#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Веб-сайт JDownloader подвергся атаке на цепочку поставок, в ходе которой легитимные ссылки для загрузки установщиков были перенаправлены на вредоносные файлы, содержащие троянскую программу удаленного доступа (RAT) на базе Python. Это стало возможным благодаря не исправленной уязвимости в системе управления контентом сайта. RAT, функционирующий через серверы управления, выполнял удаленный код на Python и распространялся через скомпрометированные установщики, особенно затрагивая пользователей, которые скачали определенные версии в течение двухдневного окна.
-----

Сайт JDownloader подвергся атаке на цепочку поставок, в результате которой пользователям стали распространяться вредоносные пакеты установщика. Злоумышленники воспользовались не исправленной уязвимостью в системе управления контентом сайта, перенаправив ссылки на загрузку легитимных установщиков JDownloader на сторонние файлы, содержащие троянскую программу удаленного доступа (RAT) на базе Python. Этот инцидент затронул пользователей, которые скачали либо Альтернативный установщик для Windows, либо установщик для Linux в период с 6 по 7 мая 2026 года. Важно отметить, что сами подлинные пакеты установщика не были изменены; вместо этого были изменены только ссылки, указывающие на вредоносные файлы, размещенные на внешних серверах.

Расследования специалистов по кибербезопасности выявили, что RAT, идентифицированный как модульный фреймворк бота, был разработан для удаленного выполнения кода Python через серверы управления (C2), в частности два конечные точки: parkspringshotel.com/m/Lu6aeloo.php и auraguest.lk/m/douV2quu.php. Для повышения легитимности ВПО, полезная нагрузка была подписана с использованием поддельных идентификаторов от фиктивных компаний, Zipline LLC и The Water Team. Исследование также показало, что скомпрометированный установщик Linux содержал внедренный код, который не только загружал дополнительное ВПО, но и устанавливал SUID-root загрузчик, замаскированный под легитимный системный процесс, чтобы избежать обнаружения.

В ходе данного инцидента было задокументировано восемь различных вредоносных установочных файлов Windows, размеры которых варьировались от примерно 61 МБ до 107 МБ, каждый из которых был нацелен на различные версии среды выполнения Java. Конкретный скомпрометированный установочный файл для Linux был идентифицирован как JDownloader2Setup_unix_nojre.sh, с размером 7 934 496 байт и уникальным хешем SHA256. Пользователям, которые загрузили любой из этих скомпрометированных установщиков, рекомендуется проверить свои файлы на соответствие контрольным суммам SHA256 и размерам, указанным в отчете об инциденте JDownloader, чтобы убедиться, что у них нет вредоносных версий. Другие форматы установщиков, доступные на веб-сайте JDownloader, такие как пакет JAR и версии для macOS или Flatpak, не были скомпрометированы в ходе этой атаки.

Учитывая, что вредоносное ПО может выполнять произвольный код и может привести к компрометации учетных данных пользователей, затронутым пользователям настоятельно рекомендуется переустановить операционные системы, если они взаимодействовали с вредоносными установщиками в течение периода риска.

#ParsedReport #CompletenessHigh
10-05-2026

Python Backdoor Threat Analysis Following an AI Deepfake Impersonation Campaign

https://www.genians.co.kr/en/blog/threat_intelligence/python

Report completeness: High

Actors/Campaigns:
Scarcruft

Threats:
Spear-phishing_technique
Lolbin_technique
Chinotto

Victims:
Defense, Security, Law enforcement, Research

Industry:
Military, Aerospace

Geo:
North korean, Korea, Korean, Italian, North korea, France, French

CVEs:
CVE-2018-15982 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (le31.0.0.153)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1027.010, T1036, T1036.008, T1041, T1053.005, T1059.001, T1059.003, T1059.006, have more...

