#ParsedReport #CompletenessHigh
30-05-2026

Meet DriveSurge: A New Threat Actor Using ClickFix and Fake Update Drive-By Attacks in Thousands of Compromised Sites

https://www.silentpush.com/blog/drivesurge/

Report completeness: High

Actors/Campaigns:
Drivesurge

Threats:
Clickfix_technique
Socgholish_loader

Victims:
Professional services, Healthcare, Business organizations, Local organizations

Industry:
Healthcare, Entertainment

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.004, T1059.007, T1070.004, T1105, T1140, T1189, T1204.004, have more...

IOCs:
Domain: 15
File: 21
IP: 2
Url: 12
Hash: 6
Email: 2

Soft:
Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex Browser, Vivaldi, Mozilla Firefox, Firefox, WordPress, macOS, curl, have more...

Algorithms:
base64, zip, sha256

Functions:
atob

Languages:
php, javascript, powershell

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DriveSurge — это продвинутый брокер первоначального доступа (IAB), использующий автоматизацию для доставки ВПО через атаки FakeUpdate и ClickFix. Работая по модели Pay-Per-Install, он компрометирует легитимные веб-сайты для перенаправления пользователей на вредоносные payloads, применяя такие инструменты, как open-source Система распределения трафика (TDS) zTDS для профилирования посетителей и доставки ВПО. Их техники включают социальную инженерию для обмана пользователей с целью выполнения вредоносных команд, в то время как их ВПО использует сильную обфускацию для таргетинга на конкретные операционные системы и манипуляции с пользовательскими вводами.
-----

DriveSurge — это новый, сложный злоумышленник, идентифицированный как специализированный брокер первоначального доступа (IAB), занимающийся автоматизацией доставки ВПО с использованием таких техник, как атаки ClickFix и FakeUpdate. Сообщается, что этот актор работает по модели Pay-Per-Install (PPI), компрометируя тысячи легитимных веб-сайтов для перенаправления пользователей на вредоносные payloads без их ведома. DriveSurge в основном использует открытую Систему распределения трафика (TDS) под названием zTDS для перехвата этих веб-сайтов, запуская скрытый вредоносный код, который профилирует посетителей и доставляет ВПО на основе этого профилирования.

Атаки, выполняемые DriveSurge, характеризуются двумя основными методами: FakeUpdates и ClickFix. FakeUpdates маскируются под легитимные уведомления об обновлении браузеров, таких как Google Chrome и Mozilla Firefox, убеждая пользователей загрузить вредоносное ПО, замаскированное под обновления. В одном из конкретных случаев вредоносный домен предоставил поддельную страницу обновления Firefox с взломанного веб-сайта, что привело к загрузке ZIP-архива, содержащего вредоносные DLL-файлы. ClickFix использует тактики социальной инженерии, показывая поддельные сообщения об ошибках, которые инструктируют пользователей выполнять вредоносные команды в терминале или PowerShell, тем самым облегчая прямую установку вредоносного ПО.

Исследования показывают, что операции DriveSurge сильно зависят от вредоносной инфраструктуры, которую можно идентифицировать с помощью набора технических отпечатков, выявляющих различные шаблоны и конфигурации. Например, один из отпечатков включает JavaScript-файлы с уникальными идентификаторами, указывающими на скомпрометированный сайт, с которого извлекаются данные. Кроме того, закономерности в регистрации доменов свидетельствуют о приверженности к обфускации и стратегическому сокрытию операций, поскольку многие домены регистрируются с использованием временных почтовых служб.

Поведение вредоносного ПО демонстрирует продвинутые техники обфускации, позволяющие злоумышленникам беспрепятственно выполнять команды, нацеленные на конкретные операционные системы, такие как macOS, одновременно обходя обнаружение. Скрипты, внедряемые в системы жертв, содержат логику для определения операционной среды, что гарантирует контекстуальную корректность выполняемых вредоносных команд. Существуют компоненты, перехватывающие активность буфера обмена и манипулирующие вводом пользователя для дальнейшей скрытой установки ВПО.

