#ParsedReport #CompletenessMedium
28-05-2026

GREYVIBE: A Rus

https://labs.withsecure.com/publications/greyvibe.html

Report completeness: Medium

Actors/Campaigns:
Greyvibe (motivation: cyber_criminal, information_theft)
Fin12

Threats:
Spear-phishing_technique
Legionrelay
Phantomrelay
Phantomclick_tool
Clickfix_technique
Fallspy
Zapixdesk
Lookvaljs
Teasoup
Kongtuke
Sawdust_tool
Crudedust_tool
Lookvalps
Trickbot
Xmrig_miner

Victims:
Military, Government, Civilian, Business, Ukrainian combatants, Ukraine related entities

Industry:
Energy, Military, Government

Geo:
Russia, Ukrainian, Ukraine, Latvian, Moscow, Rus, Russian

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1021.001, T1027, T1041, T1059.001, T1059.003, T1059.007, T1071.001, T1082, have more...

Soft:
Zoom, Android, Telegram, WireGuard, ChatGPT, Microsoft Teams, WhatsApp

Algorithms:
zip, exhibit

Languages:
powershell, javascript

Links:
https://github.com/WithSecureLabs/iocs/tree/master/GREYVIBE/

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GREYVIBE — это хакерская группировка, нацеленная на Украину, действующая в интересах российского государства с августа 2025 года, использующая такие методы, как Целевой фишинг, поддельные страницы captcha и мошеннические веб-сайты. Их арсенал ВПО включает инструменты собственной разработки, такие как RAT PhantomRelay на базе PowerShell, который имеет модульную архитектуру и использует WebSockets для управления, а также вредоносное ПО для Android FallSpy для слежки. Недавнее использование GREYVIBE генеративного искусственного интеллекта для улучшения операций указывает на изменяющийся ландшафт угроз, усложняя усилия по обнаружению и атрибуции.
-----

GREYVIBE — это хакерская группировка, выявленная WithSecure, которая с августа 2025 года преимущественно нацелена на Украину и организации, связанные с Украиной. Деятельность группы демонстрирует значительные пересечения в инфраструктуре атак и операционных методологиях, что указывает на устойчивую кампанию, согласованную с интересами российского государства, особенно в контексте российско-украинской войны. Операции GREYVIBE характеризуются использованием различных векторов атак, включая целевой фишинг, поддельные страницы captcha и мошеннические веб-сайты, имитирующие украинские организации. Эти методы способствовали распространению ВПО, преимущественно кастомных вариантов, таких как PhantomRelay, FallSpy и LegionRelay.

PhantomRelay, Троянская программа удалённого доступа (RAT) на базе PowerShell, использует двухэтапную цепочку выполнения и осуществляет связь с сервером управления через WebSockets. Её модульная архитектура позволяет расширять функциональность с помощью дополнительных скриптов. Группа выпустила несколько вариантов PhantomRelay, последним из которых является PhantomRelayV2, что демонстрирует явное развитие их возможностей по созданию вредоносного программного обеспечения (ВПО). FallSpy, доступная для Android, предназначена для слежки и тайного сбора разведывательных данных, осуществляя эксфильтрацию информации с заражённых устройств, при этом показывая пользователю поддельный контент.

Согласно недавним оперативным тенденциям, GREYVIBE экспериментирует с системами в стиле ClickFix для создания поддельных страниц для начального развертывания вредоносного ПО. Кроме того, их широкое использование генеративного искусственного интеллекта и больших языковых моделей на протяжении всего жизненного цикла атаки усилило их оперативные возможности. Это позволило GREYVIBE эффективно разрабатывать приманки, обфускаторы и загрузчики, быстро устраняя технические пробелы и усложняя традиционные методы атрибуции из-за динамичной природы их набора инструментов.

Их атрибуция дополнительно усложняется указаниями на то, что группа имеет связи с более широким экосистемой киберкриминал, с доказательствами их ВПО, появляющимися в несвязанных киберкриминал деятельности. Операторы, вероятно, русскоязычные, работающие в часовых поясах Москвы, и их деятельность сильно указывает на согласование с российскими целями сбора разведданных.

