#ParsedReport #CompletenessMedium
27-05-2026

Disrupting Glassworm: Inside CrowdStrike’s Takedown of a Developer-Targeting Botnet

https://www.crowdstrike.com/en-us/blog/inside-crowdstrike-takedown-of-a-developer-targeting-botnet/

Report completeness: Medium

Threats:
Glassworm
Supply_chain_technique
Credential_harvesting_technique
Dead_drop_technique

Victims:
Software developers, Software supply chain, Technology organizations

Industry:
E-commerce, Financial

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1008, T1036, T1071, T1078, T1102.001, T1105, T1124, T1132.001, T1195.001, T1195.002, have more...

Soft:
VSCode, OpenVSX, macOS, Linux, Node.js, BitTorrent

Crypto:
solana

Algorithms:
base64

Languages:
python, javascript, rust

Platforms:
cross-platform

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ликвидация ботнета Glassworm выявляет тенденцию в киберугрозах, нацеленных на разработчиков программного обеспечения для эксплуатации критических ресурсов. Glassworm использовал троянизированные расширения и внедрял вредоносный код в пакеты npm и Python, а также скомпрометировал более 300 репозиториев GitHub с помощью украденных учетных данных. Его сложная инфраструктура управления включала такие техники, как каналы, закодированные с помощью блокчейна, BitTorrent DHT для конфигурации и Google Calendar для хранения команд, что указывает на высоко ресурсных злоумышленников, базирующихся в России.
-----

Ликвидация ботнета Glassworm компанией CrowdStrike 26 мая 2026 года подчеркивает значительный сдвиг в киберугрозах, направленных на разработчиков, а не только на программное обеспечение, которое они создают. Действуя с начала 2025 года, злоумышленники Glassworm применяли широкий спектр методов для компрометации разработчиков программного обеспечения, имеющих доступ к критически важным ресурсам, таким как Репозитории кода и конвейеры CI/CD. Компрометируя рабочие станции разработчиков, угроза могла перерасти в масштабные атаки на Цепочку поставок, затрагивающие множество организаций.

Кампания Glassworm использовала несколько тактик для проникновения. Она включала распространение троянских расширений, маскирующихся под популярные инструменты на маркетплейсе OpenVSX, что затронуло такие платформы, как VSCode и VSCodium. Кроме того, вредоносный код внедрялся в пакеты npm и Python с помощью хуков postinstall, выполняясь скрытно во время рутинных установок. Более 300 репозиториев GitHub также были отравлены с использованием украденных учетных данных из предыдущих заражений. ВПО функционировало кроссплатформенно на системах Windows, macOS и Linux, при этом ключевые возможности, такие как кража информации и сбор учетных записей, обеспечивались с помощью кастомного инструмента удаленного доступа под названием GlasswormRAT.

Для обеспечения устойчивости к усилиям по ликвидации инфраструктуры управления ботнета была сложной и многогранной. Эта архитектура включала каналы управления, закодированные в транзакциях блокчейна Solana, что позволяло создавать публичный, но неудаляемый тайник для команд. Кроме того, GlasswormRAT использовал децентрализованную систему поиска BitTorrent DHT для получения конфигурации и события Google Calendar для хранения путей управления, закодированных в формате Base64. Ботнет также поддерживал традиционные серверные соединения на коммерческих VPS-провайдерах для доставки полезной нагрузки.

Сложность и адаптивность операторов Glassworm указывают на высокообеспеченного злоумышленника, вероятно, базирующегося в России, что подтверждается специфическими проверками локали и комментариями на русском языке в их коде. Сочетание этих индикаторов указывает на скоординированные и настойчивые усилия в течение года, подчеркивая критическую необходимость проактивных стратегий пресечения в области кибербезопасности.

