#ParsedReport #CompletenessLow
29-05-2026

ChatGPhish: The Page Is the Payload

https://permiso.io/blog/chatgpt-markdown-rendering-vulnerability

Report completeness: Low

Actors/Campaigns:
Chatgphish

Threats:
Qshing_technique

Victims:
Chatgpt users, Browser integrated summarization systems, Artificial intelligence platforms

Geo:
Kosovo

ChatGPT TTPs:
do not use without manual check
T1036, T1590.005

IOCs:
Url: 3
Domain: 1

Soft:
ChatGPT, Firefox, OpenAI

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Угроза «ChatGPhish» использует возможности суммаризации ИИ-ассистентов, позволяя злоумышленникам манипулировать выводом путем внедрения вредоносного контента через ссылки и изображения в формате Markdown. Используя автоматическую загрузку и отображение изображений по URL-адресам, злоумышленники могут собирать конфиденциальную информацию и облегчать фишинг через кажущиеся легитимными выходные данные. Эта угроза выходит за рамки любого конкретного браузера, что означает, что любая система, использующая функции суммаризации, может быть уязвимой, подчеркивая риски, связанные с контентом, сгенерированным ИИ.
-----

В анализе подробно описывается киберугроза под названием «ChatGPhish», которая использует возможности суммаризации искусственного интеллекта, такие как у ChatGPT. Основная проблема заключается в доверии, которое пользователи оказывают сгенерированным ИИ ответам, что может быть использовано для внедрения контролируемого злоумышленником контента. Такая ситуация возникает, когда пользователь запрашивает суммаризацию веб-страницы, позволяя злоумышленнику внедрить вредоносные ссылки, изображения или уведомления в вывод ассистента.

Атака осуществляется за счёт использования рендеринга ссылок и изображений в формате Markdown в интерфейсе ИИ. Ассистент автоматически загружает изображения из сторонних URL-адресов, включённых в сводный контент, что способствует утечке информации. В частности, изображения, размещённые злоумышленниками, могут фиксировать такие данные, как IP-адрес жертвы, значение User-Agent и заголовок Referer, что критически важно для профилирования потенциальных целей для последующих атак. Кроме того, вредоносные ссылки в формате Markdown отображаются без чёткого визуального отличия, создавая живые кликабельные возможности для фишинга, которые выглядят аутентично для пользователя.

В документе описываются различные сценарии, демонстрирующие реализацию подобных атак. Один из случаев включает внедрение QR-кодов, которые ведут на вредоносный контент, тем самым обходя типичные меры веб-безопасности, на которые полагаются пользователи, поскольку QR-коды не предоставляют видимых URL-адресов до сканирования. Кроме того, злоумышленники могут использовать сокращатели URL-адресов для маскировки трекерных пикселей, встроенных в изображения, обеспечивая непрерывный сбор данных каждый раз при отображении ответа.

В исследовании отмечается, что, хотя во время тестирования использовался Firefox, уязвимость не ограничивается этим браузером; любая система, интегрирующая функцию суммаризации, которая обрабатывает недоверенный контент, находится под угрозой. Этот переход от атак через электронную почту к атакам на основе браузеров значительно расширяет ландшафт потенциальных эксплойтов, подчеркивая важность бдительности во взаимодействии между пользовательскими интерфейсами и выводами ИИ.

В конечном итоге, «ChatGPhish» демонстрирует, как внедрение контролируемого злоумышленником контента может эксплуатировать воспринимаемую безопасность доверенных ИИ-систем, подчеркивая необходимость надежных механизмов безопасности для поддержания четких границ между пользовательским контентом и выводами, генерируемыми ассистентом. По мере роста использования ИИ в повседневных операциях защита от таких тактик социальной инженерии становится все более критически важной.