Хотя анализ WithSecure подтверждает мнение о том, что операции GREYVIBE связаны с российскими государственными интересами, они не демонстрируют зрелости, типичной для более продвинутых злоумышленников. Однако постоянная разработка и развертывание сложных инструментов, а также интеграция искусственного интеллекта в их стратегии указывают на то, что GREYVIBE может продолжать развиваться, что делает непрерывное обнаружение и атрибуцию все более сложными задачами для усилий в области кибербезопасности. Согласно последним отчетам, окончательных связей с другими известными группами злоумышленников не установлено, хотя мониторинг будет продолжаться для определения любых потенциальных пересечений с существующей кибердеятельностью.

#ParsedReport #CompletenessHigh
28-05-2026

Malicious NuGet Package Impersonates Sicoob SDK to Exfiltrate Banking Certificates and Passwords

https://socket.dev/blog/malicious-nuget-package-impersonates-sicoob-sdk

Report completeness: High

Actors/Campaigns:
Sicoob_impersonation

Threats:
Supply_chain_technique

Victims:
Financial services, Banking, Software developers

Industry:
Financial

Geo:
Brazilian, Brasil, Brazil

TTPs:
Tactics: 3
Technics: 5

IOCs:
File: 16
Url: 4
Domain: 1
Hash: 1

Soft:
NuGet, NuGet a

Algorithms:
base64

Languages:
powershell

Links:
https://github.com/Sicoob-Cooperativa/sicoob\_sdk\_csharp/blob/main/SicoobClient.cs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет NuGet, замаскированный под SDK Sicoob, был обнаружен выполняющим эксфильтрацию конфиденциальной банковской информации, включая идентификаторы клиентов и пароли PFX, путем инициализации объекта клиента и передачи данных на жестко закодированный конечный пункт. Версии с 2.0.0 по 2.0.4 содержали встроенную логику эксфильтрации, в то время как связанный репозиторий GitHub ложно характеризовал SDK как безвредный, не имея вредоносных компонентов. Эта атака использует методы Компрометации цепочки поставок и представляет риск несанкционированного доступа к чувствительным финансовым операциям, если учетные данные будут скомпрометированы.
-----

Недавно выявленный вредоносный пакет NuGet, использующий Маскировка под официальный SDK Sicoob (Sicoob.Sdk), оказался инструментом для эксфильтрации конфиденциальной банковской информации, включая идентификаторы клиентов, пароли PFX и банковские сертификаты. Этот пакет, ложно заявляющий о возможности интеграции с финансовыми системами Sicoob в Бразилии, был загружен в репозиторий NuGet без какого-либо законного отношения к банку.

Вредоносное поведение в основном происходит, когда пакет инициализирует объект клиента — с использованием предоставленного идентификатора клиента, пути к файлу PFX и пароля к файлу PFX. Пакет считывает содержимое сертификата PFX с диска, кодирует эти данные в base64 и затем передает как идентификатор клиента, так и пароль к PFX в открытом виде на жестко заданный конечный пункт телеметрии Sentry. Такое поведение вызывает серьезные опасения в плане безопасности, поскольку файл PFX часто содержит закрытый ключ клиента и сертификат, необходимые для аутентификации по взаимному TLS. Если эти учетные данные будут скомпрометированы, злонамеренный актор может потенциально имперсонировать легитимную интеграцию API Sicoob, что приведет к несанкционированному доступу к конфиденциальным финансовым данным.

Анализ пакета показывает, что версии 2.0.0–2.0.4 содержали встроенную логику эксфильтрации, что отличало их от других безвредных пакетов, выпущенных тем же хакером под тем же именем. Примечательно, что видимый исходный код в связанном репозитории GitHub демонстрировал безвредную функциональность SDK, но не содержал вредоносных компонентов эксфильтрации, присутствующих в распространяемых бинарных файлах NuGet. Это расхождение предполагает, что репозиторий GitHub мог быть создан как фасада для придания дополнительного уровня достоверности вредоносному коду.

