымогателей, вторжений на основе идентификации и сбоев на уровне платформ. Значительный инцидент с программой-вымогателем в 2025 году затронул Collins Aerospace и затронул системы обработки пассажиров, вызвав хаос в крупных европейских аэропортах. Группы программ-вымогателей, такие как Qilin, получили доступ к конфиденциальным данным в международном аэропорту Талсы в январе 2026 года и опубликовали их в интернете. LockBit использует модель, основанную на аффилиатах, которая нацелена на критических поставщиков, влияя на работу авиакомпаний-потребителей. Тактики вторжения на основе идентификации со стороны групп, таких как Scattered Spider, включают передовую социальную инженерию и манипуляцию MFA для несанкционированного доступа. Refine

#ParsedReport #CompletenessMedium
06-05-2026

MicroStealer

https://any.run/malware-trends/microstealer/

Report completeness: Medium

Threats:
Microstealer
Donut_loader
Donut
Godfather
Grandoreiro
Btmob_rat
Asyncrat
Ssload
Discord-c2
Bec_technique
Supply_chain_technique
Typosquatting_technique
Credential_harvesting_technique

Victims:
Businesses, Organizations, Education, Telecommunications, Banking, Cryptocurrency, Gaming, Windows endpoints, Android endpoints, Spanish speaking countries, have more...

Industry:
Entertainment, E-commerce, Telco, Education, Financial

Geo:
Germany, Brazil, Latin american, Spain, Mexico, Peru

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1055, T1059.007, T1082, T1113, T1204.002, T1497.001, T1539, have more...

IOCs:
File: 8
Path: 1

Soft:
Discord, Android, lectron →, Electron, NSIS installer, Node.js, Chromium, Steam

Functions:
spawn

Languages:
java

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, table: 1, chats: 3, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MicroStealer, выявленный в конце 2025 года, представляет собой продвинутый стиллер, нацеленный на сбор конфиденциальных данных, таких как учетные данные браузеров и информация о криптовалютах. Его сложный механизм доставки включает NSIS-установщики, Electron-приложения и Java-пакеты, что усложняет обнаружение. Он использует двухканальную эксфильтрацию через вебхуки Discord и серверы, контролируемые злоумышленниками, применяет сложные методы обфускации и антианализа, и в основном затрагивает пользователей в США и Германии, используя социальную инженерию и загрузку вредоносных приложений для распространения.
-----

MicroStealer — это сложное ВПО-стиллер, впервые выявленное в конце 2025 года, которое нацелено на конфиденциальную информацию, такую как учетные данные браузеров, сеансовые файлы cookie, данные криптокошельков и скриншоты рабочего стола. Механизм доставки использует многоэтапную цепочку, включающую NSIS-установщики, Electron-приложения и Java-загрузчики, что затрудняет обнаружение с помощью традиционных методов. Примечательно, что оно применяет методы эксфильтрации по двум каналам — как через вебхуки Discord, так и через серверы, контролируемые злоумышленниками, — чтобы обеспечить отправку данных даже в случае компрометации одного из каналов.

Стратегии обфускации вредоносного ПО включают использование сжатия LZ-String UTF-16 и применение методов противодействия анализу, при которых проверяется наличие виртуальных машин перед выполнением. Такие функции позволяют MicroStealer маскировать вредоносную активность под легитимный трафик, обеспечивая постоянное доступ и позволяя злоумышленникам контролировать скомпрометированные учетные записи для более широких атак, таких как компрометация бизнес-электронной почты (BEC).

MicroStealer не является изолированной угрозой; он функционирует аналогично другим распространенным вредоносным программам, таким как Godfather, Grandoreiro и BTMOB RAT, которые обладают специфическими функциями, такими как банковское мошенничество, удаленный доступ и кража данных. Другие вредоносные программы, такие как DonutLoader и SSLoad, действуют как загрузчики для доставки вредоносных полезной нагрузки, избегая при этом обнаружения. Фокус этих инструментов подчеркивает сложную экосистему, где ВПО как услуга (MaaS) становится все более доступной, позволяя злоумышленникам легко настраивать атаки.