#ParsedReport #CompletenessHigh
28-05-2026

Greyvibe. A Russia-nexus group leveraging AI across state-aligned operations.

https://labs.withsecure.com/content/dam/labs/docs/WithSecure_GREYVIBE.pdf

Report completeness: High

Actors/Campaigns:
Greyvibe (motivation: cyber_criminal, financially_motivated)
Princessclub
Dronelink
Phantomcaptcha
Uac-0244
Ta578
Ta579
Fin12 (motivation: cyber_criminal)

Threats:
Phantomrelayv1
Phantomrelayv2
Legionrelay
Phantomrelaylite
Phantomclick_tool
Clickfix_technique
Spear-phishing_technique
Phantomrelay
Kongtuke
Fallspy
Teasoupjs
Lookvaljs
Lookvalps
Teasoup
Canfail
Zapixdesk
Smuggling_technique
Aeroadmin_tool
Xworm_rat
Supremo_tool
Rustdesk_tool
Lolbin_technique
Asyncrat
Impacket_tool
Powersploit_tool
Trickbot
Sawdust_tool
Crudedust_tool
Junk_code_technique
Amsi_bypass_technique
Dead_drop_technique
Uac_bypass_technique
Chromelevator_tool
Chisel_tool
Bloat_technique
Netsupportmanager_rat
Matanbuchus_maas
Microsoft_quick_assist_tool
Anydesk_tool
Teamviewer_tool
Xmrig_miner

Victims:
Ukraine related entities, Military, Government, Civilian entities, Business entities, Non governmental organizations, Regional government entities, Personal email accounts

Industry:
Government, Healthcare, Military, Education, Ngo, Entertainment, Energy

Geo:
Romanian, Ukrainian, Mexico, Venezuela, France, Russian, Brazil, Moscow, Guinea, Ukraine, Russia, Latvian

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 73
Command: 7
Domain: 11
Email: 4
Url: 12
IP: 5

Soft:
Microsoft Teams, Zoom, Android, WebRTC, Telegram, WireGuard, WhatsApp, SoftEther, ChatGPT, visual studio, have more...

Algorithms:
xor, exhibit, base64, zip

Functions:
TaskName, TaskDesc, Write-Log, Zoom, Set-PSReadlineOption, Remove-Module, Write-Error, createImageFile, createVideoFile, taskDef, have more...

Win API:
PsEtwLogProvider, GetHostName

Win Services:
WebClient

Languages:
javascript, python, powershell

Platforms:
intel, x64, apple

YARA: Found

Links:
https://github.com/WithSecureLabs/iocs/blob/master/GREYVIBE/greyvibe\_iocs.csv
https://github.com/WithSecureLabs/iocs/blob/master/GREYVIBE/greyvibe.yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GREYVIBE, хакерская группировка, связанная с Россией, с августа 2025 года нацелена на организации, связанные с Украиной, используя искусственный интеллект и большие языковые модели в своих операциях. Их тактики включают целевой фишинг с вредоносными ZIP-файлами и мошенническими веб-сайтами, развертывание ВПО, такого как PhantomRelay — RAT на базе PowerShell и FallSpy для Android. Группировка использует передовые методы обфускации для уклонения от обнаружения и демонстрирует сочетание операций, выровненных с государством, и характеристик киберпреступной деятельности.
-----

GREYVIBE — это хакерская группировка, связанная с Россией, использующая искусственный интеллект и большие языковые модели (LLM) в рамках своих операций, поддерживаемых государством, особенно в отношении целей, связанных с Украиной. Активна как минимум с августа 2025 года. GREYVIBE использует комбинацию целевого фишинга, поддельных страниц CAPTCHA и мошеннических сайтов для взрослых для доставки ВПО в военные, государственные, гражданские и бизнес-секторы. В их арсенале есть кастомные обфускаторы и ВПО, такие как PhantomRelay — Троянская программа на базе PowerShell (RAT), и FallSpy, нацеленная на устройства Android.

Группа использовала несколько техник атак в ходе различных кампаний. Например, кампании целевого фишинга PhantomMail включают вредоносные ZIP-архивы, содержащие загрузчик, который выполняет цепочку заражения PhantomRelay, одновременно отображая приманку для отвлечения жертв. Эти приманки часто маскируются под PDF-файлы или сообщения об ошибках, обеспечивая прикрытие для скрытых вредоносных действий. Кроме того, GREYVIBE применял собственный обфускатор LOOKVALPS и его преемника DAYLIGHT для своих PowerShell-скриптов, что повышало их способность избегать обнаружения за счет усложнения анализа.