Аккаунт NuGet, ответственный за распространение этой версии SDK, был отмечен как связанный с другими потенциально вредоносными пакетами, и после получения сообщения об злоупотреблении пакет был заблокирован для дальнейшего распространения. Кроме того, связанная организация GitHub не имеет никакой подтверждённой аффилированности с Sicoob и не демонстрирует признаков надёжности, таких как подписчики или история вкладов, которые могли бы придать ей авторитетность в качестве официального источника.

Угроза, создаваемая этим ВПО, усугубляется возможностью доступа к чувствительным операциям, включая мгновенные платежи Pix, транзакции boleto и управление другими финансовыми данными, в зависимости от разрешений, связанных с скомпрометированными учетными данными.

Атака соответствует устоявшимся техникам MITRE ATT&CK, связанным с компрометацией Цепочки поставок, эксфильтрацией через каналы управления (C2) и несанкционированным получением учетных данных, что отражает продуманную стратегию злоумышленника по эксплуатации относительно доверенных программных сред и манипулированию доверием разработчиков в корыстных целях. Инцидент служит критически важным напоминанием о важности обеспечения безопасности зависимостей программного обеспечения и бдительности в отношении атак на Цепочку поставок.

#ParsedReport #CompletenessLow
28-05-2026

The Mini Shai-Hulud Worm and the New Era of CI/CD Exploitation

https://flashpoint.io/blog/mini-shai-hulud-worm-new-era-ci-cd-exploitation/

Report completeness: Low

Actors/Campaigns:
Mini_shai-hulud (motivation: cyber_criminal)
Teampcp (motivation: cyber_criminal)

Threats:
Supply_chain_technique
Dead_drop_technique
Shai-hulud

Victims:
Developer ecosystem, Software supply chain, Ai developer tools, Enterprise data visualization, Code hosting platforms, Security tooling

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.007, T1102.001, T1195.001, T1213, T1485, T1543.001, T1543.002, T1546, have more...

IOCs:
File: 2

Soft:
TanStack, Node.js, Kubernetes, Docker, HashiCorp Vault, 1Password, Bitwarden, systemd, Linux, macOS, have more...

Crypto:
bitcoin

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь Mini Shai-Hulud, развернутый TeamPCP, нацелен на конвейеры CI/CD, эксплуатируя уязвимости в инструментах разработчиков и крадя токены аутентификации с платформ, таких как npm и GitHub. Он выполняется в виде зашифрованного скрипта на Bun JavaScript, что позволяет ему избегать обнаружения, одновременно компрометируя учетные данные во множестве сред. К продвинутым тактикам относятся использование GitHub для связи с управлением и поддержание закрепления, а также эксфильтрация конфиденциальных данных из сеансов разработки.
-----

Червь Mini Shai-Hulud, развернутый хакерской группировкой TeamPCP, представляет собой серьезную угрозу для экосистемы разработчиков, фундаментально компрометируя целостность конвейеров непрерывной интеграции/непрерывного развертывания (CI/CD). Благодаря своей способности к самораспространению и воздействию на миллионы разработчиков и множество организаций, Mini Shai-Hulud может быстро эксплуатировать уязвимости в инструментах разработчиков и инфраструктурах идентификации. Операции быстро эскалировали, перейдя от оппортунистических краж учетных данных к автоматизированному процессу, способному компрометировать множество пакетов за считанные минуты.

Технически Mini Shai-Hulud функционирует как обфусцированный скрипт (498 КБ), выполняемый с использованием среды выполнения JavaScript Bun, что позволяет ему избегать обнаружения большинством решений безопасности конечных точек, настроенных для Node.js. Методика включает кражу токенов аутентификации npm и GitHub и их использование для публикации вредоносных версий пакетов, поддерживаемых скомпрометированными пользователями. Это достигается путем сканирования памяти для извлечения кратковременных токенов идентификации и их использования для получения токенов доверенного издателя npm без необходимости в долгосрочных секретных ключах.

Червь нацелен на широкий спектр учетных данных в более чем 130 путях к файлам, включая токены для npm, GitHub, AWS, Azure, Kubernetes, Docker и различных решений для управления секретами. Коммуникация command-and-control (C2) использует метод мертвой точки через публичный API поиска коммитов GitHub, что затрудняет обнаружение без нарушения легитимного использования платформы. Установленные демоны на машинах жертв позволяют червю опрашивать GitHub на наличие команд, встроенных в коммиты, выполняя их бесшовно и используя GitHub в качестве доверенного ретранслятора.