Продолжающийся анализ со стороны специалистов по безопасности направлен на отслеживание и противодействие эволюционирующим тактикам DriveSurge. Будущие усилия по сбору разведданных будут сосредоточены на выявлении новых инфраструктурных разработок и потенциальных совместных действий с организациями, сталкивающимися с аналогичными угрозами.

#ParsedReport #CompletenessMedium
30-05-2026

Malicious npm packages abuse dependency confusion to profile developer environments

https://www.microsoft.com/en-us/security/blog/2026/05/29/33-malicious-npm-packages-abuse-dependency-confusion-profile-developer-environments/

Report completeness: Medium

Threats:
Supply_chain_technique
Capibar
Trojan:js/obfusnpmjs.sa
Trojan:js/obfusnpmjs

Victims:
Developer environments, Financial services

Industry:
Logistic, E-commerce

TTPs:
Tactics: 6
Technics: 0

IOCs:
Email: 3
File: 14
Url: 6
Coin: 1
Domain: 4

Soft:
Microsoft Defender, macOS, Linux, Node.js, , Microsoft Defender for Endpoint

Algorithms:
base64

Functions:
require

Win API:
lockfile

Languages:
typescript, javascript

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сообщено о сложной атаке на цепочку поставок, связанной с вредоносными пакетами npm, которые использовали технику путаницы зависимостей, публикуясь под псевдонимами для имитации легитимных корпоративных пространств имен. Вредоносные пакеты выполняли зашифрованный JavaScript-стаджер при установке, который проводил разведку, собирая информацию о системе, оставаясь при этом скрытым. Атака использовала техники противодействия анализу для уклонения от обнаружения и была приписана одному злоумышленнику, который эксплуатировал уязвимости в системах управления пакетами для потенциальной будущей эксплуатации.
-----

Сложная атака на цепочку поставок (Supply Chain) включала вредоносные пакеты npm, использующие технику путаницы зависимостей (dependency confusion) для выполнения зашифрованного payloadа разведки (Reconnaissance). Атака произошла 28–29 мая 2026 года, при этом один злоумышленник опубликовал вредоносные пакеты, имитирующие легитимные корпоративные пространства имен в рамках девяти организационных масштабов. Вредоносные пакеты были предназначены для загрузки и выполнения сильно зашифрованного JavaScript-стаджера, разработанного для разведки. При установке пакеты активировались автоматически через хуки жизненного цикла npm, выполняя скрипт postinstall для подключения к серверу управления (управление). JavaScript-стаджер размером около 17 КБ выполнял отпечатывание среды, захватывая системную информацию, оставаясь при этом скрытным во время установки. Флаг RECON_ONLY управлял функцией разведки, позволяя включить эксплуатацию позже со стороны сервера. Атака использовала тактики, типичные для путаницы зависимостей, такие как завышенные номера версий и имитация внутренних служб. Злоумышленник использовал преувеличенные номера версий, такие как 100.100.100, чтобы доминировать над легитимными пакетами. Стаджер реализовал техники противодействия анализу, включая проверку переменных среды CI и дедупликацию на основе кэша для избежания обнаружения. Многофазная архитектура атаки позволила провести разведку без оповещения систем безопасности, проложив путь для будущей эксплуатации. Криминалистический анализ связал вредоносные пакеты с одним и тем же оператором через общий токен аутентификации, используемый для коммуникаций с C2. Общая инфраструктура и шаблоны публикации в разных учетных записях усилили эту атрибуцию. Продукты Microsoft Defender оказались эффективными в обнаружении и блокировке этих угроз, идентифицируя и предотвращая выполнение payloadа. Рекомендуются продвинутые методы охоты для обнаружения аномального поведения Node.js и npm, исходящих соединений C2 и индикаторов вредоносных пакетов. Инцидент подчеркивает уязвимости в широко используемых системах управления пакетами и необходимость надежных мер безопасности в цепочках поставок программного обеспечения.

