#ParsedReport #CompletenessHigh
26-06-2026
When Three Threats Meet One Inbox Against Japan
https://ransom-isac.org/blog/three-threats-one-inbox-japan
Report completeness: High
Actors/Campaigns:
Smishing_triad (motivation: cyber_espionage)
Mirrorface (motivation: cyber_espionage)
Stone_panda (motivation: cyber_espionage)
Threats:
Cogui
Darcula_tool
Spear-phishing_technique
Noopdoor
Supply_chain_technique
Anel
Lodeinfo
Dll_sideloading_technique
Aitm_technique
Lighthouse_tool
Smishing_technique
Roamingmouse
Asyncrat
Victims:
Japan, Financial services, Electronic commerce, Payments, Logistics, Utilities, Government, Defense, Think tanks, Research institutions, have more...
Industry:
Semiconductor_industry, E-commerce, Logistic, Financial, Government
Geo:
China, Singapore, Japan, Tokyo, Chinese, Japanese
TTPs:
Tactics: 2
Technics: 3
IOCs:
Domain: 382
IP: 4
Hash: 77
File: 68
Soft:
Telegram, iMessage, Chrome
Algorithms:
zip, sha256
Functions:
getState
Languages:
javascript
Platforms:
apple
YARA: Found
26-06-2026
When Three Threats Meet One Inbox Against Japan
https://ransom-isac.org/blog/three-threats-one-inbox-japan
Report completeness: High
Actors/Campaigns:
Smishing_triad (motivation: cyber_espionage)
Mirrorface (motivation: cyber_espionage)
Stone_panda (motivation: cyber_espionage)
Threats:
Cogui
Darcula_tool
Spear-phishing_technique
Noopdoor
Supply_chain_technique
Anel
Lodeinfo
Dll_sideloading_technique
Aitm_technique
Lighthouse_tool
Smishing_technique
Roamingmouse
Asyncrat
Victims:
Japan, Financial services, Electronic commerce, Payments, Logistics, Utilities, Government, Defense, Think tanks, Research institutions, have more...
Industry:
Semiconductor_industry, E-commerce, Logistic, Financial, Government
Geo:
China, Singapore, Japan, Tokyo, Chinese, Japanese
TTPs:
Tactics: 2
Technics: 3
IOCs:
Domain: 382
IP: 4
Hash: 77
File: 68
Soft:
Telegram, iMessage, Chrome
Algorithms:
zip, sha256
Functions:
getState
Languages:
javascript
Platforms:
apple
YARA: Found
Ransom-ISAC
When Three Threats Meet One Inbox Against Japan
Three unrelated Chinese-nexus operators — CoGUI email phishing, the Smishing Triad SMS/iMessage ecosystem, and MirrorFace espionage — converge on Japanese inboxes simultaneously, producing a single-campaign illusion that demands durable behavioral detection…
CTT Report Hub
#ParsedReport #CompletenessHigh 26-06-2026 When Three Threats Meet One Inbox Against Japan https://ransom-isac.org/blog/three-threats-one-inbox-japan Report completeness: High Actors/Campaigns: Smishing_triad (motivation: cyber_espionage) Mirrorface (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Иск по закону RICO, поданный Google в конце 2025 года, выявил китайскую киберпреступную сеть, использующую модель фишинг как услуга (PhaaS), нацеленную на японских пользователей и связанную с компрометацией около 115 миллионов кредитных карт. Сеть состоит из трех кластеров злоумышленников: CoGUI, специализирующегося на фишинге по электронной почте; Smishing Triad, использующего платформы SMS для атак, нацеленных на конкретные бренды; и MirrorFace, связанной с государственной шпионской деятельностью через продвинутый целевой фишинг. Эти угрозы указывают на сложную картину, эксплуатирующую экономические уязвимости Японии, что требует улучшения мониторинга атак.