Кроме того, червь использует инновационные техники закрепления путем перехвата AI-агентов для написания кода. Он изменяет конфигурационные файлы таких инструментов, как Claude Code и Visual Studio Code, чтобы сохранить свое присутствие и выполнить эксфильтрацию конфиденциальной информации, обрабатываемой в будущих сессиях разработки. Это представляет собой новую поверхность атаки в средах разработки, ориентированных на ИИ.

За несколько волн атак в 2026 году TeamPCP нацелилась на значительные экосистемы, включая ряд пакетов библиотек, инструментов для разработчиков ИИ и даже внутренние корпоративные репозитории, похитив значительный объем проприетарных данных из организаций. Их методология включала эксплуатацию методов отравления кэша и использование поддельного авторства коммитов для дальнейшего проникновения в доверенные среды разработки.

В качестве ответа организациям рекомендуется провести аудит сред CI/CD, удалить зараженные пакеты, сменить учетные данные и заблокировать коммуникации с C2. Эта новая угроза подчеркивает критическую необходимость мониторинга конфигураций AI-агентов и внедрения строгих мер безопасности для инструментов разработки и цепочек поставок программного обеспечения. Эволюция Mini Shai-Hulud указывает на растущий тренд в стратегическом использовании атак на цепочку поставок, направленных на подрыв доверия и операционной целостности в экосистемах разработчиков.

#ParsedReport #CompletenessMedium
29-05-2026

Typosquatted npm packages used to steal cloud and CI/CD secrets

https://www.microsoft.com/en-us/security/blog/2026/05/28/typosquatted-npm-packages-used-steal-cloud-ci-cd-secrets/

Report completeness: Medium

Actors/Campaigns:
Vpmdhaj

Threats:
Typosquatting_technique
Supply_chain_technique
Shai-hulud

Victims:
Npm package ecosystem, Opensearch ecosystem, Elasticsearch ecosystem, Cloud environments, Ci cd environments

TTPs:
Tactics: 5
Technics: 0

IOCs:
Email: 1
File: 12
Domain: 1
Url: 1
Hash: 3

Soft:
Linux, Microsoft Defender, OpenSearch, HashiCorp Vault, macOS, Microsoft Defender for Endpoint, Node.js

Algorithms:
sha256, zip, base64

Functions:
require, GetCallerIdentity

Languages:
powershell, javascript

Platforms:
arm, x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Microsoft сообщил о цепочке поставок атаке на экосистему npm со стороны злоумышленника под именем vpmdhaj, который опубликовал 14 пакетов с опечатками, предназначенных для имитации популярных библиотек. Эти пакеты, используя стейджер, который действует как сборщик учетных данных для облачных сред, выполняются скрытно при установке, нацеливаясь на конфиденциальные данные, такие как учетные данные AWS и секреты конвейеров CI/CD. Атака использует хуки жизненного цикла npm для автоматического выполнения, связывается с сервером управления и использует легитимные файлы среды выполнения Bun для сокрытия своей деятельности.
-----

Microsoft сообщил о цепочке поставок атака, нацеленная на экосистему npm-пакетов злоумышленником по имени vpmdhaj. Актор опубликовал 14 поддельных вредоносных пакетов 28 мая 2026 года, предназначенных для имитации популярных библиотек. Эти пакеты собирают конфиденциальные учетные данные, включая учетные данные AWS, токены HashiCorp Vault и секреты из конвейеров CI/CD. Все пакеты используют загрузчик, который выполняет 195 КБ Bun-скомпилированный сборщик учетных данных, нацеленный на облачные среды.

Атака инициируется автоматическим выполнением во время установки npm с использованием хуков жизненного цикла npm. Первое поколение цепочки выполнения подключается к HTTP C2 для загрузки второго этапа полезной нагрузки, тогда как второе поколение использует действительные файлы среды выполнения Bun для сокрытия своих операций. Файл setup.mjs проверяет наличие установки Bun и может загрузить его, если он отсутствует, маскируя первоначальное подключение к C2.