#ParsedReport #CompletenessHigh
27-05-2026

Exposing a Global Smishing Operation Across 19 Countries: Governments, Postal Services, and Telecoms Targeted

https://hunt.io/blog/massive-smishing-campaign-governments-postal-telecoms

Report completeness: High

Threats:
Smishing_technique
Credential_harvesting_technique
Tactical_rmm_tool
Cobalt_strike_tool
Typosquatting_technique

Victims:
Government payment portals, Postal services, Telecommunications providers, Tax authorities, Traffic police portals, Road police portals, Parcel delivery services

Industry:
Financial, Logistic, Retail, Transport, Government, E-commerce, Telco

Geo:
Ireland, Romanian, Romania, Kosovo, Asian, Moldova, Latvia, Slovenia, Albania, Germany, Bulgaria, Greece, Armenia, American, Singapore, France, Montenegro, North macedonia, Spain, United kingdom, Lithuania, Americas, Chinese, Georgia, Estonia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1056.007, T1204.001, T1583.001, T1583.003, T1583.006, T1656, T1660

IOCs:
File: 4
Url: 14
Domain: 56
IP: 34

Soft:
Alibaba Cloud, nginx, OpenSSH, Linux, cPanel

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Обнаружена сложная операция смишинга, направленная против правительственных порталов платежей в 19 странах, в ходе которой с использованием поддельных SMS-сообщений собирались конфиденциальные данные пользователей. В рамках кампании использовались 1 628 вредоносных URL-адресов, имеющих общий хеш метаданных, а также распределенная бэкенд-инфраструктура с 32 уникальными IP-адресами от крупных облачных провайдеров. Злоумышленники применяли убедительные шаблоны фишинга и тактики тайпсквоттинга, эксплуатируя чувство срочности в правительственных уведомлениях для вовлечения жертв.
-----

Комплексное расследование выявило сложную операцию смишинга, направленную против различных правительственных порталов оплаты в 19 странах, включая Румынию, Великобританию, США, Грецию и Болгарию. Эта нелегитимная кампания, которая привлекла внимание после сообщений о мошеннических SMS-сообщениях, имитирующих официальную румынскую платформу оплаты Ghișeul.ro в мае 2026 года, продемонстрировала трансграничную стратегию фишинга, в первую очередь направленную на получение конфиденциальной информации от пользователей. Ключевые выводы этого расследования включали выявление 1 628 вредоносных URL-адресов, связанных с операцией, все из которых имели общий хеш метаданных, что облегчило отслеживание в нескольких секторах.

Расследование выявило зависимость операции от распределенной бэкенд-инфраструктуры, состоящей из 32 уникальных IP-адресов, полученных от крупных облачных провайдеров, таких как Tencent Cloud, Alibaba Cloud и Cloudflare. Каждый провайдер обслуживал отдельные домены, что усложняло идентификацию и усилия по блокировке. Примечательно, что кампания использовала два фишинговых шаблона, разработанных на Vue.js и Bootstrap, что позволяло создавать убедительные копии легитимных сайтов, в частности Ghișeul.ro, для обмана пользователей. Путем анализа языковых паттернов и перечисления доменов расследователи выявили намеренные тактики тайпсквоттинга — использование вариаций оригинального имени домена — для эксплуатации пользователей, которые ошибочно вводили легитимный URL.

Кампания использовала срочность, связанную с правительственными уведомлениями, часто утверждая о неоплаченных штрафах или платежных обязательствах через SMS, тем самым вызывая панику среди жертв. Было замечено, что злоумышленники распространяли сообщения, требующие немедленных действий, используя аутентичность имитируемых брендов, при этом физически не подделывая доменные имена. Продвигая эти мошеннические ссылки, они направляли потенциальных жертв на сайты, предназначенные для сбора личных и финансовых данных.

Выводы также подчеркивают операционную устойчивость этой смишинговой инфраструктуры, которая включала методичное распределение по нескольким географическим регионам для повышения отказоустойчивости. Злоумышленники занимались непрерывной регистрацией доменов, что дополнительно усложняло усилия по защите от них. Последовательное использование единого 128-символьного хеша во всех фишинговых URL-адресах стало значительной ошибкой, которую команды безопасности могли бы использовать для обнаружения.