Поведение вредоносного ПО GREYVIBE указывает на системный подход к этапам жизненного цикла атаки. Группа использует большие языковые модели (LLM) для создания фишинговых приманок, полезной нагрузки и команд после компрометации, эффективно устраняя пробелы в возможностях и ускоряя операционные процессы. Их использование технологий искусственного интеллекта интегрировано во все виды деятельности — от разработки приманок до настройки бэкенд-инфраструктуры и эксфильтрации данных после компрометации.

PhantomRelay был дополнительно доработан в версии PhantomRelayV2, в которую были включены изменения, направленные на уклонение от обнаружения, такие как изменение механизмов кодирования и техник обфускации. Это ВПО не только выполняло идентификацию устройств жертв для эксфильтрации полезных данных, но и реализовало механизм закрепления через скрипт «сторожевого пса», что обеспечивало устойчивый доступ к скомпрометированным системам.

Группа действует в русскоязычном сегменте и обычно нацелена на украинские интересы, что подчеркивает ее соответствие целям российской государственной разведки в условиях продолжающегося конфликта. Однако GREYVIBE демонстрирует операционные характеристики, сочетающие действия, согласованные с государством, с чертами, часто ассоциируемыми с киберкриминальной деятельностью, что усложняет усилия по атрибуции. Например, они были связаны с операциями, которые указывают на возможные связи с более широким экосистемой киберкриминала, что свидетельствует о двойной функции как государственного актива, так и киберкриминальной сущности.

#ParsedReport #CompletenessHigh
29-05-2026

Iran's Cyber Paradox: Degraded APTs, Empowered Proxies, and the Rise of Bootkit Wipers

https://www.anomali.com/blog/irans-cyber-paradox-degraded-apts-empowered-proxies-and-the-rise-of-bootkit-wipers

Report completeness: High

Actors/Campaigns:
Rusty_boots (motivation: cyber_espionage)
Mokhargosh (motivation: cyber_espionage)
Cyberav3nger
Unc6446 (motivation: cyber_espionage)
Cyber_av3ngers
Tortoiseshell
Fox_kitten
Blackshadow
Unc5858
Apt33
Apt42 (motivation: cyber_espionage)
Muddywater
Sandworm
Irgc
Lazarus
Cryptocore
Charming_kitten (motivation: cyber_espionage)

Threats:
Supply_chain_technique
Dustyproxy
Minifast
Seo_poisoning_technique
Eriesnake
Iocontrol
Crucio
Confuserex_tool
Credential_harvesting_technique

Victims:
Defense, Government, Critical infrastructure, Financial services, Energy, Healthcare, Aviation, Logistics, Food production, Cloud infrastructure, have more...

Industry:
Foodtech, Aerospace, Logistic, Financial, Critical_infrastructure, Software_development, Healthcare, Ics, Energy, Government, Military

Geo:
Saudi, Saudi arabia, Russian, Turkey, Bahrain, Iranian, Middle east, Iran

CVEs:
CVE-2026-5786 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (<12.6.1.1, 12.7.0.0, 12.8.0.0)

CVE-2024-6387 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_6200_firmware (-)

CVE-2024-9474 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-0012 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (22.7)
- ivanti neurons_for_zero-trust_access (22.7)
- ivanti policy_secure (22.7)

CVE-2024-53704 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (le7.1.1-7058, 7.1.2-7019)

CVE-2021-22681 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rockwellautomation factorytalk_services_platform (*)
- rockwellautomation rslogix_5000 (le20)
- rockwellautomation studio_5000_logix_designer (*)

CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)

CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortimanager (<6.2.13, <6.4.15, <7.0.13, <7.2.8, <7.4.5)
- fortinet fortimanager_cloud (le6.4.7, <7.0.13, <7.2.8, <7.4.5)