Бинарный файл второго этапа обращается к AWS EC2 Instance Metadata Service (IMDSv2), метаданным Elastic Container Service и AWS Secrets Manager в различных регионах, проверяя токены публикации npm, которые могут позволить манипуляции с репозиторием или процессом CI/CD. Атака в первую очередь нацелена на разработчиков, которые с высокой вероятностью имеют эти учетные данные из-за релевантности пакетов для сред OpenSearch и ElasticSearch.

Скомпрометированные сессии AWS STS и учетные данные Secrets Manager позволяют осуществлять перемещение внутри компании и масштабное хищение данных. Украденные токены GitHub Actions могут способствовать несанкционированному изменению содержимого репозиториев, тогда как токены npm publish могут привести к дальнейшим проникновениям в Цепочку поставок. Microsoft Defender Antivirus способен обнаруживать и блокировать эти вредоносные компоненты, однако последствия атаки требуют мониторинга выполнения скриптов жизненного цикла npm и несанкционированных загрузок из GitHub с целью получения вредоносных загрузок.

#ParsedReport #CompletenessLow
29-05-2026

55+ Football Scam Campaigns Exploit FIFA World Cup 2026 Hype on Meta Platforms

https://www.secureblink.com/cyber-security-news/55-football-scam-campaigns-exploit-fifa-world-cup-2026-hype-on-meta-platforms-1

Report completeness: Low

Victims:
Football fans, England supporters, Scotland supporters, Tartan army, Hearts fc supporters, Parents

Industry:
Retail, E-commerce, Transport

Geo:
Germany, Spain, Portugal, Belgium, Australia, China, Canada, Algeria, Chinese, Mexico, Brazil, England

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003, T1566, T1583.001, T1583.008, T1585.002, T1656

IOCs:
Domain: 3

Soft:
Instagram, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании кибермошенничества используют чемпионат мира по футболу 2026 года, применяя более 55 операций вредоносной рекламы преимущественно на платформах Meta, таких как Facebook и Instagram. Эти кампании используют обманные тактики, такие как поддельные магазины мерчандайзинга и фишинг-сайты, нацеливаясь на болельщиков футбола с помощью сообщений, создающих ощущение срочности, и имитации легитимных продуктов. Организованный характер этих усилий, связанный с потенциальными китайскими операторами, создает серьезные риски, такие как кража личных данных и мошенничество с кредитными картами для жертв, которые невольно делятся конфиденциальной информацией.
-----

Выявлены недавние кампании вредоносной рекламы, нацеленные на болельщиков Чемпионата мира по футболу 2026 года, с использованием обманных тактик на платформах Meta.

Более 55 различных операций включают поддельные магазины товаров, фишинговые сайты, письма с лотереями с предоплатой и схемы пиратства IPTV.

Обманы направлены на сбор конфиденциальной личной информации, такой как платежные данные и документы, удостоверяющие личность.

Злоумышленники целенаправленно атакуют болельщиков национальных сборных, таких как Англия, Шотландия и Бразилия, используя тактики, основанные на чувстве срочности, например, таймеры обратного отсчета.

Поддельные объявления о товарах включают брендовые футбольные комплекты и эксклюзивные коллекционные предметы, а также объявления о поддельных выигрышах в лотерею на сумму до 2 миллионов долларов.

Некоторые усилия направлены на родителей, ищущих футбольные комплекты для детей, с заявлениями о бесплатной доставке и возврате в течение 30 дней.

Кампании указывают на связи с организованной преступностью, при этом есть признаки участия китайских операторов.

Изображения, созданные с помощью искусственного интеллекта, использовались для создания убедительных списков товаров; некоторые из них применяли подмену кириллических символов для обхода модерации.

Жертвы сталкиваются с рисками мошенничества с банковскими картами и кражи личных данных после предоставления конфиденциальной информации на этих мошеннических сайтах.

Инструменты обнаружения заблокировали некоторые мошеннические перенаправления, но многие рекламные объявления продолжают распространяться.

Системы проверки рекламы Meta выявили некоторые мошеннические материалы, однако проблемы сохраняются из-за масштаба операции и её трансграничного характера.

