#ParsedReport #CompletenessHigh
28-05-2026

Malicious NuGet Package Impersonates Sicoob SDK to Exfiltrate Banking Certificates and Passwords

https://socket.dev/blog/malicious-nuget-package-impersonates-sicoob-sdk

Report completeness: High

Actors/Campaigns:
Sicoob_impersonation

Threats:
Supply_chain_technique

Victims:
Financial services, Banking, Software developers

Industry:
Financial

Geo:
Brazilian, Brasil, Brazil

TTPs:
Tactics: 3
Technics: 5

IOCs:
File: 16
Url: 4
Domain: 1
Hash: 1

Soft:
NuGet, NuGet a

Algorithms:
base64

Languages:
powershell

Links:
https://github.com/Sicoob-Cooperativa/sicoob\_sdk\_csharp/blob/main/SicoobClient.cs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет NuGet, замаскированный под SDK Sicoob, был обнаружен выполняющим эксфильтрацию конфиденциальной банковской информации, включая идентификаторы клиентов и пароли PFX, путем инициализации объекта клиента и передачи данных на жестко закодированный конечный пункт. Версии с 2.0.0 по 2.0.4 содержали встроенную логику эксфильтрации, в то время как связанный репозиторий GitHub ложно характеризовал SDK как безвредный, не имея вредоносных компонентов. Эта атака использует методы Компрометации цепочки поставок и представляет риск несанкционированного доступа к чувствительным финансовым операциям, если учетные данные будут скомпрометированы.
-----

Недавно выявленный вредоносный пакет NuGet, использующий Маскировка под официальный SDK Sicoob (Sicoob.Sdk), оказался инструментом для эксфильтрации конфиденциальной банковской информации, включая идентификаторы клиентов, пароли PFX и банковские сертификаты. Этот пакет, ложно заявляющий о возможности интеграции с финансовыми системами Sicoob в Бразилии, был загружен в репозиторий NuGet без какого-либо законного отношения к банку.

Вредоносное поведение в основном происходит, когда пакет инициализирует объект клиента — с использованием предоставленного идентификатора клиента, пути к файлу PFX и пароля к файлу PFX. Пакет считывает содержимое сертификата PFX с диска, кодирует эти данные в base64 и затем передает как идентификатор клиента, так и пароль к PFX в открытом виде на жестко заданный конечный пункт телеметрии Sentry. Такое поведение вызывает серьезные опасения в плане безопасности, поскольку файл PFX часто содержит закрытый ключ клиента и сертификат, необходимые для аутентификации по взаимному TLS. Если эти учетные данные будут скомпрометированы, злонамеренный актор может потенциально имперсонировать легитимную интеграцию API Sicoob, что приведет к несанкционированному доступу к конфиденциальным финансовым данным.

Анализ пакета показывает, что версии 2.0.0–2.0.4 содержали встроенную логику эксфильтрации, что отличало их от других безвредных пакетов, выпущенных тем же хакером под тем же именем. Примечательно, что видимый исходный код в связанном репозитории GitHub демонстрировал безвредную функциональность SDK, но не содержал вредоносных компонентов эксфильтрации, присутствующих в распространяемых бинарных файлах NuGet. Это расхождение предполагает, что репозиторий GitHub мог быть создан как фасада для придания дополнительного уровня достоверности вредоносному коду.

Аккаунт NuGet, ответственный за распространение этой версии SDK, был отмечен как связанный с другими потенциально вредоносными пакетами, и после получения сообщения об злоупотреблении пакет был заблокирован для дальнейшего распространения. Кроме того, связанная организация GitHub не имеет никакой подтверждённой аффилированности с Sicoob и не демонстрирует признаков надёжности, таких как подписчики или история вкладов, которые могли бы придать ей авторитетность в качестве официального источника.

Угроза, создаваемая этим ВПО, усугубляется возможностью доступа к чувствительным операциям, включая мгновенные платежи Pix, транзакции boleto и управление другими финансовыми данными, в зависимости от разрешений, связанных с скомпрометированными учетными данными.