TTPs:
Tactics: 1
Technics: 8

IOCs:
File: 2
Domain: 3
IP: 5
Url: 5
Hash: 9

Soft:
PAN-OS, Ivanti, OpenSSH, Ivanti EPMM

Algorithms:
sha256, md5

Languages:
powershell, golang

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Продолжающийся конфликт с Ираном изменил динамику киберугроз: такие АПТ-группы, как APT33 и APT42, оказались в тени, а новые акторы, такие как Rusty Boots и MoKhargosh, начали использовать передовые техники, включая буткит-стиль wipers, для атак на критическую инфраструктуру. Примечательно, что HYDRO KITTEN, связанный с Корпусом стражей исламской революции, эксплуатирует уязвимости, такие как CVE-2021-22681, для физического разрушения без использования ВПО. Слияние кибернетических и кинетических угроз, а также кампании, нацеленные на различные сектора через доступ на основе учетных данных, подчеркивают растущую сложность стратегий мониторинга и защиты.
-----

Конфликт с Ираном изменил динамику киберугроз, при этом прокси-акторы получили сложные возможности.

Группы АПТ, такие как APT33 и APT42, сталкиваются с ограничениями из-за локальных интернет-контролей.

Такие новые субъекты, как Rusty Boots и MoKhargosh, применяют передовые методы атак, включая буткит-стиль верификаторов.

HYDRO KITTEN, связанный с Корпусом стражей исламской революции Ирана, нацелен на промышленные системы управления (ICS) и операционные технологии (OT).

Они использовали уязвимость CVE-2021-22681, обойдя аутентификацию Rockwell PLC, чтобы нанести физический ущерб без использования ВПО.

HYDRO KITTEN использует различные уязвимости, в том числе в FortiOS и SonicWall, что указывает на их адаптивные тактики.

Иранские кибероперации теперь сочетают цифровые атаки с кинетическими угрозами, что иллюстрируется нападением на облачный центр Amazon в Бахрейне.

Организации в регионе Персидского залива должны пересмотреть стратегии аварийного восстановления из-за возросшего риска зависимости от облачных сервисов.

Rusty Boots перешла к стратегии «living off the land», используя учетные данные для компрометации систем, что усложняет обнаружение.

UNC6446 занимается шпионажем против оборонных секторов Ближнего Востока, используя пользовательские бэкдоры и уникальные методы коммуникации.

Существует высокий потенциал эксплуатации Цепочки поставок в таких секторах, как энергетика, здравоохранение и авиация.

Мониторинг целостности инфраструктуры имеет решающее значение, поскольку многие атаки используют методы доступа на основе учетных данных, позволяющие обходить традиционные средства защиты.

Сложившаяся ситуация требует срочной переоценки стратегий защиты и реагирования на инциденты в ответ на эти развивающиеся угрозы.

#ParsedReport #CompletenessMedium
31-05-2026

Famous Chollima Targets PHP Developers Through Compromised Packagist Package

https://socket.dev/blog/famous-chollima-targets-php-developers-through-compromised-packagist-package

Report completeness: Medium

Actors/Campaigns:
Famous_chollima
Contagious_interview
Dev_popper
Polinrider

Threats:
Supply_chain_technique
Dead_drop_technique
Omnistealer
Beavertail

Victims:
Php developers, Software development

Industry:
Financial

Geo:
North korean, Dprk

TTPs:
Tactics: 2
Technics: 5

IOCs:
File: 5
Hash: 2

Soft:
Laravel, Node.js, OpenClaw

Wallets:
tron

Crypto:
aptos

Algorithms:
xor, sha256

Functions:
eval

Languages:
javascript, php

Links:
https://github.com/drewroberts
have more...
https://github.com/orgs/community/discussions/188732

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик вредоносного ПО из Северной Кореи, связанный с группой Famous Chollima, был обнаружен в скомпрометированном пакете Laravel на Packagist, использующем зашифрованный JavaScript для выполнения удаленных полезной нагрузки под видом легитимного кода. Вредоносное ПО взаимодействует с блокчейн-сервисами и применяет такие техники, как жестко закодированное XOR-дешифрование и запуск скрытых процессов Node.js для уклонения от обнаружения. Эта целевая атака на Цепочка поставок подчеркивает уязвимости в средах разработчиков, особенно в ветках разработки репозитории кода.
-----