С точки зрения целевой victimology, MicroStealer преимущественно атакует пользователей в Соединенных Штатах и Германии, особенно в секторах образования и телекоммуникаций. Его быстрое распространение обусловлено тактиками социальной инженерии, фишингом и распространением вредоносных загрузок под видом легитимных приложений, особенно тех, что связаны с играми.

Организациям необходимо проактивно усиливать свою защиту от MicroStealer с помощью инструментов разведки угроз, систем поведенческого обнаружения и обучения пользователей методам социальной инженерии. Комбинация индикаторов компрометации (IOCs) в реальном времени, непрерывного мониторинга каналов эксфильтрации и строгих практик безопасности приложений имеет решающее значение для снижения рисков, связанных с этой развивающейся угрозой. Требование немедленной видимости и действий в отношении такого ВПО является императивным для предотвращения эскалации кражи учетных данных в атаки более крупного масштаба.

#ParsedReport #CompletenessHigh
06-05-2026

InstallFix and Claude Code: How Fake Install Pages Lead to Real Compromise

https://www.trendmicro.com/en_us/research/26/e/installfix-and-claude-code.html

Report completeness: High

Threats:
Installfix_technique
Amsi_bypass_technique
Clickfix_technique
Polyglot_ransomware
Redline_stealer

Victims:
Government, Electronics, Education, Food and beverage, Americas, Asia pacific, Middle east and africa, Europe

Industry:
Foodtech, E-commerce, Education, Government

Geo:
Malaysia, Asia pacific, Thailand, Africa, Middle east, Netherlands, Americas

TTPs:
Tactics: 3
Technics: 8

IOCs:
File: 8
Domain: 3
Url: 1
Hash: 4
IP: 3

Soft:
Claude, Anthropic, MacOS, Component Object Model

Algorithms:
base64, md5, rc4, zip, sha256, sha1, exhibit, xor

Functions:
DisplayEmailGnu, GetBiosDebian, COM

Languages:
powershell, cscript

#ParsedReport #ExtractedSchema

Classified images:
windows: 16, chats: 1, code: 9, schema: 1, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания InstallFix использует социальную инженерию для распространения ВПО, замаскированного под установки Claude AI, преимущественно через поддельные страницы установщиков, оптимизированные через Google Ads. Она использует `mshta.exe` для запуска зашифрованных скриптов и доставки безфайловых полезной нагрузки, а также обходит методы обнаружения, такие как AMSI и проверка SSL-сертификатов. ВПО реализует закрепление через запланированные задачи, эксплуатирует свою обманчивую структуру файлов и адаптирует свое выполнение для получения дополнительных полезной нагрузки, представляя значительные угрозы для нескольких отраслей.
-----

Кампания InstallFix использует обманные стратегии для распространения вредоносного программного обеспечения, замаскированного под легитимные установки ИИ-ассистента Claude от Anthropic, эксплуатируя тактики социальной инженерии и нацеливаясь на множество отраслей по всему миру. Эта операция преимущественно использует поддельные страницы установщиков, оптимизированные через Google Ads, чтобы заманить пользователей на выполнение вредоносных команд PowerShell. Вредоносное программное обеспечение предназначено для сбора системной информации, отключения мер безопасности, создания механизмов закрепления и установления соединений с серверами управления (C&C) для продолжения злонамеренной деятельности.