IOCs:
File: 20
Domain: 20
IP: 10
Command: 2
Path: 1
Hash: 11

Soft:
Microsoft Excel, Microsoft Office, curl, Windows security, Windows scheduled task, Flash Player

Algorithms:
zip, base64, md5, xor

Functions:
chr, exec, GetString

Languages:
powershell, python, cpython, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, windows: 5, code: 6, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT37 из Северной Кореи использует тактики Целевого фишинга для доставки ВПО, применяя замаскированные пакетные файлы и Python-бэкдор для удаленного выполнения команд. Первоначальный доступ осуществляется через ZIP-архивы в письмах, содержащие LNK-файлы, которые загружают дополнительные полез
-----

Анализ угроз сосредоточен на кампании, приписываемой северокорейской группе APT37, которая использует тактики Целевой фишинг для доставки вредоносных загрузок, особенно выделяя использование зашифрованных пакетных файлов и бэкдор на базе Python для удаленного выполнения команд. Вектор первоначального доступа включает фишинговые письма, содержащие ZIP-архивы с вредоносными LNK-файлами, предназначенные для привлечения получателей темами, такими как электронные авиабилеты и приглашения на мероприятия. При выполнении этих LNK-файлов они реконструируют команды с использованием обфускации на основе переменных окружения для загрузки и выполнения дополнительных загрузок с сервера управления (управление).

После запуска вредоносное ПО выполняет пакетный файл, который взаимодействует с сервером C2, обеспечивая многоэтапный процесс заражения. На финальном этапе загружается файл байт-кода Python, замаскированный под расширение .cat, который служит бэкдором для удаленного выполнения команд. Этот файл Python структурирован таким образом, чтобы функционировать в среде выполнения Python, позволяя злоумышленнику управлять зараженной системой и выполнять команды, полученные от сервера C2.

В технике атаки заметно злоупотребление легитимными системными бинарными файлами, такими как curl.exe и pythonw.exe, для маскировки вредоносного поведения и уклонения от обнаружения. Кроме того, закрепление обеспечивается через запланированные задачи, настроенные на повторное выполнение бэкдора, что указывает на намерение злоумышленника поддерживать долгосрочный доступ к скомпрометированным системам.

В частности, данная кампания демонстрирует сходство с предыдущими атаками, приписываемыми APT37, включая использование аналогичных методов обфускации, шаблонов инфраструктуры C2 и эксплуатации конкретных методов доставки ВПО. Поведение, наблюдаемое в этой кампании, согласуется с предыдущими усилиями APT37 по нацеливанию на лиц, связанных с оборонным и безопасностным секторами, что подтверждает продолжающиеся стратегии кибершпионажа данной группы.

Для смягчения таких угроз организациям рекомендуется усилить свои фреймворки обнаружения и реагирования на конечных точках (EDR), сосредоточившись на возможностях обнаружения, охватывающих весь жизненный цикл атаки — от доставки до выполнения, закрепления и коммуникаций с C2. Учитывая динамичный характер методов, используемых злоумышленниками, рекомендуется применять более комплексную стратегию обнаружения, которая отдает приоритет отношениям и шаблонам вредоносной активности, а не полагается исключительно на известные индикаторы компрометации.

#ParsedReport #CompletenessLow
11-05-2026

macOS Malware Abuses Google Ads and Claude Shared Chats to Deliver Payloads

https://gbhackers.com/macos-malware-abuses-google-ads-and-claude-shared-chats/

Report completeness: Low

Threats:
Macc_stealer
Clickfix_technique

Victims:
Developers, Macos users, Technology

ChatGPT TTPs:
do not use without manual check
T1027, T1059.004, T1105, T1204.004, T1583.006, T1656

IOCs:
Domain: 1
Hash: 1

Soft:
macOS, Claude, Twitter, WhatsApp, Anthropic Claude

Algorithms:
sha256, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Обнаружена новая кампания вредоносной рекламы (Malvertising), нацеленная на пользователей macOS, которая использует Google Ads и социальную инженерию для распространения варианта вредоносного ПО (Malware) MacSync. Атака эксплуатирует поисковые запросы, связанные с Claude AI, перенаправляя жертв на поддельное руководство по установке, которое предлагает им выполнить команду терминала, скрытую с помощью кодирования base64. Эта команда загружает вредоносное ПО (Malware) из инфраструктуры управления (command-and-control), размещенной на домене customroofingcontractors.com, что позволяет осуществлять постоянную эксплуатацию в среде macOS.
-----