Недавнее расследование выявило, что загрузчик вредоносного ПО из Северной Кореи, связанный с хакерской группировкой Famous Chollima, был встроен в скомпрометированную версию сервиса хостинга Packagist. Этот вредоносный JavaScript, обнаруженный в частности в ветке разработки `dev-drewroberts/feature/test-case` легитимного пакета Laravel под названием `roberts/leads`, был отмечен за свою обфускацию и вводящее в заблуждение поведение. Вставленный код был предназначен для выполнения удаленных полез

После деобфускации вредоносный код оказался взаимодействующим с блокчейн-сервисами, включая TRON и BNB Smart Chain. Этот метод позволял загрузчику извлекать зашифрованные полезную нагрузку, расшифровывать их с использованием жёстко закодированных XOR-ключей и применять функцию `eval()` из JavaScript для выполнения. Примечательно, что загрузчик мог запускать скрытый дочерний процесс Node.js для обхода традиционных механизмов обнаружения. Это позволяло злоумышленнику выполнять различные вторичные полезную нагрузку без изменения исходного пакета, тем самым сохраняя определённый уровень скрытности.

Атака была оценена не как компрометация широкого масштаба, а скорее как целенаправленная попытка использовать доверенные среды разработки. Скомпрометированный код находился в ветке разработки, а не в стабильном релизе, что требовало явного действия разработчика для его установки, ограничивая массовое воздействие. Кроме того, внедренный вредоносный код был структурирован таким образом, что его легко можно было пропустить при рутинном ревью кода, скрыв под кажущимся безобидным пробелом.

Индикаторы связи загрузчика с более крупными предыдущими операциями, связанными с деятельностью Северной Кореи, указывают на четко определенную стратегию заманивания разработчиков через поддельные рабочие места и могут привести к более сложным методам проникновения. Загрузчик специально не осуществляет прямую эксфильтрацию данных; вместо этого он сосредоточен на выполнении удаленного полезного груза после проникновения в среду Node.js. Эта динамика подчеркивает важность строгого контроля за управлением зависимостями, особенно в ветках разработки Репозитории кода.

Учитывая сложность техники внедрения и применяемых механизмов скрытности, организациям, использующим PHP и связанные пакеты, рекомендуется тщательно проверять зависимости, отслеживать неожиданное поведение в ветках разработки и усиливать меры безопасности в процессах проверки кода для снижения рисков, связанных с подобными угрозами Цепочки поставок.

#ParsedReport #CompletenessLow
27-05-2026

Legitimate-Looking Codex Remote UI Secretly Steals Your AI Tokens

https://www.aikido.dev/blog/codex-remote-ui-steals-ai-tokens

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Ai developer tooling, Developers, Android users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1020, T1195.001, T1407, T1475, T1528

IOCs:
Domain: 1
File: 4
Email: 1

Soft:
OpenAI, Android, Google Play, OpenClaw, Claude, Linux, Node.js

Languages:
kotlin

Links:
https://github.com/friuns2/codex-mobile/issues/198

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В пакете codexui-android, предназначенном для OpenAI Codex, обнаружена уязвимость, обеспечивающая эксфильтрацию токенов аутентификации на сервер, контролируемый злоумышленником. Такое вредоносное поведение также воспроизводится в другом приложении — OpenClaw Codex Claude AI Agent, что указывает на скоординированную стратегию автора «BrutalStrike», выпустившего несколько связанных приложений. Оба приложения используют общую кодовую базу и механизмы вредоносной эксфильтрации, что выявляет более широкую тенденцию к превращению внешне полезных инструментов разработки на базе ИИ в средства для кражи учётных данных.
-----

Обеспокоивающая уязвимость появилась в Цепочка поставок программного обеспечения, что иллюстрируется пакетом codexui-android — удаленным веб-интерфейсом, предназначенным для OpenAI Codex. Несмотря на то, что он выглядит легитимным и набирает значительную популярность с 27 000 загрузок в неделю, этот пакет был обнаружен как похищающий токены аутентификации Codex на сервер, контролируемый злоумышленником, при каждом использовании. Это вредоносное поведение подчеркивает более широкую тенденцию, когда кажущиеся полезными инструменты используются для кражи учетные данные, что указывает на повышенный риск, связанный с инструментами разработки на базе ИИ из-за их мощных и постоянных токенов доступа.