Атака начинается, когда пользователи, ищущие Claude AI, сталкиваются со спонсируемыми объявлениями, которые перенаправляют их на поддельные страницы установки. Злоумышленники используют реалистичные инструкции, специфичные для операционной системы, чтобы заставить пользователей выполнить команду, запускающую многоступенчатый процесс заражения. В основе этого процесса лежит misuse `mshta.exe` для запуска зашифрованных скриптов и доставки безфайловых полезной нагрузки. ВПО реализует сложные тактики уклонения, включая обход интерфейса сканирования антивирусного программного обеспечения (AMSI) и отключение проверки сертификатов SSL, что усложняет усилия по обнаружению. Данные об этой кампании указывают на то, что телеметрия выявила создание запланированных задач как способ ВПО для закрепления на зараженных системах.

Процесс установки использует убедительную структуру файлов. Полезная нагрузка, обозначаемая как `claude.msixbundle`, представлена в виде действительного ZIP-архива, скрывающего вредоносное содержимое HTA, которое `mshta.exe` выполняет напрямую. Эта техника, использующая структуры двойного формата, особенно эффективна для обхода средств защиты. Наблюдаемые команды во время цепочки заражения выявляют адаптивную стратегию выполнения ВПО, включая динамическую реконструкцию команд PowerShell для выполнения зашифрованного шеллкода и получения дополнительных полез

Индикаторы компрометации (IoCs), связанные с кампанией, указывают на обширную сетевую активность, включая исходящие подключения, обмен данными с внешними серверами и постоянные запланированные задачи на зараженных машинах, которые позволяют ВПО повторно выполняться после перезагрузок или выходов из системы. Кампания InstallFix подчеркивает тревожную тенденцию, при которой злоумышленники все чаще используют популярные технологические инструменты для запуска сложных атак. Полагаясь на социальную инженерию, как свидетельствует использование Google Ads для распространения, атакующие искусно обходят осторожность пользователей и средства защиты, что приводит к потенциально серьезным компрометациям в различных секторах, таких как государственное управление, образование и пищевая промышленность.

Организации должны повысить осведомленность о рисках, связанных с установкой программного обеспечения из незнакомых источников, внедрить системы мониторинга аномального поведения процессов и сети, а также приоритизировать многослойные стратегии безопасности для противодействия сложным угрозам, таким как InstallFix.

#ParsedReport #CompletenessHigh
06-05-2026

Muddying the Tracks: The State-Sponsored Shadow Behind Chaos Ransomware

https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_criminal, cyber_espionage)
Olalampo

Threats:
Chaos_ransomware
Credential_harvesting_technique
Dwagent_tool
Blacksuit_ransomware
Anydesk_tool
Stagecomp
Darkcomp
Qilin_ransomware
Dw_service_tool
Spear-phishing_technique
Process_injection_technique
Bpfdoor

Victims:
Construction, Manufacturing, Business services, United states, Middle east and north africa, Israel

Industry:
Telco

Geo:
Chinese, Israeli, Africa, Middle east, Mena, Iranian

TTPs:
Tactics: 5
Technics: 24

IOCs:
File: 13
Url: 2
Domain: 4
Command: 1
IP: 4
Hash: 12

Soft:
Microsoft Teams, curl, Hyper-V

Algorithms:
md5, aes-256-gcm, xor, sha256, base64

Functions:
GetDriveTypesA

Win API:
LoadLibraryA, GetProcAddress, GetLogicalDrives, GetTickCount, CreateMutexA, CreatePipe, CreateProcessA, GetComputerNameA, GetUserNameA, NetWkstaGetInfo, have more...

Languages:
php, powershell, python

Platforms:
x64, intel

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2026 года киберинцидент, первоначально принятый за атаку с использованием программы-вымогателя Chaos, был идентифицирован как операция, спонсируемая государством и связанная с иранской APT-группировкой MuddyWater. Злоумышленники применяли социальную инженерию через Microsoft Teams для получения учетных данных пользователей и использовали ПО для удаленного доступа, в частности DWAgent, вместо традиционных методов работы программ-вымогателей, стремясь к долгосрочному закреплению и эксфильтрации данных. Ключевые исполняемые файлы, ms_upd.exe и Game.exe, служили загрузчиком и Троянской программой соответственно, при этом операция демонстрировала сочетание шпионских мотивов и передовых тактик киберпреступников, что усложняло усилия по атрибуции.
-----

Киберинцидент в начале 2026 года изначально считался атакой с использованием вымогательского ПО Chaos, но позже был связан с операцией, спонсируемой государством.

