#ParsedReport #CompletenessMedium
27-05-2026

The GHOST STADIUM Score: Billions At Stake At The World’s Largest Football Tournament

https://www.group-ib.com/blog/ghost-stadium-football-fraud/

Report completeness: Medium

Threats:
Supply_chain_technique
Typosquatting_technique
Vidar_stealer
Lumma_stealer

Victims:
Sports fans, Football fans, Sports organizations, Ticketing platforms, Financial institutions, Payment providers, Cryptocurrency exchanges

Industry:
Financial, Transport, Entertainment, E-commerce

Geo:
Latin american, Korean, Brazil, Japanese, Hong kong, Colombia, Asian, German, Canada, Taiwan, Italian, French, Russian, Mexico, Chinese, Spanish, Colombian, Qatar, Portuguese, Indonesian, Argentina

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1078, T1098, T1539, T1555.003, T1583.001, T1587.002, T1588.002, T1656

IOCs:
Domain: 44
Url: 4
IP: 15
Hash: 3

Soft:
Telegram, WhatsApp, Instagram

Crypto:
binance

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GHOST STADIUM, злоумышленник, говорящий на китайском языке, запустил сложную фишинговую кампанию, направленную на предстоящий чемпионат мира по футболу 2026 года, используя более 300 мошеннических доменов, имитирующих официальный сайт ФИФА, с целью сбора учетных данных пользователей. Кампания включает в себя точные копии веб-сайтов, разнообразные методы мошенничества, такие как фишинг учетных данных и поддельные продажи, при этом потенциальные потери оцениваются от 71 миллиона долларов до миллиардов. Кроме того, доказательства показывают, что множество учетных данных аккаунтов ФИФА уже доступны на темных веб-рынках, что усугубляет угрозы по мере приближения мероприятия.
-----

GHOST STADIUM — это китайскоязычный злоумышленник, участвующий в фишинговой кампании, направленной на Чемпионат мира по футболу 2026 года.

Кампания использует более 300 мошеннических доменов, имитирующих официальный веб-сайт ФИФА.

Методы атак включают фишинг учетных данных, поддельные продажи билетов, магазины контрафактных товаров, поддельные платформы потокового вещания, мошеннические сайты для ставок и массовые кампании стиллеров.

GHOST STADIUM создает пиксельно точные клоны сайта FIFA, воспроизводя поток аутентификации Single Sign-On (SSO).

Ожидаемые потери от мошенничества с премиальными билетами могут составлять от 71 миллиона до 474 миллионов долларов.

Инфраструктура фишинга использует имперсонацию брендов и агрессивные стратегии привлечения трафика, включая Facebook Ads и тайпсквоттинг.

Домены регистрируются заранее для быстрого развертывания по мере приближения даты турнира.

Используются несколько каналов оплаты для сбора средств жертв, включая прямой захват данных карт и приложения для P2P-платежей.

Жертвы несут финансовые потери из-за недоставленных билетов, кражи аккаунтов и эксплуатации персональной идентифицируемой информации (PII).

На темных веб-рынках обнаружено 2,513 пары учетных данных FIFA, что указывает на потенциальную возможность дальнейших атак, выходящих за рамки первоначального фишинга.

Group-IB предлагает стратегию защиты Cyber Fraud Fusion (CFF) для борьбы с этими угрозами посредством скоординированных ответов.

Эта стратегия интегрирует цифровую защиту от рисков (DRP), разведку угроз (TI) и защиту от мошенничества (FP) для одновременного обнаружения и защиты.

Осведомленность о попытках фишинга и мошеннических предложениях имеет решающее значение по мере приближения турнира.

#ParsedReport #CompletenessMedium
28-05-2026

Fake ChatGPT download site infects Windows and Mac users with malware

https://www.malwarebytes.com/blog/threat-intel/2026/05/fake-chatgpt-download-site-infects-windows-and-mac-users-with-malware

Report completeness: Medium

Threats:
Amos_stealer
Credential_stealing_technique
Lumma_stealer
Seo_poisoning_technique
Supply_chain_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 1
File: 2
IP: 3
Command: 1
Hash: 2

Soft:
ChatGPT, macOS, OpenAI, Telegram, Microsoft Store, Electron, Slack, Discord, macOS scripting engine, Firefox, have more...