-----
В конце 2025 года федеральный иск по закону RICO, поданный Google, раскрыл китайскую киберпреступную сеть, работающую по модели Фишинг как услуга (PhaaS), в которой фигурируют несколько злоумышленников, нацеленных на японских пользователей через различные каналы. Эта сеть была связана с компрометацией примерно 115 миллионов кредитных карт в numerous странах, что вызвало обеспокоенность в отношении системных киберугроз, направленных против экономической ситуации в Японии, особенно в ее финансовом и производственном секторах.
Япония стала фокусом киберпреступной активности из-за своей значительной экономики, обширной потребительской базы и культурных особенностей, которые препятствуют публичным раскрытиям инцидентов. Схождение трех различных кластеров киберакторов — CoGUI, Smishing Triad и MirrorFace — подчеркивает сложную угрожающую среду. CoGUI проводит высокообъемные кампании целевого фишинга по электронной почте, направленные на кражу учетных данных и номеров кредитных карт, используя сложные техники уклонения путем профилирования жертв на основе геолокации, типа браузера и характеристик устройства. Smishing Triad эксплуатирует платформы SMS, в основном iMessage, применяя фишинговые тактики, специфичные для брендов, для доставки вредоносного контента. Ее операции, подкрепленные подписной моделью для функций анти-обнаружения, позволяют быстро изменять инфраструктуру в ответ на меры безопасности. MirrorFace, в свою очередь, связана с китайской государственной шпионской деятельностью, нацеленной на высокоценные объекты, такие как оборонные подрядчики и исследовательские институты, через продвинутые техники целевого фишинга, которые используют местный язык и контекст.
С точки зрения защиты существует острая необходимость в устойчивости к этим многослойным угрозам, действующим одновременно, поскольку сотрудники таких секторов, как финансы, могут столкнуться с попытками со стороны всех трех акторов в течение одной недели, часто не осознавая наличия пересекающихся кампаний. В дальнейшем аналитики подозревают наличие элемента «локализация как услуга» (LaaS), влияющего на эти операции, где японская языковая экспертиза и стратегии контента разделяются между различными операторами, что усиливает уязвимость Японии. Следовательно, организациям необходимо сосредоточиться на выявлении поведенческих индикаторов, а не полагаться исключительно на эфемерные домены и IP-адреса, которые часто меняются в рамках наступательных стратегий этих киберпреступников. Это включает мониторинг специфических шаблонов трафика и предназначенных механизмов фильтрации, которые выделяют операционные архитектуры и намерения злоумышленников.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Иск по закону RICO, поданный Google в конце 2025 года, выявил китайскую киберпреступную сеть, использующую модель фишинг как услуга (PhaaS), нацеленную на японских пользователей и связанную с компрометацией около 115 миллионов кредитных карт. Сеть состоит из трех кластеров злоумышленников: CoGUI, специализирующегося на фишинге по электронной почте; Smishing Triad, использующего платформы SMS для атак, нацеленных на конкретные бренды; и MirrorFace, связанной с государственной шпионской деятельностью через продвинутый целевой фишинг. Эти угрозы указывают на сложную картину, эксплуатирующую экономические уязвимости Японии, что требует улучшения мониторинга атак.
-----
В конце 2025 года федеральный иск по закону RICO, поданный Google, раскрыл китайскую киберпреступную сеть, работающую по модели Фишинг как услуга (PhaaS), в которой фигурируют несколько злоумышленников, нацеленных на японских пользователей через различные каналы. Эта сеть была связана с компрометацией примерно 115 миллионов кредитных карт в numerous странах, что вызвало обеспокоенность в отношении системных киберугроз, направленных против экономической ситуации в Японии, особенно в ее финансовом и производственном секторах.