Инцидент продемонстрировал характеристики операции под ложным флагом с использованием тактик и инфраструктуры группы Chaos RaaS.

Криминалистический анализ связал атаку с MuddyWater (Seedworm), иранской APT, связанной с Министерством разведки и безопасности (MOIS).

Атака началась с социальной инженерии через Microsoft Teams, с использованием интерактивного обмена экраном для получения учетных данных пользователя и манипуляции с Многофакторной аутентификацией (MFA).

Атакующие сосредоточились на долгосрочном закреплении в системе, а не на шифровании данных, используя такие инструменты, как DWAgent, для эксфильтрации данных, что указывает на шпионские мотивы.

Тактики социального инжиниринга включали фишинг и вишинг, позволяя получать удалённый доступ с помощью таких инструментов, как Microsoft Quick Assist.

Атакующие получили доступ к внутренним системам с использованием существующих учетных записей, применяя RDP и ПО для удаленного доступа для закрепления и выполнения дальнейших операций.

Анализ вредоносного ПО выявил два основных исполняемых файла: ms_upd.exe, который действовал как загрузчик и подключался к серверу управления (C2), и Game.exe — троянская программа (RAT).

ms_upd.exe не имел шифрования кода и предназначался для одноразового развертывания; Game.exe маскировался под легитимное приложение и применял тактики уклонения.

Операция использовала общий сертификат подписи исполняемого кода, связанный с MuddyWater, что указывает на предварительную разведку против израильских и западных целей.

Этот инцидент продемонстрировал смешение государственных операций с методами киберпреступников, что усложняет усилия по атрибуции и реагированию.

Командам в области кибербезопасности рекомендуется внедрить комплексные механизмы обнаружения и охватить полный жизненный цикл вторжения, выходя за рамки традиционных индикаторов программ-вымогателей.

Эта активность указывает на гибридную модель вторжения, в которой техники вымогательского ПО способствуют шпионажу, а не финансовым мотивам, что отражает эволюцию ландшафта угроз.

#ParsedReport #CompletenessMedium
06-05-2026

Quasar Linux (QLNX) – A Silent Foothold in the Supply Chain: Inside a Full-Featured Linux RAT With Rootkit, PAM Backdoor, Credential Harvesting Capabilities

https://www.trendmicro.com/en_us/research/26/e/quasar-linux-qlnx-a-silent-foothold-in-the-software-supply-chain.html

Report completeness: Medium

Threats:
Supply_chain_technique
Credential_harvesting_technique
Quasar_rat
Inline_hooking_technique
Ghostpenguin
Pkexec_tool
Process_injection_technique
Timestomp_technique

Victims:
Developers, Devops, Software supply chain, Package maintainers, Open source package ecosystems, Cloud environments, Ci cd pipelines

Industry:
Software_development

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 3
Hash: 7

Soft:
Linux, inux RA, inux (Q, Kubernetes, Docker, systemd, crontab, Chrome, Chromium, Firefox, MySQL, have more...

Algorithms:
base64, sha1, sha256, xor, md5

Functions:
getuid, uname

Win API:
pie

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Quasar Linux (QLNX) — это сложная Троянская программа для удаленного доступа (RAT) для Linux, предназначенная для скрытности в цепочках поставок программного обеспечения, использующая руткит и бэкдор PAM для масштабного сбора учетных записей, особенно нацеленная на разработчиков и специалистов DevOps. Она применяет динамическую компиляцию на зараженных хостах, обеспечивая скрытность за счет загрузки вредоносных модулей в каждый процесс и внедряя передовые техники уклонения, такие как двухуровневая архитектура руткита и стратегии выполнения без файлов. Кроме того, QLNX может использовать собранные учетные данные для перемещения внутри компании и поддерживает закрепление через различные механизмы, представляя значительные риски для приложений и инфраструктуры в интегрированных средах.
-----