Wallets:
trezor, electrum, ledger_wallet

Algorithms:
sha256

Languages:
php, applescript, powershell

#ParsedReport #CompletenessMedium
27-05-2026

SolyxImmortal - Analysis of a Python-based Information Stealer

https://blog.pulsedive.com/solyximmortal-analysis-of-a-python-based-information-stealer/

Report completeness: Medium

Threats:
Solyximmortal

Victims:
Banking, Email services, Turkey

Industry:
Financial

Geo:
Turkish

TTPs:
Tactics: 8
Technics: 12

IOCs:
File: 5
Registry: 1
Path: 1
Hash: 1

Soft:
Gmail, Discord, Firefox, Mozilla Firefox

Algorithms:
sha1, sha256, aes, md5, zip, base64

Functions:
persist, _collect_and_zip, sleep, start, _on_press, _key_logic, send

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SolyxImmortal — это информационный стиллер на базе Python, нацеленный на турецких пользователей, собирающий учетные данные из браузеров на базе Chromium, нажатия клавиш и скриншоты через заданные интервалы или при обнаружении банковских ключевых слов. Он обеспечивает закрепление через папку APPDATA и модифицирует реестр Windows, используя различные библиотеки Python для сбора данных и многопоточности. Украденные данные, включая пароли и документы, отправляются злоумышленникам через веб-хуки Discord, при этом турецкие фразы указывают на успешную передачу, а ВПО может легко адаптироваться для более широкого охвата.
-----

SolyxImmortal — это написанное на Python ВПО-стиллер, предназначенное для компрометации конфиденциальной информации, в первую очередь нацеленное на пользователей турецких сайтов. Вредоносное ПО специально собирает учетные данные из браузеров на базе Chromium, нажатия клавиш и делает скриншоты каждые две минуты или когда определенные ключевые слова, связанные с Gmail или банковскими сайтами, появляются в названиях окон приложений. Примечательно, что использование турецкого языка как в его операционных ключевых словах, так и в сообщениях эксфильтрации указывает на то, что разработка вредоносного ПО была направлена на пользователей, говорящих на турецком языке.

Вредоносное ПО работает, используя ряд библиотек Python для взаимодействия с системой и многопоточности, что позволяет одновременно собирать данные и отслеживать нажатия клавиш. После запуска SolyxImmortal обеспечивает закрепление, копируя себя в папку APPDATA и изменяя реестр Windows, чтобы гарантировать его запуск при старте системы. Точка входа вредоносного ПО инициализирует закрепление, ожидает 15 секунд, а затем запускает различные потоки сбора данных.

Сбор данных осуществляется с помощью функции, которая идентифицирует данные для входа из популярных браузеров, извлекая пароли из баз данных SQLite путем расшифровки связанных ключей, хранящихся в профилях браузеров. Целевые типы файлов для эксфильтрации включают текстовые файлы, документы Word, файлы Excel и PDF, при этом намеренно избегаются системные каталоги и файлы размером менее 100 байт или более 10 МБ. Собранная данные упаковываются в архив для эксфильтрации через веб-хуки Discord, при этом сообщения содержат турецкие фразы для уведомления пользователей об успешной передаче данных.

SolyxImmortal включает эффективный механизм регистрации нажатий клавиш, который захватывает каждое нажатие клавиши и передает эту информацию в формате JSON через определенные интервалы. Снимки экрана также захватываются и эксфильтруются при выполнении определенных критериев, вместе со связанным текстовым уведомлением.

Процесс эксфильтрации данных вредоносного ПО полностью автоматизирован и использует заранее определённые веб-хуки Discord для отправки собранной информации обратно злоумышленнику. Учитывая его способность адаптироваться посредством незначительных изменений в коде, таких как замена указанных ключевых слов, SolyxImmortal вызывает опасения относительно своего потенциала для широкого применения против различных целевых аудиторий, выходящих за рамки турецкоязычного сообщества.