Япония стала фокусом киберпреступной активности из-за своей значительной экономики, обширной потребительской базы и культурных особенностей, которые препятствуют публичным раскрытиям инцидентов. Схождение трех различных кластеров киберакторов — CoGUI, Smishing Triad и MirrorFace — подчеркивает сложную угрожающую среду. CoGUI проводит высокообъемные кампании целевого фишинга по электронной почте, направленные на кражу учетных данных и номеров кредитных карт, используя сложные техники уклонения путем профилирования жертв на основе геолокации, типа браузера и характеристик устройства. Smishing Triad эксплуатирует платформы SMS, в основном iMessage, применяя фишинговые тактики, специфичные для брендов, для доставки вредоносного контента. Ее операции, подкрепленные подписной моделью для функций анти-обнаружения, позволяют быстро изменять инфраструктуру в ответ на меры безопасности. MirrorFace, в свою очередь, связана с китайской государственной шпионской деятельностью, нацеленной на высокоценные объекты, такие как оборонные подрядчики и исследовательские институты, через продвинутые техники целевого фишинга, которые используют местный язык и контекст.
С точки зрения защиты существует острая необходимость в устойчивости к этим многослойным угрозам, действующим одновременно, поскольку сотрудники таких секторов, как финансы, могут столкнуться с попытками со стороны всех трех акторов в течение одной недели, часто не осознавая наличия пересекающихся кампаний. В дальнейшем аналитики подозревают наличие элемента «локализация как услуга» (LaaS), влияющего на эти операции, где японская языковая экспертиза и стратегии контента разделяются между различными операторами, что усиливает уязвимость Японии. Следовательно, организациям необходимо сосредоточиться на выявлении поведенческих индикаторов, а не полагаться исключительно на эфемерные домены и IP-адреса, которые часто меняются в рамках наступательных стратегий этих киберпреступников. Это включает мониторинг специфических шаблонов трафика и предназначенных механизмов фильтрации, которые выделяют операционные архитектуры и намерения злоумышленников.
#ParsedReport #CompletenessHigh
26-06-2026
Operation DragonReturn: China-Nexus Cyber Espionage Campaign Targeting Govt. of India/MoF Tax Infrastructure via Multi-Stage DcRAT Deployment
https://www.seqrite.com/blog/operation-dragonreturn-china-nexus-cyber-espionage-campaign-targeting-govt-of-india-mof-tax-infrastructure-via-multi-stage-dcrat-deployment/
Report completeness: High
Actors/Campaigns:
Dragonreturn (motivation: financially_motivated, information_theft, cyber_espionage)
Silver_fox
Threats:
Dcrat
Spear-phishing_technique
Process_injection_technique
Amsi_bypass_technique
Uac_bypass_technique
Victims:
Government tax infrastructure, Indian taxpayers, Tax professionals, Corporate finance teams
Industry:
Telco, Government, Financial
Geo:
India, Burma, Asian, Indian, China
TTPs:
Tactics: 8
Technics: 27
IOCs:
Url: 1
File: 20
IP: 6
Domain: 3
Hash: 34
Soft:
Windows Service, Windows Media Player, Windows Defender, NET Framework
Algorithms:
aes, zip, xor
Functions:
injection_initialize, injection_terminate, fgetc_nolock, sub_1800015A0, sub_180001000, sub_1400011E0, CLRCreateInstance
Win API:
WinMain, VirtualAlloc, CheckTokenMembership, ShellExecuteW, GetTickCount64, LoadLibraryA, GetProcAddress, CreateToolhelp32Snapshot, WTSEnumerateSessionsW, GetModuleHandleA, have more...