#ParsedReport #CompletenessMedium
27-05-2026

The GHOST STADIUM Score: Billions At Stake At The World’s Largest Football Tournament

https://www.group-ib.com/blog/ghost-stadium-football-fraud/

Report completeness: Medium

Threats:
Supply_chain_technique
Typosquatting_technique
Vidar_stealer
Lumma_stealer

Victims:
Sports fans, Football fans, Sports organizations, Ticketing platforms, Financial institutions, Payment providers, Cryptocurrency exchanges

Industry:
Financial, Transport, Entertainment, E-commerce

Geo:
Latin american, Korean, Brazil, Japanese, Hong kong, Colombia, Asian, German, Canada, Taiwan, Italian, French, Russian, Mexico, Chinese, Spanish, Colombian, Qatar, Portuguese, Indonesian, Argentina

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1078, T1098, T1539, T1555.003, T1583.001, T1587.002, T1588.002, T1656

IOCs:
Domain: 44
Url: 4
IP: 15
Hash: 3

Soft:
Telegram, WhatsApp, Instagram

Crypto:
binance

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GHOST STADIUM, злоумышленник, говорящий на китайском языке, запустил сложную фишинговую кампанию, направленную на предстоящий чемпионат мира по футболу 2026 года, используя более 300 мошеннических доменов, имитирующих официальный сайт ФИФА, с целью сбора учетных данных пользователей. Кампания включает в себя точные копии веб-сайтов, разнообразные методы мошенничества, такие как фишинг учетных данных и поддельные продажи, при этом потенциальные потери оцениваются от 71 миллиона долларов до миллиардов. Кроме того, доказательства показывают, что множество учетных данных аккаунтов ФИФА уже доступны на темных веб-рынках, что усугубляет угрозы по мере приближения мероприятия.
-----

GHOST STADIUM — это китайскоязычный злоумышленник, участвующий в фишинговой кампании, направленной на Чемпионат мира по футболу 2026 года.

Кампания использует более 300 мошеннических доменов, имитирующих официальный веб-сайт ФИФА.

Методы атак включают фишинг учетных данных, поддельные продажи билетов, магазины контрафактных товаров, поддельные платформы потокового вещания, мошеннические сайты для ставок и массовые кампании стиллеров.

GHOST STADIUM создает пиксельно точные клоны сайта FIFA, воспроизводя поток аутентификации Single Sign-On (SSO).

Ожидаемые потери от мошенничества с премиальными билетами могут составлять от 71 миллиона до 474 миллионов долларов.

Инфраструктура фишинга использует имперсонацию брендов и агрессивные стратегии привлечения трафика, включая Facebook Ads и тайпсквоттинг.

Домены регистрируются заранее для быстрого развертывания по мере приближения даты турнира.

Используются несколько каналов оплаты для сбора средств жертв, включая прямой захват данных карт и приложения для P2P-платежей.

Жертвы несут финансовые потери из-за недоставленных билетов, кражи аккаунтов и эксплуатации персональной идентифицируемой информации (PII).

На темных веб-рынках обнаружено 2,513 пары учетных данных FIFA, что указывает на потенциальную возможность дальнейших атак, выходящих за рамки первоначального фишинга.

Group-IB предлагает стратегию защиты Cyber Fraud Fusion (CFF) для борьбы с этими угрозами посредством скоординированных ответов.

Эта стратегия интегрирует цифровую защиту от рисков (DRP), разведку угроз (TI) и защиту от мошенничества (FP) для одновременного обнаружения и защиты.

Осведомленность о попытках фишинга и мошеннических предложениях имеет решающее значение по мере приближения турнира.

#ParsedReport #CompletenessMedium
28-05-2026

Fake ChatGPT download site infects Windows and Mac users with malware

https://www.malwarebytes.com/blog/threat-intel/2026/05/fake-chatgpt-download-site-infects-windows-and-mac-users-with-malware

Report completeness: Medium

Threats:
Amos_stealer
Credential_stealing_technique
Lumma_stealer
Seo_poisoning_technique
Supply_chain_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 1
File: 2
IP: 3
Command: 1
Hash: 2

Soft:
ChatGPT, macOS, OpenAI, Telegram, Microsoft Store, Electron, Slack, Discord, macOS scripting engine, Firefox, have more...