#ParsedReport #CompletenessHigh
28-05-2026

The Gentlemen ransomware: Dissecting a self-propagating Go encryptor

https://www.microsoft.com/en-us/security/blog/2026/05/28/the-gentlemen-ransomware-dissecting-a-self-propagating-go-encryptor/

Report completeness: High

Actors/Campaigns:
Gentlemen_ransomware (motivation: cyber_criminal, financially_motivated)

Threats:
Gentlemen_ransomware
Garble_tool
Shadow_copies_delete_technique
Vssadmin_tool
Wevtutil_tool
Winrm_tool
Ransom:win64/gentlemen

Victims:
Education, Transportation, Healthcare, Financial, North america, South america, Europe, Africa, Asia

Industry:
Healthcare, Education, E-commerce, Transport

Geo:
America, Africa, Asia

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 5
Hash: 3

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Docker, DBeaver, wordpad, onenote, outlook, thebat, firefox, steam, have more...

Algorithms:
base64, xor, curve25519, sha256, xchacha20, ecdh

Win Services:
sqlservr, sqlbrowser, SQLAGENT, sqlwriter, dbeng50, dbsnmp, VeeamNFSSvc, VeeamTransportSvc, VeeamDeploymentSvc, vsnapvss, have more...

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 15, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО Gentlemen представляет собой серьезную киберугрозу, использующую модель программы-вымогателя как услуга, и управляется злоумышленником Storm-2697. Оно применяет надежное шифрование с использованием алгоритмов Curve25519 и XChaCha20, помечает зашифрованные файлы расширением .umc16h и обладает агрессивными механизмами самораспространения, действуя как червь, позволяя зараженным машинам распространять ВПО по сетям. ВПО использует тактику двойного вымогательства путем эксфильтрации конфиденциальных данных и внедряет обширные меры для уклонения от обнаружения и усложнения процессов восстановления.
-----

Группа Gentlemen представляет собой серьезную киберугрозу, характеризующуюся надежными возможностями шифрования и агрессивными техниками самораспространения. Она работает по модели программы-вымогателя как услуга (RaaS), управляемой финансово мотивированным злоумышленником Storm-2697. Представленная в середине 2025 года, она изначально функционировала как закрытая группа, прежде чем перейти к партнерской модели в сентябре 2025 года. Эта программа-вымогатель связана с тактикой двойного вымогательства, при которой она шифрует файлы и одновременно похищает конфиденциальные данные, оказывая давление на жертв угрозами публичного разглашения, если требования выкупа не будут выполнены.

Написан на языке Go и запутан с помощью Garble. Gentlemen использует Curve25519 для своих эфемерных файловых ключей в сочетании со шифротекстом XChaCha20 для шифрования, помечая файлы характерным расширением .umc16h после шифрования. Интерфейс командной строки позволяет операторам указывать различные параметры выполнения, включая область шифрования и методы перемещения внутри компании. Он эффективно реплицирует свой полезный груз, используя несколько стратегий перемещения внутри компании, таких как создание запланированных задач и использование таких инструментов, как PsExec, для сетевого распространения.

Механизм самораспространения является крайне примечательным, превращая шифровальщик в угрозу червеобразного типа. Он подготавливает зараженную машину для использования в качестве точки распространения, позволяя другим системам в сети подключаться и извлекать вредоносное ПО благодаря общему административному доступу. Вредоносное ПО предпринимает обширные меры для уклонения от обнаружения, включая отключение Microsoft Defender, удаление теневых копий томов и очистку журналов событий, тем самым затрудняя усилия по восстановлению и криминалистический анализ.

Процесс шифрования адаптируется в зависимости от размера файлов: небольшие файлы шифруются полностью, а большие — частично, путём разбиения на фрагменты, что эффективно нарушает их структуру и затрудняет восстановление. Кроме того, вредоносное ПО минимизирует сбои в работе операционных систем, исключая из шифрования критические каталоги и типы файлов.

При запуске он создает файл вымогателя README-GENTLEMEN.txt в каждом затронутом каталоге, чтобы направлять жертв через процесс оплаты выкупа. Его опора на разнообразные методы выполнения для перемещения внутри компании увеличивает шансы на проникновение в несколько систем, усиливая его потенциальное воздействие на сети.