Обнаружена новая кампания вредоносной рекламы, нацеленная на пользователей macOS, которая использует Google Ads и подлинные общие чаты Anthropic Claude для распространения варианта вредоносного ПО MacSync. Кампания, раскрытая исследователем безопасности Берком Альбайраком, использует тактики социальной инженерии для заманивания пользователей — особенно разработчиков — ищущих интеграцию Claude AI в свои системы macOS.

Атака начинается, когда жертва ищет такие термины, как «Claude download Mac». Киберпреступники используют Google Ads для перенаправления этих поисковых запросов на убедительно оформленную целевую страницу, имитирующую официальное руководство по установке. Чтобы повысить видимость легитимности, злоумышленники предоставляют инструкции по установке через общедоступную ссылку чата с Claude.ai. Жертвам предлагается скопировать и вставить конкретную команду терминала, которая скрыта с помощью кодирования base64, тем самым скрывая истинный URL загружаемого контента.

После выполнения команды в оболочке Z shell (zsh) для macOS начинается загрузка вредоносного ПО MacSync, которое характеризуется механизмами закрепления, позволяющими ему сохранять foothold в среде macOS для дальнейшей эксплуатации. Результаты исследований Альбайрака показывают, что инфраструктура управления (C2) для этой кампании размещена на домене, идентифицированном как customroofingcontractors.com.

Этот инцидент подчеркивает, как злоумышленники манипулируют авторитетными платформами и ресурсами для обхода традиционных мер веб-безопасности. Для организаций и пользователей macOS крайне важно проявлять осторожность с командами терминала, полученными из интернета, даже если они представлены через кажущиеся легитимными каналы. Внедрение политик для тщательной проверки таких команд и проактивное блокирование выявленных доменов C2 могут значительно снизить риск успешного проникновения ВПО и обеспечить более надежную защиту от подобных попыток эксплуатации.

#ParsedReport #CompletenessMedium
11-05-2026

Threat Actor Mr_Rot13 Actively Exploits CVE-2026-41940 for Backdoor Deployment

https://blog.xlab.qianxin.com/mr_rot13-the-elusive-6-year-hacker-group-weaponizing-critical-cpanel-flaws-for-backdoor-deployment/

Report completeness: Medium

Actors/Campaigns:
Mr_rot13 (motivation: script_kiddie)

Victims:
Web hosting, Linux server operations, Wordpress websites

Geo:
Brazil, Netherlands, Germany

CVEs:
CVE-2026-41940 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cpanel (<86.0.41, <110.0.97, <118.0.63, <124.0.35, <126.0.54)


ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1056.003, T1059.004, T1071.001, T1098, T1098.004, T1105, T1140, T1190, have more...

IOCs:
Domain: 2
Hash: 13
Url: 6
File: 5
IP: 2

Soft:
cPanel, Linux, Telegram, curl, WordPress

Algorithms:
xor, md5, bcrypt, rc4

Functions:
getChatAdministrators

Languages:
php, javascript

Platforms:
amd64, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-41940 — это уязвимость обхода аутентификации высокой степени серьезности без необходимости аутентификации в cPanel & WHM, которая позволяет злоумышленникам получать несанкционированный доступ без учетных данных, что приводит к значительной эксплуатации со стороны различных групп угроз. Актор, известный как Mr_Rot13, использует эту уязвимость для развертывания заражателя на базе Go, Payload, который внедряет SSH-ключи, загружает вредоносные файлы, похищает учетные данные, изменяет системные пароли и устанавливает троян удаленного управления под названием filemanager. Заражатель действует скрытно, постоянно подключаясь к серверу загрузки для получения обновлений и применяя продвинутые техники, такие как алгоритм Rot13, для обфускации.
-----