Wallets:
trezor, electrum, ledger_wallet

Algorithms:
sha256

Languages:
php, applescript, powershell

#ParsedReport #CompletenessMedium
27-05-2026

SolyxImmortal - Analysis of a Python-based Information Stealer

https://blog.pulsedive.com/solyximmortal-analysis-of-a-python-based-information-stealer/

Report completeness: Medium

Threats:
Solyximmortal

Victims:
Banking, Email services, Turkey

Industry:
Financial

Geo:
Turkish

TTPs:
Tactics: 8
Technics: 12

IOCs:
File: 5
Registry: 1
Path: 1
Hash: 1

Soft:
Gmail, Discord, Firefox, Mozilla Firefox

Algorithms:
sha1, sha256, aes, md5, zip, base64

Functions:
persist, _collect_and_zip, sleep, start, _on_press, _key_logic, send

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SolyxImmortal — это информационный стиллер на базе Python, нацеленный на турецких пользователей, собирающий учетные данные из браузеров на базе Chromium, нажатия клавиш и скриншоты через заданные интервалы или при обнаружении банковских ключевых слов. Он обеспечивает закрепление через папку APPDATA и модифицирует реестр Windows, используя различные библиотеки Python для сбора данных и многопоточности. Украденные данные, включая пароли и документы, отправляются злоумышленникам через веб-хуки Discord, при этом турецкие фразы указывают на успешную передачу, а ВПО может легко адаптироваться для более широкого охвата.
-----

SolyxImmortal — это написанное на Python ВПО-стиллер, предназначенное для компрометации конфиденциальной информации, в первую очередь нацеленное на пользователей турецких сайтов. Вредоносное ПО специально собирает учетные данные из браузеров на базе Chromium, нажатия клавиш и делает скриншоты каждые две минуты или когда определенные ключевые слова, связанные с Gmail или банковскими сайтами, появляются в названиях окон приложений. Примечательно, что использование турецкого языка как в его операционных ключевых словах, так и в сообщениях эксфильтрации указывает на то, что разработка вредоносного ПО была направлена на пользователей, говорящих на турецком языке.

Вредоносное ПО работает, используя ряд библиотек Python для взаимодействия с системой и многопоточности, что позволяет одновременно собирать данные и отслеживать нажатия клавиш. После запуска SolyxImmortal обеспечивает закрепление, копируя себя в папку APPDATA и изменяя реестр Windows, чтобы гарантировать его запуск при старте системы. Точка входа вредоносного ПО инициализирует закрепление, ожидает 15 секунд, а затем запускает различные потоки сбора данных.

Сбор данных осуществляется с помощью функции, которая идентифицирует данные для входа из популярных браузеров, извлекая пароли из баз данных SQLite путем расшифровки связанных ключей, хранящихся в профилях браузеров. Целевые типы файлов для эксфильтрации включают текстовые файлы, документы Word, файлы Excel и PDF, при этом намеренно избегаются системные каталоги и файлы размером менее 100 байт или более 10 МБ. Собранная данные упаковываются в архив для эксфильтрации через веб-хуки Discord, при этом сообщения содержат турецкие фразы для уведомления пользователей об успешной передаче данных.

SolyxImmortal включает эффективный механизм регистрации нажатий клавиш, который захватывает каждое нажатие клавиши и передает эту информацию в формате JSON через определенные интервалы. Снимки экрана также захватываются и эксфильтруются при выполнении определенных критериев, вместе со связанным текстовым уведомлением.

Процесс эксфильтрации данных вредоносного ПО полностью автоматизирован и использует заранее определённые веб-хуки Discord для отправки собранной информации обратно злоумышленнику. Учитывая его способность адаптироваться посредством незначительных изменений в коде, таких как замена указанных ключевых слов, SolyxImmortal вызывает опасения относительно своего потенциала для широкого применения против различных целевых аудиторий, выходящих за рамки турецкоязычного сообщества.

#ParsedReport #CompletenessHigh
28-05-2026

The Gentlemen ransomware: Dissecting a self-propagating Go encryptor

https://www.microsoft.com/en-us/security/blog/2026/05/28/the-gentlemen-ransomware-dissecting-a-self-propagating-go-encryptor/

Report completeness: High

Actors/Campaigns:
Gentlemen_ransomware (motivation: cyber_criminal, financially_motivated)

Threats:
Gentlemen_ransomware
Garble_tool
Shadow_copies_delete_technique
Vssadmin_tool
Wevtutil_tool
Winrm_tool
Ransom:win64/gentlemen

Victims:
Education, Transportation, Healthcare, Financial, North america, South america, Europe, Africa, Asia

Industry:
Healthcare, Education, E-commerce, Transport

Geo:
America, Africa, Asia

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 5
Hash: 3

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Docker, DBeaver, wordpad, onenote, outlook, thebat, firefox, steam, have more...