Пользователям рекомендуется проверять информацию о товарах и лотерейных предложениях через официальные каналы и проявлять осторожность при использовании тактик создания срочности.

Злоумышленники все чаще интегрируют многоканальные стратегии для обмана пользователей во время глобальных спортивных мероприятий.

#ParsedReport #CompletenessHigh
29-05-2026

Universities and the energy industry are being attacked by an unknown group, active since at least 2024

https://securelist.ru/unknown-group-targets-maritime-universities/115765/

Report completeness: High

Threats:
Ravage_tool
Purerat
Redline_stealer
Cobalt_strike_tool
Vidar_stealer
Lumma_stealer
Stealc
Battoexe_tool
Putty_tool

Victims:
Educational institutions, Maritime and river transport education, Fishing industry education, Energy organizations, Financial organizations, Diplomatic services, Public authorities, Russian organizations

Industry:
Education, Energy, Maritime

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1021.002, T1027, T1027.002, T1036, T1047, T1055, T1059, T1059.001, T1059.003, T1105, have more...

IOCs:
Url: 14
File: 21
Hash: 21
Email: 1
Domain: 4
IP: 3

Soft:
Microsoft Excel, NSIS installer

Algorithms:
zip, md5

Languages:
powershell, autoit

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка, нацеленная на образовательные учреждения, особенно морские, энергетический сектор и финансовые организации, активна с 2024 года. Они используют фишинговые письма с ZIP-архивами, содержащими вредоносные файлы XLL, которые загружают исполняемые файлы, такие как "Putty.exe", используемые для доставки различных ВПО, включая бэкдор PureRAT, и "Ps.exe", который запускает скрипты для манипуляции файлами через фреймворк Ravage. Их атаки демонстрируют колеблющиеся уровни активности, тактика эволюционирует, но неизменно включает вредоносные файлы XLL, связанные с легитимными инструментами.
-----

Хакерская группировка ведет активность как минимум с 2024 года, нацеливаясь преимущественно на образовательные учреждения, особенно те, что занимаются морскими исследованиями, а также на энергетический сектор и финансовые организации. Их метод работы включает эксплуатацию методов доставки ВПО с использованием фишинговых писем, содержащих ZIP-архивы с вредоносными файлами XLL, которые маскируются под легитимные надстройки Microsoft Excel.

В 2026 году злоумышленники использовали фишинг-стратегию, при которой файл XLL, связанный с загрузчиком, выполнял вредоносный код при открытии. Этот тип файлов, созданный с использованием фреймворка Excel-DNA, включает модуль, написанный на C#, который загружает два исполняемых файла с скомпрометированных URL-адресов, а именно https://venera-gimadieva.com/update/putty.exe и https://venera-gimadieva.com/update/ps.exe. Файл "Putty.exe" функционирует как биндер для консолидации различных бэкдоров и стиллеров, в частности известных элементов из домена MaaS, таких как Vidar и RedLine. При выполнении он распаковывает свои компоненты с помощью механизма самораспаковывающегося CAB-архива и использует скрипты AutoIt для внедрения ВПО в процесс RegAsm.exe. В результате этого действия доставляется бэкдор PureRAT.

Второй исполняемый файл, "Ps.exe", — это утилита, которая преобразует пакетные скрипты в самодостаточные исполняемые файлы. Он запускает PowerShell-скрипт, который действует как загрузчик для фреймворка Ravage, позволяющий манипулировать файлами, выполнять процессы и выполнять команды в локальной сети через SMB или WMI, но не обладает некоторыми расширенными возможностями, присутствующими в других ПО для удаленного доступа.

Атакующая группа демонстрирует переменную частоту активности, с периодами простоя, длящимися несколько месяцев, за которыми следуют всплески атак. Например, с сентября по декабрь 2025 года атаки включали распределенные XLL-файлы, которые маскировались под стандартные документы Excel, но при этом доставляли вредоносные payloads. Расследование предыдущих лет показало, что эти тактики применялись аналогичным образом с 2024 года, часто с упоминанием имени Putty в их файлах, что может быть отсылкой к легитимному инструменту удаленного доступа PuTTY.