Для лиц и организаций, подвергшихся воздействию таких кампаний, были предложены тактики смягчения последствий. Пользователям рекомендовалось тщательно проверять URL-адреса и сохранять осторожность при получении правительственных сообщений через SMS, содержащих запросы личных данных или ссылок для оплаты. Специалистам по безопасности было рекомендовано отслеживать общий хеш метаданных как первичный индикатор компрометации, что могло бы предоставить информацию об активных вредоносных URL-адресах, связанных с кампанией.

#ParsedReport #CompletenessHigh
28-05-2026

APT Activity Report. Conflict-Informed Espionage: Monitoring Oil Shipments, Targeting Drone Makers

https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-apt-activity-report-q4-2025-q1-2026.pdf

Report completeness: High

Actors/Campaigns:
Quietcrabs
Negativeglimmer
Scarcruft (motivation: cyber_espionage)
Rusty_boots (motivation: cyber_espionage)
Mokhargosh (motivation: cyber_espionage)
Andariel (motivation: financially_motivated, cyber_espionage)
Dream_job (motivation: cyber_espionage)
Axios_compromise (motivation: financially_motivated)
Cryptocore
Famous_chollima
Fancy_bear
Sandworm
Ghostemperor
Lazarus
Kimsuky
Konni
Unc6619
Muddywater
Bluenoroff
Badpilot

Threats:
Philikit
Supply_chain_technique
Rook
Tiger_rat
Covenant_c2_tool
Beardshell_tool
Bitm_technique
Shadowpad
Spear-phishing_technique
Coolclient
Curlydoor
Rudegull
Mktdownloader
Spawnnant
Spawnmole
Spawnsnail
Cobalt_strike_tool
Adaptixc2_tool
Gokhargosh
Filecoder
Scoringmathtea
Blindingcan
Plain-crypto-js_tool
Wavesharper
Curlyveiltea
Vmprotect_tool
Beavertail
Ottercookie
Flexibleferret
Invisibleferret
Birdcall
Rokrat
Koalaloader
Ransomtuga
Shadowlink_tool
Zerorays
Sdelete_tool
Nikowiper
Naughtywipe
Dynowiper
Industoyer2
Evilginx_tool
Aitm_technique

Victims:
Government, Maritime affairs, Energy, Ai and robotics, Engineering and manufacturing, Defense, Drone manufacturers, Military, Logistics, Transportation, have more...

Industry:
Government, Retail, Logistic, Entertainment, Education, Energy, Financial, Healthcare, Military, Petroleum, Maritime, Telco, Foodtech, Transport, Critical_infrastructure, Ngo

Geo:
China, Middle east, New zealand, Israel, Polish, Morocco, Panama, Pakistan, Asian, United arab emirates, Korean, Poland, North korean, Sudan, Canada, Ukraine, America, Israeli, India, Arab emirates, Moscow, Venezuela, Koreans, Turkish, Syrian, Mongolian, Iraq, Dprk, Yemen, Americas, Iranian, Korea, Tehran, Ukrainian, Africa, Saudi arabia, Russian, Apac, Cambodia, Syria, Russia, Japanese, France, Mongolia, Latin america, Asia-pacific, North korea, Chinese, Egypt, Pakistani, Asia, Iran

CVEs:
CVE-2025-0282 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-1340 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-26229 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-6218 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-1281 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-21509 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-8088 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.002, T1005, T1021.004, T1027, T1027.002, T1027.003, T1036, T1059, T1059.001, T1059.004, have more...

IOCs:
File: 32
Domain: 5
Email: 1
Url: 2
IP: 11

Soft:
Android, Ivanti, SELinux, Visual Studio, MACOSX, Microsoft Defender, Slack, Microsoft Teams, macOS, Linux, have more...