Атака соответствует устоявшимся техникам MITRE ATT&CK, связанным с компрометацией Цепочки поставок, эксфильтрацией через каналы управления (C2) и несанкционированным получением учетных данных, что отражает продуманную стратегию злоумышленника по эксплуатации относительно доверенных программных сред и манипулированию доверием разработчиков в корыстных целях. Инцидент служит критически важным напоминанием о важности обеспечения безопасности зависимостей программного обеспечения и бдительности в отношении атак на Цепочку поставок.

#ParsedReport #CompletenessLow
28-05-2026

The Mini Shai-Hulud Worm and the New Era of CI/CD Exploitation

https://flashpoint.io/blog/mini-shai-hulud-worm-new-era-ci-cd-exploitation/

Report completeness: Low

Actors/Campaigns:
Mini_shai-hulud (motivation: cyber_criminal)
Teampcp (motivation: cyber_criminal)

Threats:
Supply_chain_technique
Dead_drop_technique
Shai-hulud

Victims:
Developer ecosystem, Software supply chain, Ai developer tools, Enterprise data visualization, Code hosting platforms, Security tooling

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.007, T1102.001, T1195.001, T1213, T1485, T1543.001, T1543.002, T1546, have more...

IOCs:
File: 2

Soft:
TanStack, Node.js, Kubernetes, Docker, HashiCorp Vault, 1Password, Bitwarden, systemd, Linux, macOS, have more...

Crypto:
bitcoin

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь Mini Shai-Hulud, развернутый TeamPCP, нацелен на конвейеры CI/CD, эксплуатируя уязвимости в инструментах разработчиков и крадя токены аутентификации с платформ, таких как npm и GitHub. Он выполняется в виде зашифрованного скрипта на Bun JavaScript, что позволяет ему избегать обнаружения, одновременно компрометируя учетные данные во множестве сред. К продвинутым тактикам относятся использование GitHub для связи с управлением и поддержание закрепления, а также эксфильтрация конфиденциальных данных из сеансов разработки.
-----

Червь Mini Shai-Hulud, развернутый хакерской группировкой TeamPCP, представляет собой серьезную угрозу для экосистемы разработчиков, фундаментально компрометируя целостность конвейеров непрерывной интеграции/непрерывного развертывания (CI/CD). Благодаря своей способности к самораспространению и воздействию на миллионы разработчиков и множество организаций, Mini Shai-Hulud может быстро эксплуатировать уязвимости в инструментах разработчиков и инфраструктурах идентификации. Операции быстро эскалировали, перейдя от оппортунистических краж учетных данных к автоматизированному процессу, способному компрометировать множество пакетов за считанные минуты.

Технически Mini Shai-Hulud функционирует как обфусцированный скрипт (498 КБ), выполняемый с использованием среды выполнения JavaScript Bun, что позволяет ему избегать обнаружения большинством решений безопасности конечных точек, настроенных для Node.js. Методика включает кражу токенов аутентификации npm и GitHub и их использование для публикации вредоносных версий пакетов, поддерживаемых скомпрометированными пользователями. Это достигается путем сканирования памяти для извлечения кратковременных токенов идентификации и их использования для получения токенов доверенного издателя npm без необходимости в долгосрочных секретных ключах.

Червь нацелен на широкий спектр учетных данных в более чем 130 путях к файлам, включая токены для npm, GitHub, AWS, Azure, Kubernetes, Docker и различных решений для управления секретами. Коммуникация command-and-control (C2) использует метод мертвой точки через публичный API поиска коммитов GitHub, что затрудняет обнаружение без нарушения легитимного использования платформы. Установленные демоны на машинах жертв позволяют червю опрашивать GitHub на наличие команд, встроенных в коммиты, выполняя их бесшовно и используя GitHub в качестве доверенного ретранслятора.

Кроме того, червь использует инновационные техники закрепления путем перехвата AI-агентов для написания кода. Он изменяет конфигурационные файлы таких инструментов, как Claude Code и Visual Studio Code, чтобы сохранить свое присутствие и выполнить эксфильтрацию конфиденциальной информации, обрабатываемой в будущих сессиях разработки. Это представляет собой новую поверхность атаки в средах разработки, ориентированных на ИИ.