При запуске с определённым аргументом командной строки вредоносное ПО также может выполнять процедуру стирания, которая перезаписывает участки диска, препятствуя восстановлению удалённых файлов и дополнительно усложняя криминалистический анализ. Механизмы закрепления программы включают как запланированные задачи, так и изменения в реестре, предназначенные для автоматического запуска после перезагрузки.

#ParsedReport #CompletenessLow
28-05-2026

The proliferation and evolution of AI-powered hacking tools - How generative AI has changed the cyberattack ecosystem and countermeasure strategies

https://asec.ahnlab.com/ko/93874/

Report completeness: Low

Actors/Campaigns:
Andariel
Emissary_panda

Threats:
Wormgpt_tool
Fraudgpt_tool
Evilgpt_tool
Wolfgpt_tool
Darkgpt_tool
Ghostgpt_tool
Malwaregpt_tool
Spamgpt_tool
Evilai
Xanthorox_tool
Hexstrike
Promptflux
Lamehug_tool
Honestcue
Bissa_tool
Promptspy
Supply_chain_technique

Victims:
Tax, Financial advisory, Digital asset settlement, Payroll, Human resources, Cloud services, Payment services, Database services, Artificial intelligence platforms, Ukraine, have more...

Geo:
North korea, Ukrainian, Russian, Chinese

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


ChatGPT TTPs:
do not use without manual check
T1027, T1027.014, T1027.016, T1090, T1102, T1190, T1566, T1587.001, T1587.002, T1587.004, have more...

IOCs:
File: 1

Soft:
ChatGPT, OpenAI, Telegram, Claude, Android, Hugging Face, Ollama, OpenClaw, Anthropic, ORB networks, have more...

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инструменты взлома на базе искусственного интеллекта, такие как WormGPT и Evil-GPT, существенно изменили ландшафт киберугроз, позволив злоумышленникам легко проводить различные фазы кибератак, включая фишинг, разведка и генерацию ВПО. Эти инструменты работают по моделям SaaS и обладают возможностями создания дипфейков, эксплуатации уязвимостей нулевого дня и создания самоизменяющегося ВПО, что улучшает техники уклонения. Интеграция искусственного интеллекта позволяет применять более быстрый и масштабируемый подход к выполнению сложных атак, создавая существенные проблемы для традиционных средств защиты кибербезопасности.
-----

Инструменты взлома на базе искусственного интеллекта, такие как WormGPT и Evil-GPT, трансформировали ландшафт кибератак, снизив барьеры для киберпреступников.

Эти инструменты применяются на различных этапах жизненного цикла атаки, включая фишинг, разведку и генерацию ВПО.

Подпольные инструменты ИИ могут генерировать дипфейки, разрабатывать ВПО, автоматизировать фишинг, проводить разведку, генерировать код и эксплуатировать уязвимости.

Функциональность этих инструментов имитирует модели «Программное обеспечение как услуга» (SaaS), предоставляя начинающим злоумышленникам доступ к подписным сервисам с различными уровнями.

ИИ используется для оркестровки атак, что иллюстрируется случаем с Bissa Scanner, связанным с масштабной эксплуатацией уязвимостей.

ВПО, интегрированное с ИИ, теперь демонстрирует возможности самоизменения для улучшения техник уклонения от обнаружения, как это наблюдается в случае с Promptflux и Promptspy.

Злоумышленники автоматизируют разработку эксплойтов нулевого дня, включая скрипты, предназначенные для обхода двухфакторной аутентификации (MFA).

Помощь со стороны искусственного интеллекта позволила злоумышленникам автоматизировать анализ уязвимостей и проверку кода эксплойтов, повышая операционную эффективность.

Масштабируемость и быстрое выполнение, которые ИИ предоставляет злоумышленникам, создают значительные проблемы для механизмов защиты.

Стратегии защиты должны сместиться в сторону активных мер защиты, включающих искусственный интеллект для выявления векторов атак и автоматизации операций безопасности.

Управление использованием ИИ и проверка кода, сгенерированного ИИ, в цепочках поставок имеют решающее значение для снижения рисков.

Эволюция инструментов взлома на базе искусственного интеллекта требует от организаций усиления защиты, переходя от блокировки угроз к активному управлению динамикой сил в кибератаках.