Algorithms:
base64, xor, curve25519, sha256, xchacha20, ecdh

Win Services:
sqlservr, sqlbrowser, SQLAGENT, sqlwriter, dbeng50, dbsnmp, VeeamNFSSvc, VeeamTransportSvc, VeeamDeploymentSvc, vsnapvss, have more...

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 15, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО Gentlemen представляет собой серьезную киберугрозу, использующую модель программы-вымогателя как услуга, и управляется злоумышленником Storm-2697. Оно применяет надежное шифрование с использованием алгоритмов Curve25519 и XChaCha20, помечает зашифрованные файлы расширением .umc16h и обладает агрессивными механизмами самораспространения, действуя как червь, позволяя зараженным машинам распространять ВПО по сетям. ВПО использует тактику двойного вымогательства путем эксфильтрации конфиденциальных данных и внедряет обширные меры для уклонения от обнаружения и усложнения процессов восстановления.
-----

Группа Gentlemen представляет собой серьезную киберугрозу, характеризующуюся надежными возможностями шифрования и агрессивными техниками самораспространения. Она работает по модели программы-вымогателя как услуга (RaaS), управляемой финансово мотивированным злоумышленником Storm-2697. Представленная в середине 2025 года, она изначально функционировала как закрытая группа, прежде чем перейти к партнерской модели в сентябре 2025 года. Эта программа-вымогатель связана с тактикой двойного вымогательства, при которой она шифрует файлы и одновременно похищает конфиденциальные данные, оказывая давление на жертв угрозами публичного разглашения, если требования выкупа не будут выполнены.

Написан на языке Go и запутан с помощью Garble. Gentlemen использует Curve25519 для своих эфемерных файловых ключей в сочетании со шифротекстом XChaCha20 для шифрования, помечая файлы характерным расширением .umc16h после шифрования. Интерфейс командной строки позволяет операторам указывать различные параметры выполнения, включая область шифрования и методы перемещения внутри компании. Он эффективно реплицирует свой полезный груз, используя несколько стратегий перемещения внутри компании, таких как создание запланированных задач и использование таких инструментов, как PsExec, для сетевого распространения.

Механизм самораспространения является крайне примечательным, превращая шифровальщик в угрозу червеобразного типа. Он подготавливает зараженную машину для использования в качестве точки распространения, позволяя другим системам в сети подключаться и извлекать вредоносное ПО благодаря общему административному доступу. Вредоносное ПО предпринимает обширные меры для уклонения от обнаружения, включая отключение Microsoft Defender, удаление теневых копий томов и очистку журналов событий, тем самым затрудняя усилия по восстановлению и криминалистический анализ.

Процесс шифрования адаптируется в зависимости от размера файлов: небольшие файлы шифруются полностью, а большие — частично, путём разбиения на фрагменты, что эффективно нарушает их структуру и затрудняет восстановление. Кроме того, вредоносное ПО минимизирует сбои в работе операционных систем, исключая из шифрования критические каталоги и типы файлов.

При запуске он создает файл вымогателя README-GENTLEMEN.txt в каждом затронутом каталоге, чтобы направлять жертв через процесс оплаты выкупа. Его опора на разнообразные методы выполнения для перемещения внутри компании увеличивает шансы на проникновение в несколько систем, усиливая его потенциальное воздействие на сети.

При запуске с определённым аргументом командной строки вредоносное ПО также может выполнять процедуру стирания, которая перезаписывает участки диска, препятствуя восстановлению удалённых файлов и дополнительно усложняя криминалистический анализ. Механизмы закрепления программы включают как запланированные задачи, так и изменения в реестре, предназначенные для автоматического запуска после перезагрузки.