За несколько волн атак в 2026 году TeamPCP нацелилась на значительные экосистемы, включая ряд пакетов библиотек, инструментов для разработчиков ИИ и даже внутренние корпоративные репозитории, похитив значительный объем проприетарных данных из организаций. Их методология включала эксплуатацию методов отравления кэша и использование поддельного авторства коммитов для дальнейшего проникновения в доверенные среды разработки.

В качестве ответа организациям рекомендуется провести аудит сред CI/CD, удалить зараженные пакеты, сменить учетные данные и заблокировать коммуникации с C2. Эта новая угроза подчеркивает критическую необходимость мониторинга конфигураций AI-агентов и внедрения строгих мер безопасности для инструментов разработки и цепочек поставок программного обеспечения. Эволюция Mini Shai-Hulud указывает на растущий тренд в стратегическом использовании атак на цепочку поставок, направленных на подрыв доверия и операционной целостности в экосистемах разработчиков.

#ParsedReport #CompletenessMedium
29-05-2026

Typosquatted npm packages used to steal cloud and CI/CD secrets

https://www.microsoft.com/en-us/security/blog/2026/05/28/typosquatted-npm-packages-used-steal-cloud-ci-cd-secrets/

Report completeness: Medium

Actors/Campaigns:
Vpmdhaj

Threats:
Typosquatting_technique
Supply_chain_technique
Shai-hulud

Victims:
Npm package ecosystem, Opensearch ecosystem, Elasticsearch ecosystem, Cloud environments, Ci cd environments

TTPs:
Tactics: 5
Technics: 0

IOCs:
Email: 1
File: 12
Domain: 1
Url: 1
Hash: 3

Soft:
Linux, Microsoft Defender, OpenSearch, HashiCorp Vault, macOS, Microsoft Defender for Endpoint, Node.js

Algorithms:
sha256, zip, base64

Functions:
require, GetCallerIdentity

Languages:
powershell, javascript

Platforms:
arm, x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Microsoft сообщил о цепочке поставок атаке на экосистему npm со стороны злоумышленника под именем vpmdhaj, который опубликовал 14 пакетов с опечатками, предназначенных для имитации популярных библиотек. Эти пакеты, используя стейджер, который действует как сборщик учетных данных для облачных сред, выполняются скрытно при установке, нацеливаясь на конфиденциальные данные, такие как учетные данные AWS и секреты конвейеров CI/CD. Атака использует хуки жизненного цикла npm для автоматического выполнения, связывается с сервером управления и использует легитимные файлы среды выполнения Bun для сокрытия своей деятельности.
-----

Microsoft сообщил о цепочке поставок атака, нацеленная на экосистему npm-пакетов злоумышленником по имени vpmdhaj. Актор опубликовал 14 поддельных вредоносных пакетов 28 мая 2026 года, предназначенных для имитации популярных библиотек. Эти пакеты собирают конфиденциальные учетные данные, включая учетные данные AWS, токены HashiCorp Vault и секреты из конвейеров CI/CD. Все пакеты используют загрузчик, который выполняет 195 КБ Bun-скомпилированный сборщик учетных данных, нацеленный на облачные среды.

Атака инициируется автоматическим выполнением во время установки npm с использованием хуков жизненного цикла npm. Первое поколение цепочки выполнения подключается к HTTP C2 для загрузки второго этапа полезной нагрузки, тогда как второе поколение использует действительные файлы среды выполнения Bun для сокрытия своих операций. Файл setup.mjs проверяет наличие установки Bun и может загрузить его, если он отсутствует, маскируя первоначальное подключение к C2.

Бинарный файл второго этапа обращается к AWS EC2 Instance Metadata Service (IMDSv2), метаданным Elastic Container Service и AWS Secrets Manager в различных регионах, проверяя токены публикации npm, которые могут позволить манипуляции с репозиторием или процессом CI/CD. Атака в первую очередь нацелена на разработчиков, которые с высокой вероятностью имеют эти учетные данные из-за релевантности пакетов для сред OpenSearch и ElasticSearch.

Скомпрометированные сессии AWS STS и учетные данные Secrets Manager позволяют осуществлять перемещение внутри компании и масштабное хищение данных. Украденные токены GitHub Actions могут способствовать несанкционированному изменению содержимого репозиториев, тогда как токены npm publish могут привести к дальнейшим проникновениям в Цепочку поставок. Microsoft Defender Antivirus способен обнаруживать и блокировать эти вредоносные компоненты, однако последствия атаки требуют мониторинга выполнения скриптов жизненного цикла npm и несанкционированных загрузок из GitHub с целью получения вредоносных загрузок.