Угроза не ограничивается только пакетом codexui-android. Тот же автор также распространяет Android-приложение под названием OpenClaw Codex Claude AI Agent, доступное в Google Play и демонстрирующее аналогичную вредоносную функциональность. При установке это приложение автоматически переносит скомпрометированную сборку npm на устройство пользователя. Оно использует компактную структуру APK, которая при первом запуске настраивает пользовательское пространство Linux на базе Termux и запускает Node.js, тем самым обеспечивая скрытое выполнение вредоносного кода.

Анализ программного портфолио автора раскрывает дополнительные детали. Как приложение OpenClaw, так и codex.app используют одну и ту же кодовую базу и вредоносную инфраструктуру, что подтверждается общим пространством имен Kotlin и схожими процессами инициализации. Кроме того, наличие одного и того же механизма вредоносной эксфильтрации, встроенного в несколько приложений, указывает на скоординированную стратегию атаки. Более того, лицо, идентифицированное как «BrutalStrike» и стоящее за этими приложениями, имеет множество других заголовков в экосистеме Google Play, что свидетельствует о потенциально широком охвате и способности распространять ВПО под видом легитимного программного обеспечения.

Этот развивающийся вектор атаки подчеркивает важность бдительности в экосистемах разработки и распространения программного обеспечения, особенно в отношении интеграции инструментов искусственного интеллекта, которые могут подвергнуть пользователей краже учетных данных и несанкционированному доступу. По мере того как ландшафт киберугроз продолжает смещаться в сторону сложных стратегий, необходимость проактивных мер по выявлению и смягчению таких рисков становится первостепенной.

#ParsedReport #CompletenessHigh
28-05-2026

Inside MicrosoftSystem64: A Supply Chain RAT Exfiltrating to HuggingFace

https://safedep.io/microsoftsystem64-binary-payload-analysis/

Report completeness: High

Actors/Campaigns:
Toskypi
Famous_chollima
Contagious_interview

Threats:
Supply_chain_technique
Microsoftsystem64
Bigsquatrat

Victims:
Developers, Cryptocurrency trading bot developers, E commerce operations, Cryptocurrency users

Industry:
E-commerce

Geo:
Dprk

TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 2
File: 12
Hash: 1
Url: 2
Command: 2
BrowserExtension: 14
Coin: 1
Email: 2
Domain: 2

Soft:
HuggingFace, macOS, Node.js, Chromium, Firefox, Telegram, Linux, Chrome, Opera, Vivaldi, have more...

Wallets:
metamask, keplr, coinbase, solflare, exodus_wallet, tronlink, rabby, unisat, sui_wallet, polkadot, have more...

Crypto:
binance, ethereum, solana, bitcoin, aptos, tezos, polkadot

Algorithms:
zip, sha1, gzip, sha256, xor, rc4, base64

Functions:
SetWindowsHookEx, createCommit, packTdata

Win API:
GetAsyncKeyState, hookProc

Languages:
powershell, python, javascript

Platforms:
cross-platform

Links:
https://github.com/safedep/vet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2026 года пакет npm «js-logger-pack» превратился в сложный RAT и стиллер «MicrosoftSystem64», способный похищать данные из более чем 80 криптокошельков и веб-браузеров. Это ВПО подключается к серверу C2 через WebSocket, использует HuggingFace для хранения данных и применяет такие техники, как кейлоггер и периодические скриншоты, маскируя своё поведение с помощью XOR-шифра. Приписывается группе FAMOUS CHOLLIMA, оно обладает возможностями самостоятельного обновления и поддерживает 24 удалённые команды, обеспечивая скрытную и устойчивую работу.
-----

В начале апреля 2026 года вредоносный пакет npm «js-logger-pack» прошел через несколько версий в реестре, эволюционировав из безобидного зонда в сложную троянскую программу для удаленного доступа (RAT) и стиллер информации под названием «MicrosoftSystem64». Этот 81 МБ обрезанный ELF-бинарник, имеющий варианты для Windows и macOS, подключается к серверу управления (C2) через WebSocket и использует платформу HuggingFace в качестве канала эксфильтрации данных. Возможности вредоносного ПО включают эксфильтрацию конфиденциальных данных из более чем 80 расширений криптовалютных кошельков, различных веб-браузеров и SSH-ключей, а также функционал для удаленного выполнения команд и механизмов закрепления в различных операционных системах.