#ParsedReport #CompletenessLow
28-05-2026

The proliferation and evolution of AI-powered hacking tools - How generative AI has changed the cyberattack ecosystem and countermeasure strategies

https://asec.ahnlab.com/ko/93874/

Report completeness: Low

Actors/Campaigns:
Andariel
Emissary_panda

Threats:
Wormgpt_tool
Fraudgpt_tool
Evilgpt_tool
Wolfgpt_tool
Darkgpt_tool
Ghostgpt_tool
Malwaregpt_tool
Spamgpt_tool
Evilai
Xanthorox_tool
Hexstrike
Promptflux
Lamehug_tool
Honestcue
Bissa_tool
Promptspy
Supply_chain_technique

Victims:
Tax, Financial advisory, Digital asset settlement, Payroll, Human resources, Cloud services, Payment services, Database services, Artificial intelligence platforms, Ukraine, have more...

Geo:
North korea, Ukrainian, Russian, Chinese

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


ChatGPT TTPs:
do not use without manual check
T1027, T1027.014, T1027.016, T1090, T1102, T1190, T1566, T1587.001, T1587.002, T1587.004, have more...

IOCs:
File: 1

Soft:
ChatGPT, OpenAI, Telegram, Claude, Android, Hugging Face, Ollama, OpenClaw, Anthropic, ORB networks, have more...

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инструменты взлома на базе искусственного интеллекта, такие как WormGPT и Evil-GPT, существенно изменили ландшафт киберугроз, позволив злоумышленникам легко проводить различные фазы кибератак, включая фишинг, разведка и генерацию ВПО. Эти инструменты работают по моделям SaaS и обладают возможностями создания дипфейков, эксплуатации уязвимостей нулевого дня и создания самоизменяющегося ВПО, что улучшает техники уклонения. Интеграция искусственного интеллекта позволяет применять более быстрый и масштабируемый подход к выполнению сложных атак, создавая существенные проблемы для традиционных средств защиты кибербезопасности.
-----

Инструменты взлома на базе искусственного интеллекта, такие как WormGPT и Evil-GPT, трансформировали ландшафт кибератак, снизив барьеры для киберпреступников.

Эти инструменты применяются на различных этапах жизненного цикла атаки, включая фишинг, разведку и генерацию ВПО.

Подпольные инструменты ИИ могут генерировать дипфейки, разрабатывать ВПО, автоматизировать фишинг, проводить разведку, генерировать код и эксплуатировать уязвимости.

Функциональность этих инструментов имитирует модели «Программное обеспечение как услуга» (SaaS), предоставляя начинающим злоумышленникам доступ к подписным сервисам с различными уровнями.

ИИ используется для оркестровки атак, что иллюстрируется случаем с Bissa Scanner, связанным с масштабной эксплуатацией уязвимостей.

ВПО, интегрированное с ИИ, теперь демонстрирует возможности самоизменения для улучшения техник уклонения от обнаружения, как это наблюдается в случае с Promptflux и Promptspy.

Злоумышленники автоматизируют разработку эксплойтов нулевого дня, включая скрипты, предназначенные для обхода двухфакторной аутентификации (MFA).

Помощь со стороны искусственного интеллекта позволила злоумышленникам автоматизировать анализ уязвимостей и проверку кода эксплойтов, повышая операционную эффективность.

Масштабируемость и быстрое выполнение, которые ИИ предоставляет злоумышленникам, создают значительные проблемы для механизмов защиты.

Стратегии защиты должны сместиться в сторону активных мер защиты, включающих искусственный интеллект для выявления векторов атак и автоматизации операций безопасности.

Управление использованием ИИ и проверка кода, сгенерированного ИИ, в цепочках поставок имеют решающее значение для снижения рисков.

Эволюция инструментов взлома на базе искусственного интеллекта требует от организаций усиления защиты, переходя от блокировки угроз к активному управлению динамикой сил в кибератаках.