#ParsedReport #CompletenessLow
29-05-2026

55+ Football Scam Campaigns Exploit FIFA World Cup 2026 Hype on Meta Platforms

https://www.secureblink.com/cyber-security-news/55-football-scam-campaigns-exploit-fifa-world-cup-2026-hype-on-meta-platforms-1

Report completeness: Low

Victims:
Football fans, England supporters, Scotland supporters, Tartan army, Hearts fc supporters, Parents

Industry:
Retail, E-commerce, Transport

Geo:
Germany, Spain, Portugal, Belgium, Australia, China, Canada, Algeria, Chinese, Mexico, Brazil, England

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003, T1566, T1583.001, T1583.008, T1585.002, T1656

IOCs:
Domain: 3

Soft:
Instagram, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании кибермошенничества используют чемпионат мира по футболу 2026 года, применяя более 55 операций вредоносной рекламы преимущественно на платформах Meta, таких как Facebook и Instagram. Эти кампании используют обманные тактики, такие как поддельные магазины мерчандайзинга и фишинг-сайты, нацеливаясь на болельщиков футбола с помощью сообщений, создающих ощущение срочности, и имитации легитимных продуктов. Организованный характер этих усилий, связанный с потенциальными китайскими операторами, создает серьезные риски, такие как кража личных данных и мошенничество с кредитными картами для жертв, которые невольно делятся конфиденциальной информацией.
-----

Выявлены недавние кампании вредоносной рекламы, нацеленные на болельщиков Чемпионата мира по футболу 2026 года, с использованием обманных тактик на платформах Meta.

Более 55 различных операций включают поддельные магазины товаров, фишинговые сайты, письма с лотереями с предоплатой и схемы пиратства IPTV.

Обманы направлены на сбор конфиденциальной личной информации, такой как платежные данные и документы, удостоверяющие личность.

Злоумышленники целенаправленно атакуют болельщиков национальных сборных, таких как Англия, Шотландия и Бразилия, используя тактики, основанные на чувстве срочности, например, таймеры обратного отсчета.

Поддельные объявления о товарах включают брендовые футбольные комплекты и эксклюзивные коллекционные предметы, а также объявления о поддельных выигрышах в лотерею на сумму до 2 миллионов долларов.

Некоторые усилия направлены на родителей, ищущих футбольные комплекты для детей, с заявлениями о бесплатной доставке и возврате в течение 30 дней.

Кампании указывают на связи с организованной преступностью, при этом есть признаки участия китайских операторов.

Изображения, созданные с помощью искусственного интеллекта, использовались для создания убедительных списков товаров; некоторые из них применяли подмену кириллических символов для обхода модерации.

Жертвы сталкиваются с рисками мошенничества с банковскими картами и кражи личных данных после предоставления конфиденциальной информации на этих мошеннических сайтах.

Инструменты обнаружения заблокировали некоторые мошеннические перенаправления, но многие рекламные объявления продолжают распространяться.

Системы проверки рекламы Meta выявили некоторые мошеннические материалы, однако проблемы сохраняются из-за масштаба операции и её трансграничного характера.

Пользователям рекомендуется проверять информацию о товарах и лотерейных предложениях через официальные каналы и проявлять осторожность при использовании тактик создания срочности.

Злоумышленники все чаще интегрируют многоканальные стратегии для обмана пользователей во время глобальных спортивных мероприятий.

#ParsedReport #CompletenessHigh
29-05-2026

Universities and the energy industry are being attacked by an unknown group, active since at least 2024

https://securelist.ru/unknown-group-targets-maritime-universities/115765/

Report completeness: High

Threats:
Ravage_tool
Purerat
Redline_stealer
Cobalt_strike_tool
Vidar_stealer
Lumma_stealer
Stealc
Battoexe_tool
Putty_tool

Victims:
Educational institutions, Maritime and river transport education, Fishing industry education, Energy organizations, Financial organizations, Diplomatic services, Public authorities, Russian organizations

Industry:
Education, Energy, Maritime

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1021.002, T1027, T1027.002, T1036, T1047, T1055, T1059, T1059.001, T1059.003, T1105, have more...