MicrosoftSystem64 использует Node.js v20.18.2, упакованный как Single Executable Application (SEA), что способствует уклонению от обнаружения за счет Маскировка под нативное приложение и усложняет статический анализ. Он применяет простой XOR-шифр для обфускации конфигураций, раскрывая ключевую информацию, такую как конечная точка C2-сервера и механизмы обновления с HuggingFace. Эксфильтрация данных происходит через создание частных наборов данных на HuggingFace, при этом украденные данные загружаются по HTTPS в виде коммитов Git LFS. Этот метод не только обходит традиционные системы обнаружения, но и снижает операционные затраты для злоумышленников, поскольку они перекладывают хранение данных на легитимный сервис.

Вредоносное ПО реализует различные специфические возможности, включая кроссплатформенный кейлоггер, который отслеживает нажатия клавиш и буфер обмена, периодический захват скриншотов и систематическое кражу данных браузера, нацеленное на 15 семейств браузеров. Похищенные данные тщательно организованы в именованные наборы данных на основе идентификаторов жертв и типов данных. Функциональность самообновления гарантирует, что двоичный файл может развиваться после развертываний, повышая устойчивость угрозы.

Архитектура C2 поддерживает 24 различных удаленных команды, обеспечивая комплексный контроль для злоумышленников. Примечательно, что она использует такие техники, как завершение процессов браузера для доступа к заблокированным базам данных при краже учетных данных и сжатие данных для загрузки с целью поддержания скрытности. Недавняя разведка инфраструктуры злоумышленника подтвердила продолжающиеся операции и активное наблюдение за жертвами.

Атака, по-видимому, связана с более широкой кампанией, приписываемой группе FAMOUS CHOLLIMA, которая известна использованием вредоносных пакетов npm для нацеливания на разработчиков. Оперативный шаблон включает быструю ротацию учетных записей и переключение между различными учетными записями HuggingFace для уклонения от обнаружения после того, как они были отмечены. Организациям, использующим любые пакеты из кластеров "jpeek*" или "toskypi", рекомендуется считать системы скомпрометированными и предпринять немедленные меры безопасности, такие как ротация учетных данных и сканирование зависимостей.

#ParsedReport #CompletenessHigh
01-06-2026

FSB’s matryoshka #1/3 – Gamaredon’s gifts that keeps unpacking – GammaPhish and GammaWorm

https://blog.sekoia.io/fsbs-matryoshka-1-3-gamaredons-gifts-that-keeps-unpacking-gammaphish-and-gammaworm/

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Sandworm
Turla

Threats:
Gammaphish
Gammaworm
Gammaload
Gammasteel
Pteranodon
Spear-phishing_technique
Rms_tool
Ultra_vnc_tool
Litterdrifter
Powerpunch
Quietsieves
Gammadrop
Gamawiper
Pterodoc
Pterolnk
Pterodousb
Usbstealer
Gammawipe
Dead_drop_technique
Smuggling_technique
Dllsearchorder_hijacking_technique

Victims:
Government, Military, Critical infrastructure, Ukraine

Industry:
Government, Critical_infrastructure, Military

Geo:
Ukrainian, Russia, China, Russian, Ukraine

CVEs:
CVE-2018-20250 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (le5.61)

CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.006, T1036.004, T1036.005, T1041, T1047, T1053.005, T1059.001, T1059.005, T1059.007, have more...

IOCs:
File: 22
Hash: 2
Url: 9
Path: 5
Registry: 2
Domain: 6
IP: 1

Soft:
Telegram, Gamma, Windows registry, Windows COM, Windows Explorer, curl

Algorithms:
md5, base64

Functions:
Get-Item

Languages:
php, powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4