Wallets:
zcash

Crypto:
solana

Algorithms:
sha1, rc4

Win Services:
EventLog

Languages:
rust, perl, javascript, powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В период с конца 2025 по начало 2026 года несколько злоумышленников из числа государственных акторов продемонстрировали заметные кибероперации. Китайские группы, такие как FamousSparrow и SteppeDriver, нацелились на правительственные и энергетические сектора, представляющие интерес, используя внедрение PhiliKit против устройств Ivanti VPN. Иранские акторы, такие как Rusty Boots и MoKhargosh, проявили повышенную активность с возможностями шпионажа и деструктивного воздействия, в то время как северокорейские группы, такие как Lazarus, сосредоточились на атаках на криптовалюту и цепочку поставок программного обеспечения, что подчеркивает глобально динамичный ландшафт угроз.
-----

В последнем отчете о деятельности подчеркиваются значительные киберугрозы и операции различных государственных злоумышленников в период с конца 2025 по начало 2026 года. Группы, связанные с Китаем, в частности FamousSparrow и SteppeDriver, проявили высокий уровень шпионской активности, нацеленной на правительственные и энергетические организации в контексте геополитических интересов Китая. Новый имплант под названием PhiliKit, связанный с инструментарием SPAWN, был идентифицирован как нацеленный на устройства Ivanti VPN, в то время как группа NegativeGlimmer скомпрометировала государственные структуры в Камбодже и Панаме, а также ИИ-компанию в Южной Корее, что согласуется со стратегией Китая «Made in China 2025».

Напротив, иранские угрозы, такие как Rusty Boots и MoKhargosh, продемонстрировали необычные всплески активности на фоне войны, однако это сопровождалось снижением операций со стороны устоявшихся APT, что было связано с интернет-ограничениями в Иране. Эти группы продемонстрировали как шпионские, так и деструктивные возможности: Rusty Boots использовал буткит-стиратель, а MoKhargosh применял модифицированные бинарные файлы Go для кибершпионажа, сохраняя деструктивные опции для будущего использования.

Северокорейские злоумышленники оставались активными, особенно нацеливаясь на сообщество разработчиков и сектор криптовалют. Lazarus и DeceptiveDevelopment сосредоточились на культивировании отношений с высокоценными целями, тогда как возвращение Andariel ознаменовалось развертыванием программ-вымогателей против южнокорейской инженерной фирмы, что представляет интерес из-за ее участия в технологиях, связанных с ядерной сферой. Эксплуатация популярной библиотеки axios JavaScript для публикации троянизированного кода стала еще одним значимым событием, приписываемым северокорейской группе, что подчеркивает риски в цепочках поставок программного обеспечения.

Деятельность, связанная с Россией, в первую очередь была сосредоточена на Украине, при этом такие группы, как Sednit и Sandworm, нацеливались на военные, беспилотные и логистические структуры. Sandworm усилила деструктивные операции, развернув новые программы-стиратели как против украинских целей, так и, в уникальном случае, атаку на стирание данных против энергетической компании в Польше, что сигнализирует об эскалации киберконфликта через границы.

Несколько других неидентифицированных групп злоумышленников продемонстрировали тактики, характерные для APT, такие как фишинг через браузер в браузере (browser-in-the-browser) против японского аналитического центра и развертывание шпионского ПО для Android, нацеленного на пользователей, говорящих на арабском языке. Компрометация компании по обороне в ОАЭ была достигнута за счет использования уязвимостей в SmartOffice CRM и развертывания пользовательских инструментов пост-эксплуатации.

В совокупности эти события подчеркивают картину международных киберугроз, обусловленных геополитической динамикой, и указывают на сохраняющиеся риски, создаваемые действующими в интересах государств акторами в различных регионах и секторах.