#ParsedReport #CompletenessLow
28-05-2026

Inside the Chinese-Language Gambling Infrastructure Targeting the 2026 World Cup

https://flare.io/learn/resources/blog/chinese-language-gambling-infrastructure-targeting-2026-world-cup

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique
Cloaking_technique

Victims:
2026 fifa world cup, Sports betting users, Apac

Industry:
Education, Entertainment, Healthcare, Telco, Ngo, Financial

Geo:
Chinese, Cambodia, Sweden, Netherlands, Laos, Canada, Myanmar, Asia, Philippines, Americans, Apac, Hong kong, Japan, Brazil, Hongkong, Mexico, China

ChatGPT TTPs:
do not use without manual check
T1036, T1583.001, T1583.002, T1583.004, T1588.004

IOCs:
Domain: 2
IP: 9

Soft:
Telegram, WeChat, WhatsApp, Discord, GoDaddy

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайскоязычная онлайн-инфраструктура азартных игр планирует использовать Чемпионат мира по футболу 2026 года для эксплуатации, применяя брендинг ФИФА и офшорные ставки для участия в финансовом мошенничестве. Экосистема состоит из 8 867 доменов, преимущественно на китайском языке, с использованием скоординированных развертываний с общими ресурсами и техниками уклонения, которые маскируют сайты азартных игр под легитимные учреждения для избежания обнаружения. Централизованные услуги в таких регионах, как Гонконг, и общие инфраструктуры DNS указывают на уязвимости, которые могут помочь в нацеливании на эти преступные операции.
-----

Комплексный анализ выявил масштабную китайскоязычную инфраструктуру онлайн-гемблинга, предназначенную для использования предстоящего чемпионата мира по футболу 2026 года. Эта обширная сеть использует брендинг ФИФА для привлечения трафика, одновременно продвигая офшорные ставки и масштабируя мошенническую деятельность. Операции в рамках этой экосистемы не являются изолированными инцидентами, а представляют собой скоординированные усилия, использующие общие ресурсы, такие как провайдеры DNS, повторяющиеся HTML-шаблоны и общие платформы хостинга, что указывает на повторяющуюся и автоматизированную структуру развертывания.

Эта игорная инфраструктура переплетается с более широкими проблемами киберкриминала, финансового мошенничества и организованных преступных сетей. Примечательно, что, несмотря на легализацию спортивных ставок во многих штатах США, нелегальные азартные игры сохраняются, вовлекаясь в различные преступные активности, такие как отмывание денег, торговля людьми и кибермошенничество. ФБР подчеркнуло глобальный характер этих нелегальных букмекерских систем, которые часто используют зарубежные ресурсы и подпольные платежные механизмы для воздействия на пользователей по всему миру.

С точки зрения технических деталей, анализ включал набор данных, состоящий из 8 867 доменов, связанных с ФИФА, в основном содержащих контент на китайском языке. Поразительные 89,9% исследованных доменов содержали китайские иероглифы, при этом наблюдается заметная опора на соглашения об именовании доменов, указывающие либо на прямую связь с ФИФА, либо на более широкую тему азартных игр. Кроме того, в этих сайтах применяются сложные техники уклонения, где обманные оверлеи заставляют платформы для ставок выглядеть безобидными, часто имитируя академические учреждения или неправительственные организации (НПО), чтобы избежать обнаружения.

Инфраструктура в значительной степени опирается на централизованные сервисы, в основном расположенные в таких регионах, как Гонконг, где доминируют два основных провайдера ASN для хостинга. Концентрированное использование конкретных регистраторов и сервисов конфиденциальности указывает на потенциальные уязвимости, которые могут быть использованы для целевого нарушения работы. Были выявлены ключевые операционные отпечатки, включая общие инфраструктуры DNS-именных серверов и пары регистраторов, что может предоставить критически важную информацию для кибербезопасных вмешательств, направленных на разрушение этих незаконных операций.