CVE-2026-41940 — это серьезная уязвимость обхода аутентификации без аутентификации, затрагивающая cPanel & WHM, с оценкой 9.8 по шкале CVSS. Она позволяет злоумышленникам получать несанкционированный доступ администратора к затронутым серверам без необходимости использования каких-либо учетных данных. После ее публичного раскрытия 28 апреля 2026 года наблюдалось широкое использование различных групп черного и серого рынка, при этом более 2000 уникальных IP-адресов злоумышленников из нескольких стран участвовали в различных вредоносных действиях, включая развертывание ВПО и сетевые атаки.

Заметный злоумышленник, известный как Mr_Rot13, был выявлен использующим данную уязвимость для развертывания инфиктора по имени Payload, написанного на Go. Этот инфиктор выполняет несколько функций: внедряет открытые SSH-ключи, загружает вредоносные PHP и JavaScript-файлы, эксфильтрует учетные данные в канал, контролируемый через Телеграм, и устанавливает троян удаленного управления, известный как filemanager. Расследование показало, что Mr_Rot13 действует с 2020 года, применяя такие техники, как использование алгоритма Rot13 для сокрытия доменов и инструментов управления (C2).

Заражатель полезной нагрузки часто подключается к серверу загрузки для получения обновлений, непрерывно выполняя операции в фоновом режиме. Он изменяет системные пароли, внедряет PHP-вебшеллы и отправляет конфиденциальные данные обратно злоумышленникам. Примечательно, что вебшелл, названный Cpanel-Python, позволяет загружать файлы, просматривать файловую систему и выполнять удаленные команды.

Бэкдор Filemanager действует как кроссплатформенный инструмент удалённого управления, совместимый с основными операционными системами. Он использует строгий метод обработки хешей паролей, требуя хешированные bcrypt-пароли вместо паролей в открытом виде для работы. Предыдущий анализ PHP-бэкдора, выявленного в 2022 году, подтвердил давний фокус Mr_Rot13 на уязвимостях cPanel, особенно на атаках на установки WordPress.

#ParsedReport #CompletenessMedium
11-05-2026

New TrickMo Variant: Device Take Over malware targeting Banking, Fintech, Wallet & Auth apps

https://www.threatfabric.com/blogs/new-trickmo-variant-device-take-over-malware-targeting-banking-fintech-wallet-auth-app

Report completeness: Medium

Threats:
Trickmo
Ssh_tunnelling_technique
Godfather

Victims:
Banking, Fintech, Digital wallet, Authenticator applications, Banking customers, Wallet customers

Industry:
E-commerce, Financial

Geo:
Turkish, Austria, France, Italy

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.004, T1021.005, T1041, T1046, T1056.001, T1056.002, T1071.001, T1090, T1105, have more...

IOCs:
Hash: 6

Soft:
Android, TikTok, Telegram, curl, Google Play

Algorithms:
base32, sha256

Functions:
getScreenshot, setNotificationFilter, setKeyLoggerConfig, setVars, setSwitch, setServers, getInstalledApps, getState, getUsageStats, setRingerMode, have more...

Win API:
loadModule, setGestureConfig

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО TrickMo эволюционировало в новый вариант, нацеленный на банковские приложения в нескольких европейских странах, использующий The Open Network (TON) для управления коммуникацией с целью обхода обнаружения. Этот вариант имеет усовершенствованную архитектуру с децентрализованными конечными точками .adnl и встроенным локальным прокси TON, что повышает его операционные возможности для злонамеренной деятельности, такой как фишинг учетных данных, регистрация нажатий клавиш и удаленное управление. Несмотря на улучшения в операционных возможностях, некоторые компоненты остаются неактивными, что указывает на потенциальные будущие улучшения без немедленных обновлений.
-----

Вредоносное ПО TrickMo эволюционировало в новый вариант, выявленный аналитиками мобильной разведки угроз, который целенаправленно атакует банковские и финансовые приложения в нескольких европейских странах, включая Францию, Италию и Австрию. Этот вариант представляет собой значительную переработку более ранних версий, но сохраняет схожие возможности на устройстве. Основное улучшение заключается в его операционной среде, поскольку теперь он преимущественно использует The Open Network (TON) для связи с центром управления, отказываясь от традиционной интернет-инфраструктуры для повышения устойчивости к обнаружению и попыткам отключения.