#ParsedReport #CompletenessLow
29-05-2026

ChatGPhish: The Page Is the Payload

https://permiso.io/blog/chatgpt-markdown-rendering-vulnerability

Report completeness: Low

Actors/Campaigns:
Chatgphish

Threats:
Qshing_technique

Victims:
Chatgpt users, Browser integrated summarization systems, Artificial intelligence platforms

Geo:
Kosovo

ChatGPT TTPs:
do not use without manual check
T1036, T1590.005

IOCs:
Url: 3
Domain: 1

Soft:
ChatGPT, Firefox, OpenAI

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Угроза «ChatGPhish» использует возможности суммаризации ИИ-ассистентов, позволяя злоумышленникам манипулировать выводом путем внедрения вредоносного контента через ссылки и изображения в формате Markdown. Используя автоматическую загрузку и отображение изображений по URL-адресам, злоумышленники могут собирать конфиденциальную информацию и облегчать фишинг через кажущиеся легитимными выходные данные. Эта угроза выходит за рамки любого конкретного браузера, что означает, что любая система, использующая функции суммаризации, может быть уязвимой, подчеркивая риски, связанные с контентом, сгенерированным ИИ.
-----

В анализе подробно описывается киберугроза под названием «ChatGPhish», которая использует возможности суммаризации искусственного интеллекта, такие как у ChatGPT. Основная проблема заключается в доверии, которое пользователи оказывают сгенерированным ИИ ответам, что может быть использовано для внедрения контролируемого злоумышленником контента. Такая ситуация возникает, когда пользователь запрашивает суммаризацию веб-страницы, позволяя злоумышленнику внедрить вредоносные ссылки, изображения или уведомления в вывод ассистента.

Атака осуществляется за счёт использования рендеринга ссылок и изображений в формате Markdown в интерфейсе ИИ. Ассистент автоматически загружает изображения из сторонних URL-адресов, включённых в сводный контент, что способствует утечке информации. В частности, изображения, размещённые злоумышленниками, могут фиксировать такие данные, как IP-адрес жертвы, значение User-Agent и заголовок Referer, что критически важно для профилирования потенциальных целей для последующих атак. Кроме того, вредоносные ссылки в формате Markdown отображаются без чёткого визуального отличия, создавая живые кликабельные возможности для фишинга, которые выглядят аутентично для пользователя.

В документе описываются различные сценарии, демонстрирующие реализацию подобных атак. Один из случаев включает внедрение QR-кодов, которые ведут на вредоносный контент, тем самым обходя типичные меры веб-безопасности, на которые полагаются пользователи, поскольку QR-коды не предоставляют видимых URL-адресов до сканирования. Кроме того, злоумышленники могут использовать сокращатели URL-адресов для маскировки трекерных пикселей, встроенных в изображения, обеспечивая непрерывный сбор данных каждый раз при отображении ответа.

В исследовании отмечается, что, хотя во время тестирования использовался Firefox, уязвимость не ограничивается этим браузером; любая система, интегрирующая функцию суммаризации, которая обрабатывает недоверенный контент, находится под угрозой. Этот переход от атак через электронную почту к атакам на основе браузеров значительно расширяет ландшафт потенциальных эксплойтов, подчеркивая важность бдительности во взаимодействии между пользовательскими интерфейсами и выводами ИИ.

В конечном итоге, «ChatGPhish» демонстрирует, как внедрение контролируемого злоумышленником контента может эксплуатировать воспринимаемую безопасность доверенных ИИ-систем, подчеркивая необходимость надежных механизмов безопасности для поддержания четких границ между пользовательским контентом и выводами, генерируемыми ассистентом. По мере роста использования ИИ в повседневных операциях защита от таких тактик социальной инженерии становится все более критически важной.

#ParsedReport #CompletenessHigh
28-05-2026

Greyvibe. A Russia-nexus group leveraging AI across state-aligned operations.

https://labs.withsecure.com/content/dam/labs/docs/WithSecure_GREYVIBE.pdf

Report completeness: High

Actors/Campaigns:
Greyvibe (motivation: cyber_criminal, financially_motivated)
Princessclub
Dronelink
Phantomcaptcha
Uac-0244
Ta578
Ta579
Fin12 (motivation: cyber_criminal)