#ParsedReport #CompletenessMedium
28-05-2026

Pivoting on a malspam infrastructure delivering JS malware backed by bulletproof networks - INTRINSEC

https://www.intrinsec.com/pivoting-on-a-malspam-infrastructure-delivering-js-malware-backed-by-bulletproof-networks/

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Bec_technique
Anonrdp_tool

Victims:
Energy ministries, Finance ministries, Pharmaceutical and drug manufacturing, Commonwealth of independent states

Industry:
Healthcare, Financial, Energy

Geo:
Seychelles

ChatGPT TTPs:
do not use without manual check
T1566

Soft:
BitLocker, Claude M, laude My

Algorithms:
des

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2026 года кампании malspam, распространяющие JavaScript бэкдор, нацеливались на энергетический и финансовый секторы в регионе СНГ, с акцентом на Учетная запись эл. почты и бизнес компрометация. Эти кампании использовали две сети пуленепробиваемого хостинга, GHOSTYNETWORKS и OMEGATECH, что иллюстрирует сложность злоумышленников, включая TeamPCP, и их постоянную устойчивость с конца 2025 года. Использование этих сетей предполагает стратегические усилия по уклонению от правоохранительных органов при запуске постоянных атак.
-----

В марте 2026 года появилась серия кампаний malspam, которые в первую очередь были направлены на распространение бэкдора, написанного на JavaScript, и нацеленных на различные сектора, в частности министерства энергетики и финансов в регионе Содружества Независимых Государств (СНГ). Кампании, по-видимому, имеют финансовую мотивацию, а их цели сосредоточены на компрометации учетной записи эл. почты (EAC) и бизнес-компрометации эл. почты (BEC).

Инфраструктура, использовавшаяся в этих кампаниях, опиралась на две различные сети пуленепробиваемого хостинга: GHOSTYNETWORKS, базирующаяся в Соединенных Штатах, и OMEGATECH на Сейшельских островах. Сообщается, что GHOSTYNETWORKS является ребрендингом OPTIBOUNCE, который имеет связи с известным провайдером хостинга AnonRDP, что указывает на его использование более продвинутыми злоумышленниками, включая TeamPCP. Использование пуленепробиваемых сетей отражает попытку сохранить закрепление и избежать действий правоохранительных органов, что делает эти кампании особенно сложными для нейтрализации.

Расследования инфраструктуры злоумышленника выявили закономерность в виде предыдущих кампаний malspam и вредоносной активности, уходящих корнями в конец 2025 года, что дополнительно подтверждает устойчивость и адаптивность этих злоумышленников. Эта тенденция подчеркивает растущую сложность киберугроз, с которыми сталкиваются организации, и акцентирует внимание на насущной необходимости проактивного обнаружения и анализа для эффективного реагирования на потенциальные компрометации. В связи с этим организациям рекомендуется перейти к более активному подходу в области кибербезопасности, чтобы предвосхищать или быстро реагировать на возникающие угрозы.

#ParsedReport #CompletenessHigh
28-05-2026

ShinyHunters: Silent Malware as a Service (MaaS)

https://ransom-isac.org/blog/shinyhunters-silent-maas

Report completeness: High

Actors/Campaigns:
Shinyhunters (motivation: financially_motivated)
Shiny_spider

Threats:
Silent_stealer
Smartscanner_tool
Credential_harvesting_technique
Uac_bypass_technique
Microstealer
Fodhelper_technique
Shadow_copies_delete_technique
Vssadmin_tool

Victims:
Gaming, Social media, Cryptocurrency, Financial services

Industry:
Healthcare, Entertainment

Geo:
Africa, French, America, New york

TTPs:
Tactics: 10
Technics: 29

IOCs:
File: 31
IP: 2
Domain: 1
Path: 5
BrowserExtension: 8
Coin: 1
Command: 1
Hash: 23

Soft:
Telegram, Discord, Electron, Steam, Roblox, TikTok, Windows Defender, NSIS installer, Chrome, ctron app, have more...

Wallets:
metamask, coinbase, atomicwallet, exodus_wallet

Crypto:
binance

Algorithms:
sha256, aes, lzma, sha1, aes-256-cbc, xor, md5, pbkdf2, aes-256-gcm, aes-gcm, zip

Functions:
Web, Roblox, sendToAPI, GetTikTok, MinecraftSession, createCipheriv

Win API:
SetSuspendState, LockWorkStation

Languages:
javascript, python, cscript, visual_basic, powershell

Platforms:
apple