Quasar Linux (QLNX) — это сложная Троянская программа для Linux, специально разработанная для скрытных операций в цепочках поставок программного обеспечения с использованием таких продвинутых функций, как руткит, бэкдор PAM и широкие возможности сбора учетных записей. Она использует динамическую компиляцию вредоносных модулей непосредственно на зараженном хосте, применяя gcc для компиляции встроенного исходного кода на C для своего руткита и бэкдора PAM. Эти модули развертываются через механизм /etc/ld.so.preload, что гарантирует их загрузку в каждый динамически связанный процесс, обеспечивая перехват на уровне всей системы.

Вредоносное ПО специально адаптировано для атак на учетные данные разработчиков и DevOps, извлекая конфиденциальную информацию из файлов, критически важных для облачных и программных разработок. Оно может собирать секреты из файлов, таких как .npmrc (токены NPM), .pypirc (учетные данные PyPI), .git-credentials и различных облачных учетных данных, что позволяет ему потенциально загружать вредоносные пакеты или получать доступ к производственным средам без обнаружения.

QLNX имеет двухуровневую архитектуру руткита, которая использует хуки LD_PRELOAD в пространстве пользователя вместе с картами eBPF на уровне ядра для маскировки своего присутствия. Эта архитектура позволяет ему скрывать процессы, файлы и сетевую активность от стандартных инструментов мониторинга. Кроме того, он включает в себя кейлоггер, мониторинг буфера обмена и возможности создания скриншотов, что обеспечивает обширный надзор за зараженными системами.

Процесс сбора учетных записей является масштабным, поскольку QLNX использует вредоносный модуль PAM, способный перехватывать пароли в открытом виде во время процессов аутентификации. Он сохраняет захваченные учетные данные в скрытых лог-файлах, используя жестко закодированный мастер-пароль и XOR-шифрование для дополнительной защиты от обнаружения. Использование одноранговой сетевой топологии между скомпрометированными машинами повышает устойчивость ВПО, усложняя усилия по его уничтожению.

QLNX может выполнять команды, управляющие файловыми операциями, устанавливающие удаленные соединения и обеспечивающие перемещение внутри компании по сетям через SSH с использованием похищенных учетных данных. Он поддерживает различные механизмы закрепления, включая службы systemd, записи в crontab и файлы рабочего стола, что обеспечивает его активное присутствие даже после перезагрузки системы.

В частности, ВПО использует инновационную стратегию выполнения без файлов, при которой оно самокопируется в память и выполняется оттуда, практически не оставляя следов на диске. Быстро удаляя свой исходный бинарный файл и непрерывно пытаясь связаться с серверами управления (C&C), QLNX поддерживает надежные возможности скрытности и постоянный доступ к скомпрометированным системам.

Сочетание этих функций делает QLNX значительной угрозой для цепочек поставок программного обеспечения, где одна скомпрометированная рабочая станция разработчика может привести к каскадным нарушениям безопасности в интегрированных средах, фактически компрометируя не только приложения, но и базовую инфраструктуру, на которой они работают.

#ParsedReport #CompletenessLow
06-05-2026

OceanLotus suspected of using PyPI to deliver ZiChatBot malware

https://securelist.com/oceanlotus-suspected-pypi-zichatbot-campaign/119603/

Report completeness: Low

Actors/Campaigns:
Oceanlotus

Threats:
Zichatbot
Supply_chain_technique
Colorinal

Victims:
Python users, Software, Asia pacific, Middle east, Worldwide

Geo:
Middle east, Asia-pacific

ChatGPT TTPs:
do not use without manual check
T1027.007, T1027.009, T1036.005, T1053.003, T1059.006, T1070.004, T1071.001, T1082, T1102.002, T1105, have more...