Threats:
Phantomrelayv1
Phantomrelayv2
Legionrelay
Phantomrelaylite
Phantomclick_tool
Clickfix_technique
Spear-phishing_technique
Phantomrelay
Kongtuke
Fallspy
Teasoupjs
Lookvaljs
Lookvalps
Teasoup
Canfail
Zapixdesk
Smuggling_technique
Aeroadmin_tool
Xworm_rat
Supremo_tool
Rustdesk_tool
Lolbin_technique
Asyncrat
Impacket_tool
Powersploit_tool
Trickbot
Sawdust_tool
Crudedust_tool
Junk_code_technique
Amsi_bypass_technique
Dead_drop_technique
Uac_bypass_technique
Chromelevator_tool
Chisel_tool
Bloat_technique
Netsupportmanager_rat
Matanbuchus_maas
Microsoft_quick_assist_tool
Anydesk_tool
Teamviewer_tool
Xmrig_miner

Victims:
Ukraine related entities, Military, Government, Civilian entities, Business entities, Non governmental organizations, Regional government entities, Personal email accounts

Industry:
Government, Healthcare, Military, Education, Ngo, Entertainment, Energy

Geo:
Romanian, Ukrainian, Mexico, Venezuela, France, Russian, Brazil, Moscow, Guinea, Ukraine, Russia, Latvian

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 73
Command: 7
Domain: 11
Email: 4
Url: 12
IP: 5

Soft:
Microsoft Teams, Zoom, Android, WebRTC, Telegram, WireGuard, WhatsApp, SoftEther, ChatGPT, visual studio, have more...

Algorithms:
xor, exhibit, base64, zip

Functions:
TaskName, TaskDesc, Write-Log, Zoom, Set-PSReadlineOption, Remove-Module, Write-Error, createImageFile, createVideoFile, taskDef, have more...

Win API:
PsEtwLogProvider, GetHostName

Win Services:
WebClient

Languages:
javascript, python, powershell

Platforms:
intel, x64, apple

YARA: Found

Links:
https://github.com/WithSecureLabs/iocs/blob/master/GREYVIBE/greyvibe\_iocs.csv
https://github.com/WithSecureLabs/iocs/blob/master/GREYVIBE/greyvibe.yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GREYVIBE, хакерская группировка, связанная с Россией, с августа 2025 года нацелена на организации, связанные с Украиной, используя искусственный интеллект и большие языковые модели в своих операциях. Их тактики включают целевой фишинг с вредоносными ZIP-файлами и мошенническими веб-сайтами, развертывание ВПО, такого как PhantomRelay — RAT на базе PowerShell и FallSpy для Android. Группировка использует передовые методы обфускации для уклонения от обнаружения и демонстрирует сочетание операций, выровненных с государством, и характеристик киберпреступной деятельности.
-----

GREYVIBE — это хакерская группировка, связанная с Россией, использующая искусственный интеллект и большие языковые модели (LLM) в рамках своих операций, поддерживаемых государством, особенно в отношении целей, связанных с Украиной. Активна как минимум с августа 2025 года. GREYVIBE использует комбинацию целевого фишинга, поддельных страниц CAPTCHA и мошеннических сайтов для взрослых для доставки ВПО в военные, государственные, гражданские и бизнес-секторы. В их арсенале есть кастомные обфускаторы и ВПО, такие как PhantomRelay — Троянская программа на базе PowerShell (RAT), и FallSpy, нацеленная на устройства Android.

Группа использовала несколько техник атак в ходе различных кампаний. Например, кампании целевого фишинга PhantomMail включают вредоносные ZIP-архивы, содержащие загрузчик, который выполняет цепочку заражения PhantomRelay, одновременно отображая приманку для отвлечения жертв. Эти приманки часто маскируются под PDF-файлы или сообщения об ошибках, обеспечивая прикрытие для скрытых вредоносных действий. Кроме того, GREYVIBE применял собственный обфускатор LOOKVALPS и его преемника DAYLIGHT для своих PowerShell-скриптов, что повышало их способность избегать обнаружения за счет усложнения анализа.