IOCs:
Url: 14
File: 21
Hash: 21
Email: 1
Domain: 4
IP: 3

Soft:
Microsoft Excel, NSIS installer

Algorithms:
zip, md5

Languages:
powershell, autoit

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка, нацеленная на образовательные учреждения, особенно морские, энергетический сектор и финансовые организации, активна с 2024 года. Они используют фишинговые письма с ZIP-архивами, содержащими вредоносные файлы XLL, которые загружают исполняемые файлы, такие как "Putty.exe", используемые для доставки различных ВПО, включая бэкдор PureRAT, и "Ps.exe", который запускает скрипты для манипуляции файлами через фреймворк Ravage. Их атаки демонстрируют колеблющиеся уровни активности, тактика эволюционирует, но неизменно включает вредоносные файлы XLL, связанные с легитимными инструментами.
-----

Хакерская группировка ведет активность как минимум с 2024 года, нацеливаясь преимущественно на образовательные учреждения, особенно те, что занимаются морскими исследованиями, а также на энергетический сектор и финансовые организации. Их метод работы включает эксплуатацию методов доставки ВПО с использованием фишинговых писем, содержащих ZIP-архивы с вредоносными файлами XLL, которые маскируются под легитимные надстройки Microsoft Excel.

В 2026 году злоумышленники использовали фишинг-стратегию, при которой файл XLL, связанный с загрузчиком, выполнял вредоносный код при открытии. Этот тип файлов, созданный с использованием фреймворка Excel-DNA, включает модуль, написанный на C#, который загружает два исполняемых файла с скомпрометированных URL-адресов, а именно https://venera-gimadieva.com/update/putty.exe и https://venera-gimadieva.com/update/ps.exe. Файл "Putty.exe" функционирует как биндер для консолидации различных бэкдоров и стиллеров, в частности известных элементов из домена MaaS, таких как Vidar и RedLine. При выполнении он распаковывает свои компоненты с помощью механизма самораспаковывающегося CAB-архива и использует скрипты AutoIt для внедрения ВПО в процесс RegAsm.exe. В результате этого действия доставляется бэкдор PureRAT.

Второй исполняемый файл, "Ps.exe", — это утилита, которая преобразует пакетные скрипты в самодостаточные исполняемые файлы. Он запускает PowerShell-скрипт, который действует как загрузчик для фреймворка Ravage, позволяющий манипулировать файлами, выполнять процессы и выполнять команды в локальной сети через SMB или WMI, но не обладает некоторыми расширенными возможностями, присутствующими в других ПО для удаленного доступа.

Атакующая группа демонстрирует переменную частоту активности, с периодами простоя, длящимися несколько месяцев, за которыми следуют всплески атак. Например, с сентября по декабрь 2025 года атаки включали распределенные XLL-файлы, которые маскировались под стандартные документы Excel, но при этом доставляли вредоносные payloads. Расследование предыдущих лет показало, что эти тактики применялись аналогичным образом с 2024 года, часто с упоминанием имени Putty в их файлах, что может быть отсылкой к легитимному инструменту удаленного доступа PuTTY.

#ParsedReport #CompletenessHigh
29-05-2026

Operation XENOFISCAL: SideCopy deploying persistent XenoRAT targeting the MoF, Afghanistan

https://www.seqrite.com/blog/operation-xenofiscal-sidecopy-deploying-persistent-xenorat-targeting-the-mof-afghanistan/

Report completeness: High

Actors/Campaigns:
Xenofiscal
Sidecopy
Transparenttribe

Threats:
Xenorat
Spear-phishing_technique
Lolbin_technique
Donut
Asyncrat
Typosquatting_technique
Lolbas_technique
Amsi_bypass_technique

Victims:
Ministry of finance afghanistan, Government, Provincial finance officials

Industry:
Education, Government, Financial

Geo:
Afghanistan, Pakistan, Afghan

TTPs:
Tactics: 9
Technics: 32

IOCs:
File: 18
Domain: 1
Url: 4
Command: 2
IP: 1
Hash: 9

Soft:
Microsoft Edge, Internet Explorer, NET Framework, Windows Scheduled Task, Windows Task Scheduler