Архитектура TrickMo была доработана для включения сетевого слоя, использующего децентрализованные атрибуты TON, с применением .adnl-конечных точек и встроенного локального прокси TON для маршрутизации трафика управления. Такая архитектура означает, что стандартные отключения на основе доменов в значительной степени неэффективны; даже когда ВПО необходимо получить доступ к DNS в открытом интернете, оно использует защищённые протоколы DNS-over-HTTPS для поддержания анонимности.

Одной из наиболее заметных особенностей TrickMo является его способность использовать зараженные устройства в качестве программируемых сетевых мостов. Эта функция обеспечивается дополнительными возможностями, позволяющими настраивать SSH-туннели и использовать прокси-сервер SOCKS5, что эффективно превращает скомпрометированные устройства в сетевые узлы выхода, способные пересылать трафик, который выглядит так, будто он исходит из IP-адреса жертвы. Инструменты для сетевой разведки были значительно расширены, что позволило выполнять команды для HTTP-зондирования, DNS-запросов, ICMP-пингов, тестов TCP-соединений и трассировки маршрутов, что отражает переход от чисто банковских троянских функций к более широкой операционной роли.

Более того, TrickMo может участвовать в различных вредоносных действиях, включая фишинг учетных данных через имитированные оверлеи приложений, регистрацию нажатий клавиш, удаленное управление устройством и перехват SMS, что позволяет злоумышленникам эксплуатировать пользователей без их ведома. Примечательно, что ВПО использует разрешения службы доступности, полученные через принуждение пользователя, для поддержания контроля и видимости над зараженными устройствами.

В отчете также указывается, что, хотя операционные возможности TrickMo выросли, определенные элементы, такие как фреймворк Pine hooking, остаются неактивными, что намекает на возможности для развертывания новых функций в будущем без необходимости их немедленной реализации в текущей версии. Эта адаптивность иллюстрирует постоянную угрозу, которую представляет TrickMo, поскольку он продолжает совершенствовать свои методы для обхода развивающихся средств защиты кибербезопасности и сохранения foothold в мобильных средах. В целом, новейший вариант TrickMo означает переопределенную задачу для специалистов по безопасности, подчеркивая необходимость постоянной бдительности и адаптивности в стратегиях обнаружения и реагирования на угрозы.

#ParsedReport #CompletenessHigh
07-05-2026

Unmasking a Multi-Stage Loader: AutoIt Abuse Leading to Vidar Stealer Command-and-Control Communication

https://www.levelblue.com/blogs/spiderlabs-blog/unmasking-a-multi-stage-loader-autoit-abuse-leading-to-vidar-stealer-command-and-control-communication

Report completeness: High

Threats:
Vidar_stealer
Arkei_stealer
Lolbin_technique

TTPs:
Tactics: 6
Technics: 10

IOCs:
File: 6
Url: 1
Domain: 2
Hash: 5
IP: 1

Soft:
WinINet API, Steam

Algorithms:
sha256

Win API:
ZwQueryInformationProcess, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, FindNextFileA, RtlExitUserProcess

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1, windows: 2, dump: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе недавнего анализа было выявлено многоэтапное вредоносное нападение с использованием скриптов AutoIt, инициированное запуском файла MicrosoftToolkit.exe, который запускал командные строки и применял Маскировка файлов для уклонения от обнаружения. Вредоносное ПО включало извлечение полезной нагрузки с помощью extract32.exe и загрузчик AutoIt под названием Replies.scr, который устанавливал соединения с инфраструктурой крадильщика Vidar, известного кражей учетных данных и сбором информации. Оно использовало продвинутые техники антианализа и поведения очистки после выполнения, чтобы скрыть свое присутствие, что подчеркивает сложную угрозу компрометация данных.
-----