IOCs:
File: 7
Hash: 18

Soft:
Linux, Zulip, crontab

Algorithms:
xor, aes, cbc, lzma

Functions:
is_color_supported

Win API:
decompress

Languages:
python

Platforms:
cross-platform, x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года на PyPI были обнаружены пакеты вредоносного ПО, замаскированные под легитимные библиотеки, связанные с OceanLotus и его вариантом ZiChatBot, использующие метод атаки на Цепочку поставок. Эти пакеты, нацеленные как на Windows, так и на Linux, устанавливали вредоносные файлы, которые выполняли полезную нагрузку ZiChatBot, применяя такие техники, как шифрование AES для доставки полезной нагрузки и записи в реестре для закрепления в Windows. Вредоносное ПО функционирует через приложение для обмена сообщениями Zulip для управления, что отмечает отход от традиционных инфраструктур и подчеркивает изменяющийся ландшафт угроз для разработчиков на Python.
-----

В июле 2025 года в Индексе пакетов Python (PyPI) были обнаружены вредоносные пакеты, связанные с семейством ВПО ZiChatBot, принадлежащим злоумышленнику OceanLotus. Вредоносные пакеты были разработаны так, чтобы выглядеть как легитимные библиотеки, используя технику атаки на Цепочку поставок для обмана пользователей и побуждения их к загрузке. Примечательно, что эти пакеты могли атаковать как платформы Windows, так и Linux, доставляя вредоносные DLL или SO файлы, которые служили загрузчиками для ВПО ZiChatBot.

Атакующие использовали популярные на первый взгляд названия проектов на PyPI, чтобы заманить пользователей. В частности, библиотеки colorinal и uuid32-utils представляют собой пакеты, которые маскируют вредоносную функциональность внутри кажущегося безобидным кода. Библиотека termncolor импортирует библиотеку colorinal в качестве зависимости, тем самым скрывая её изначальную вредоносность. В среде Windows при установке библиотеки извлекается дроппер с именем terminate.dll, что позволяет выполнить полезную нагрузку ziChatBot.

При установке вредоносный скрипт проверяет поддержку цветов терминала, загружает дроппер и выполняет его, после чего удаляет себя вместе с другими доказательствами атаки. Вредоносные полезная нагрузка, зашифрованные с использованием AES в режиме CBC, извлекаются и помещаются в папку в локальных данных приложения пользователя. Для закрепления дроппер создает записи автозапуска в реестре Windows, а в Linux полагается на задачи cron для аналогичной функциональности.

ZiChatBot взаимодействует через публичное командное приложение Zulip, а не через типичную конфигурацию сервера управления (C2). Это ВПО может выполнять полученный shellcode и передавать системную информацию посредством установленных вызовов REST API. Каждое успешное выполнение команд отправляет уведомление обратно через эмодзи сердца для подтверждения завершения.

В частности, инфраструктура этой кампании опирается на PyPI для распространения и Zulip для управления, что демонстрирует отход от традиционных методов атак, использующих скомпрометированные серверы или выделенные инфраструктуры управления. Несмотря на быстрое выявление и устранение этих пакетов из PyPI, возможность того, что ранее зараженные системы будут подключаться к сервису Zulip, остается предметом беспокойства. Дальнейшее исследование загрузчика выявило сходства с предыдущими операциями OceanLotus, подтверждая постоянную эволюцию тактик этой группы.

OceanLotus, являясь активно действующей сложной целенаправленной угрозой (APT), не только продолжает атаковать страны Азиатско-Тихоокеанского региона, но и расширяет свои векторы атак, включая атаки на цепочку поставок по всему миру. Эта смена стратегии, наряду с продолжающимися фишинговыми кампаниями, подчеркивает универсальность группы и представляет собой серьезную угрозу для пользователей Python повсеместно.