Algorithms:
gzip, base64, aes, zip

Functions:
atob, openthefile, RunProcessWithHiddenCmd, RegWorkExePathFromPublic, BSDSD94, CopyExeToUsersPublic, decompressdata, GetAntivirus, RemoveStartup

Win API:
CreateDirectory, VirtualAlloc, CreateThread, WaitForSingleObject, VirtualProtect, GetProcAddress, AmsiScanBuffer, RtlDecompressBuffer

Win Services:
WebClient

Languages:
javascript, jscript, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 3, code: 9, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция XENOFISCAL — это кампания кибершпионажа хакерской группировки SideCopy, направленная против Министерства финансов Афганистана, в ходе которой внедряется вредоносное ПО XenoRAT с использованием тактик целевого фишинга. Атака использует вредоносный LNK-файл для загрузки HTA-полезной нагрузки, применяющей безфайловые техники, что позволяет избегать обнаружения и выполнять команды в памяти. Вредоносное ПО обеспечивает удаленное управление, мониторинг действий пользователей и управление данными, а также гарантирует безопасную связь и поддерживает закрепление через запланированные задачи Windows и модификации реестра.
-----

Операция XENOFISCAL относится к целевой кампании атак, приписываемой хакерской группировке SideCopy, связанной с Пакистаном, которая нацелена конкретно на Министерство финансов Афганистана. Кампания начинается с тактики Целевой фишинг, использующей ZIP-архив, содержащий вредоносный LNK-файл. Этот файл имитирует легитимный документ на пушту, стратегически нацеливаясь на местных финансовых чиновников. При выполнении LNK-файл вызывает mshta.exe для загрузки HTA-полезной нагрузки с скомпрометированного афганского образовательного домена, после чего разворачивает ВПО XenoRAT.

Цепочка заражения работает через несколько сложных технических этапов. Сначала файл LNK запускает процесс выполнения, загружая удаленный полезный груз, одновременно применяя техники обфускации для уклонения от обнаружения. Он использует сильно обфусцированный файл HTA, содержащий код JavaScript, который динамически декодирует и выполняет вредоносные команды в памяти без создания постоянных файлов, тем самым применяя тактики fileless malware. Полезный груз HTA/JavaScript инициирует этот подход, обрабатывая кодирование таким образом, что усложняет статический анализ.

Загрузчик первой стадии (DLL) обеспечивает загрузку сопровождающих документов-приманок и устанавливает закрепление посредством модификаций реестра. Эта DLL координирует получение дополнительных полезной нагрузки, сохраняя скрытый профиль за счет использования временного хранилища в общедоступных каталогах. Примечательно, что загрузчик второй стадии (DLL) действует как загрузчик шеллкода, эффективно загружая и декодируя финальную полезную нагрузку XenoRAT полностью в памяти, тем самым вновь минимизируя артефакты на диске.

XenoRAT, открытая Троянская программа, выполняет различные функции после развертывания, такие как создание защищенных каналов управления (C2) и закрепление через задачи Планировщика Windows и ключи реестра. Она демонстрирует широкие возможности, включая управление файлами, мониторинг активности пользователей и возможность выполнения произвольных команд удаленно. ВПО обеспечивает зашифрованные каналы связи и включает механизмы для самостоятельного удаления, чтобы избежать обнаружения.

Инфраструктура, окружающая эту операцию, отражает преднамеренное смешение с легитимными афганскими онлайн-ресурсами, что помогает злоумышленникам избегать обнаружения. Использование домена, зарегистрированного в Афганистане, для вредоносной деятельности дополнительно подтверждает эту закономерность. Технические характеристики методологии атаки соответствуют историческим тактикам SideCopy, что усиливает атрибуцию этой кампании к группе с высокой степенью уверенности из-за его постоянного повторного использования идентифицируемых техник, включая закрепление в реестре и применение XenoRAT.

В заключение, операция XENOFISCAL является примером высокоцелевой и сложной кибершпионской кампании, основанной на детальном знании местных особенностей и реализованной через цепочку тщательно продуманных технических шагов, обеспечивающих как заражение, так и продолжительный несанкционированный доступ к чувствительным государственным сетям.