В ходе недавнего анализа угроз было исследовано многоэтапное выполнение вредоносного кода, обнаруженное в среде клиента, в основном связанное с несанкционированным использованием скриптов AutoIt. Начальным вектором заражения стало выполнение инструмента под названием MicrosoftToolkit.exe, который впоследствии запускал командную строку для продолжения атаки. Файл с именем Swingers.dot был замаскирован под скрипт .bat с использованием маскировки расширения файла для обхода средств защиты. ВПО использовало различные техники, включая Изучение процессов и завершение процессов, чтобы облегчить свое продвижение по цепочке атаки.

Извлечение полезной нагрузки было выполнено с помощью extract32.exe, после чего был запущен загрузчик, скомпилированный в AutoIt и названный Replies.scr, который обработал внешнюю файл полезной нагрузки и инициировал сетевые коммуникации, ведущие к инфраструктуре, связанной со стелером Vidar. Vidar известен своими возможностями по краже учетных данных и сбору информации, особенно нацеленными на данные браузеров и криптовалютные кошельки. Атака продемонстрировала многоэтапную архитектуру загрузчика, где скрипт AutoIt функционировал для доставки конечной полезной нагрузки.

Вредоносное ПО выполняло проверку окружения на наличие процессов безопасности и использовало техники противодействия анализу. Оно использовало системные вызовы для обнаружения отладчиков и инструментов мониторинга, которые могли бы помешать его выполнению. Ключевыми методами коммуникации были HTTP-запросы к Телеграм и Steam, что указывает на использование легитимных платформ для возможностей управления (C2). С помощью этих методов вредоносное ПО потенциально извлекало конфигурационные данные и обеспечивало эксфильтрацию данных.

Кроме того, после выполнения вредоносное ПО проявляло поведение по очистке, удаляя файлы, использованные во время операции, и завершая свои процессы, чтобы скрыть следы. Такая очистка типична для поведения сложного ВПО, направленного на удаление криминалистический анализ артефактов и снижение вероятности обнаружения.

Анализ показал, что, хотя отдельные техники, используемые этим ВПО, не являются полностью новыми, их интеграция в единую стратегию атаки подчеркивает умеренно-высокий уровень сложности и указывает на риск компрометации данных, особенно в отношении хранимых учетных данных и пользовательских данных. Для смягчения таких угроз системы должны быть изолированы немедленно после выявления заражения, с сильной рекомендацией полного переустановления системы для обеспечения полного уничтожения ВПО. Кроме того, скомпрометированные учетные данные должны быть сброшены, а сильные сетевые защиты должны быть установлены для мониторинга необычного исходящего трафика и DNS-запросов, связанных с известными вредоносными доменами.

#ParsedReport #CompletenessHigh
07-05-2026

Malware Found in Trending Hugging Face Repository Open-OSS/privacy-filter

https://www.hiddenlayer.com/research/malware-found-in-trending-hugging-face-repository-open-oss-privacy-filter

Report completeness: High

Threats:
Supply_chain_technique
Typosquatting_technique
Credential_harvesting_technique
Procmon_tool
Process_injection_technique
Winos

Victims:
Hugging face users, Open source ecosystems, Artificial intelligence community, Software developers, Cryptocurrency wallet users

Industry:
Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027.007, T1033, T1036, T1041, T1053.005, T1059.001, T1059.003, T1059.006, T1070.004, have more...

IOCs:
File: 11
Url: 11
Domain: 5
Command: 3
Coin: 1
Hash: 6
IP: 1

Soft:
Hugging Face, LiteLLM, OpenAI, Discord, Linux, macOS, Microsoft Defender, VirtualBox, QEMU, Xen, have more...

Algorithms:
base64, sha256, gzip

Functions:
_verify_checksum_integrity, Start-Process

Win Services:
WebClient

Languages:
python, rust, powershell