#ParsedReport #CompletenessLow
28-05-2026

Inside the Chinese-Language Gambling Infrastructure Targeting the 2026 World Cup

https://flare.io/learn/resources/blog/chinese-language-gambling-infrastructure-targeting-2026-world-cup

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique
Cloaking_technique

Victims:
2026 fifa world cup, Sports betting users, Apac

Industry:
Education, Entertainment, Healthcare, Telco, Ngo, Financial

Geo:
Chinese, Cambodia, Sweden, Netherlands, Laos, Canada, Myanmar, Asia, Philippines, Americans, Apac, Hong kong, Japan, Brazil, Hongkong, Mexico, China

ChatGPT TTPs:
do not use without manual check
T1036, T1583.001, T1583.002, T1583.004, T1588.004

IOCs:
Domain: 2
IP: 9

Soft:
Telegram, WeChat, WhatsApp, Discord, GoDaddy

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайскоязычная онлайн-инфраструктура азартных игр планирует использовать Чемпионат мира по футболу 2026 года для эксплуатации, применяя брендинг ФИФА и офшорные ставки для участия в финансовом мошенничестве. Экосистема состоит из 8 867 доменов, преимущественно на китайском языке, с использованием скоординированных развертываний с общими ресурсами и техниками уклонения, которые маскируют сайты азартных игр под легитимные учреждения для избежания обнаружения. Централизованные услуги в таких регионах, как Гонконг, и общие инфраструктуры DNS указывают на уязвимости, которые могут помочь в нацеливании на эти преступные операции.
-----

Комплексный анализ выявил масштабную китайскоязычную инфраструктуру онлайн-гемблинга, предназначенную для использования предстоящего чемпионата мира по футболу 2026 года. Эта обширная сеть использует брендинг ФИФА для привлечения трафика, одновременно продвигая офшорные ставки и масштабируя мошенническую деятельность. Операции в рамках этой экосистемы не являются изолированными инцидентами, а представляют собой скоординированные усилия, использующие общие ресурсы, такие как провайдеры DNS, повторяющиеся HTML-шаблоны и общие платформы хостинга, что указывает на повторяющуюся и автоматизированную структуру развертывания.

Эта игорная инфраструктура переплетается с более широкими проблемами киберкриминала, финансового мошенничества и организованных преступных сетей. Примечательно, что, несмотря на легализацию спортивных ставок во многих штатах США, нелегальные азартные игры сохраняются, вовлекаясь в различные преступные активности, такие как отмывание денег, торговля людьми и кибермошенничество. ФБР подчеркнуло глобальный характер этих нелегальных букмекерских систем, которые часто используют зарубежные ресурсы и подпольные платежные механизмы для воздействия на пользователей по всему миру.

С точки зрения технических деталей, анализ включал набор данных, состоящий из 8 867 доменов, связанных с ФИФА, в основном содержащих контент на китайском языке. Поразительные 89,9% исследованных доменов содержали китайские иероглифы, при этом наблюдается заметная опора на соглашения об именовании доменов, указывающие либо на прямую связь с ФИФА, либо на более широкую тему азартных игр. Кроме того, в этих сайтах применяются сложные техники уклонения, где обманные оверлеи заставляют платформы для ставок выглядеть безобидными, часто имитируя академические учреждения или неправительственные организации (НПО), чтобы избежать обнаружения.

Инфраструктура в значительной степени опирается на централизованные сервисы, в основном расположенные в таких регионах, как Гонконг, где доминируют два основных провайдера ASN для хостинга. Концентрированное использование конкретных регистраторов и сервисов конфиденциальности указывает на потенциальные уязвимости, которые могут быть использованы для целевого нарушения работы. Были выявлены ключевые операционные отпечатки, включая общие инфраструктуры DNS-именных серверов и пары регистраторов, что может предоставить критически важную информацию для кибербезопасных вмешательств, направленных на разрушение этих незаконных операций.

#ParsedReport #CompletenessMedium
28-05-2026

Pivoting on a malspam infrastructure delivering JS malware backed by bulletproof networks - INTRINSEC

https://www.intrinsec.com/pivoting-on-a-malspam-infrastructure-delivering-js-malware-backed-by-bulletproof-networks/

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Bec_technique
Anonrdp_tool

Victims:
Energy ministries, Finance ministries, Pharmaceutical and drug manufacturing, Commonwealth of independent states

Industry:
Healthcare, Financial, Energy

Geo:
Seychelles

ChatGPT TTPs:
do not use without manual check
T1566

Soft:
BitLocker, Claude M, laude My

Algorithms:
des

Languages:
javascript

Platforms:
intel