Поведение вредоносного ПО GREYVIBE указывает на системный подход к этапам жизненного цикла атаки. Группа использует большие языковые модели (LLM) для создания фишинговых приманок, полезной нагрузки и команд после компрометации, эффективно устраняя пробелы в возможностях и ускоряя операционные процессы. Их использование технологий искусственного интеллекта интегрировано во все виды деятельности — от разработки приманок до настройки бэкенд-инфраструктуры и эксфильтрации данных после компрометации.

PhantomRelay был дополнительно доработан в версии PhantomRelayV2, в которую были включены изменения, направленные на уклонение от обнаружения, такие как изменение механизмов кодирования и техник обфускации. Это ВПО не только выполняло идентификацию устройств жертв для эксфильтрации полезных данных, но и реализовало механизм закрепления через скрипт «сторожевого пса», что обеспечивало устойчивый доступ к скомпрометированным системам.

Группа действует в русскоязычном сегменте и обычно нацелена на украинские интересы, что подчеркивает ее соответствие целям российской государственной разведки в условиях продолжающегося конфликта. Однако GREYVIBE демонстрирует операционные характеристики, сочетающие действия, согласованные с государством, с чертами, часто ассоциируемыми с киберкриминальной деятельностью, что усложняет усилия по атрибуции. Например, они были связаны с операциями, которые указывают на возможные связи с более широким экосистемой киберкриминала, что свидетельствует о двойной функции как государственного актива, так и киберкриминальной сущности.

#ParsedReport #CompletenessHigh
29-05-2026

Iran's Cyber Paradox: Degraded APTs, Empowered Proxies, and the Rise of Bootkit Wipers

https://www.anomali.com/blog/irans-cyber-paradox-degraded-apts-empowered-proxies-and-the-rise-of-bootkit-wipers

Report completeness: High

Actors/Campaigns:
Rusty_boots (motivation: cyber_espionage)
Mokhargosh (motivation: cyber_espionage)
Cyberav3nger
Unc6446 (motivation: cyber_espionage)
Cyber_av3ngers
Tortoiseshell
Fox_kitten
Blackshadow
Unc5858
Apt33
Apt42 (motivation: cyber_espionage)
Muddywater
Sandworm
Irgc
Lazarus
Cryptocore
Charming_kitten (motivation: cyber_espionage)

Threats:
Supply_chain_technique
Dustyproxy
Minifast
Seo_poisoning_technique
Eriesnake
Iocontrol
Crucio
Confuserex_tool
Credential_harvesting_technique

Victims:
Defense, Government, Critical infrastructure, Financial services, Energy, Healthcare, Aviation, Logistics, Food production, Cloud infrastructure, have more...

Industry:
Foodtech, Aerospace, Logistic, Financial, Critical_infrastructure, Software_development, Healthcare, Ics, Energy, Government, Military

Geo:
Saudi, Saudi arabia, Russian, Turkey, Bahrain, Iranian, Middle east, Iran

CVEs:
CVE-2026-5786 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (<12.6.1.1, 12.7.0.0, 12.8.0.0)

CVE-2024-6387 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_6200_firmware (-)

CVE-2024-9474 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-0012 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (22.7)
- ivanti neurons_for_zero-trust_access (22.7)
- ivanti policy_secure (22.7)

CVE-2024-53704 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (le7.1.1-7058, 7.1.2-7019)

CVE-2021-22681 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rockwellautomation factorytalk_services_platform (*)
- rockwellautomation rslogix_5000 (le20)
- rockwellautomation studio_5000_logix_designer (*)

CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)

CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortimanager (<6.2.13, <6.4.15, <7.0.13, <7.2.8, <7.4.5)
- fortinet fortimanager_cloud (le6.4.7, <7.0.13, <7.2.8, <7.4.5)


TTPs:
Tactics: 1
Technics: 8

IOCs:
File: 2
Domain: 3
IP: 5
Url: 5
Hash: 9

Soft:
PAN-OS, Ivanti, OpenSSH, Ivanti EPMM

Algorithms:
sha256, md5

Languages:
powershell, golang

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4