26-06-2026
Operation DragonReturn: China-Nexus Cyber Espionage Campaign Targeting Govt. of India/MoF Tax Infrastructure via Multi-Stage DcRAT Deployment
https://www.seqrite.com/blog/operation-dragonreturn-china-nexus-cyber-espionage-campaign-targeting-govt-of-india-mof-tax-infrastructure-via-multi-stage-dcrat-deployment/
Report completeness: High
Actors/Campaigns:
Dragonreturn (motivation: financially_motivated, information_theft, cyber_espionage)
Silver_fox
Threats:
Dcrat
Spear-phishing_technique
Process_injection_technique
Amsi_bypass_technique
Uac_bypass_technique
Victims:
Government tax infrastructure, Indian taxpayers, Tax professionals, Corporate finance teams
Industry:
Telco, Government, Financial
Geo:
India, Burma, Asian, Indian, China
TTPs:
Tactics: 8
Technics: 27
IOCs:
Url: 1
File: 20
IP: 6
Domain: 3
Hash: 34
Soft:
Windows Service, Windows Media Player, Windows Defender, NET Framework
Algorithms:
aes, zip, xor
Functions:
injection_initialize, injection_terminate, fgetc_nolock, sub_1800015A0, sub_180001000, sub_1400011E0, CLRCreateInstance
Win API:
WinMain, VirtualAlloc, CheckTokenMembership, ShellExecuteW, GetTickCount64, LoadLibraryA, GetProcAddress, CreateToolhelp32Snapshot, WTSEnumerateSessionsW, GetModuleHandleA, have more...
Seqrite Labs
Operation DragonReturn: China-Nexus Cyber Espionage Campaign Targeting Govt. of India/MoF Tax Infrastructure via Multi-Stage DcRAT…
<p>Authors: Dixit Panchal & Soumen Burma Table of Contents: Introduction: Key Targets: Infection Chain: Initial Findings about Campaign: Initial Mail: Email Attachment: Lure: Official GoI, Income Tax Document: Technical Analysis: Infrastructural Artefacts…
CTT Report Hub
#ParsedReport #CompletenessHigh 26-06-2026 Operation DragonReturn: China-Nexus Cyber Espionage Campaign Targeting Govt. of India/MoF Tax Infrastructure via Multi-Stage DcRAT Deployment https://www.seqrite.com/blog/operation-dragonreturn-china-nexus-cyber…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция DragonReturn — это кампания кибершпионажа, приписываемая актору, связанному с Китаем, и направленная против финансовой инфраструктуры Индии. В ней используются сложные тактики целевого фишинга с вредоносными вложениями, имитирующими официальное налоговое программное обеспечение, что запускает многоэтапный процесс внедрения ВПО, обеспечивающее закрепление через Служба Windows под названием MixedSvc. Вредоносное ПО обладает продвинутыми техниками уклонения, включая антивспомогательные механизмы, динамическое выполнение полезной нагрузки и зашифрованную связь с серверами C2, что позволяет осуществлять эксфильтрацию данных и непрерывную разведку.
-----
Операция DragonReturn — это сложная кампания кибершпионажа, приписываемая злоумышленнику, связанному с Китаем, нацеленная на финансовую и налоговую инфраструктуру правительства Индии. Операция началась 18 мая 2026 года и продолжает активно поддерживаться, применяя передовые тактики, соответствующие тем, которые ранее наблюдались среди кластеров злоумышленников, связанных с Китаем. Кампания в основном использует тщательно составленные письма целевого фишинга, предназначенные для имперсонации Департамента подоходного налога Индии, и направленные на налогоплательщиков и налоговых специалистов. Эти письма сопровождаются вредоносными вложениями, которые тесно имитируют официальное программное обеспечение для налоговых утилит, что затрудняет обнаружение даже для внимательных пользователей.
Развертывание ВПО использует многоэтапный процесс, инициируемый ZIP-архивом, названным аналогично легальному программному обеспечению для подачи налоговой декларации. После запуска это вредоносное ПО создает Служба Windows под названием MixedSvc, выполняя Маскировка под легитимный компонент для обеспечения закрепления на зараженной машине. Эта служба настроена на автоматический запуск при загрузке системы, тем самым обеспечивая долгосрочный доступ. ВПО включает сложные техники уклонения, такие как проверка административных привилегий, антианалитическое поведение для избежания обнаружения в средах песочницы и использование обертывания внутри кажущихся безобидными файлов (например, файл изображения с именем background.jpg) для сокрытия вторичных полез
ВПО использует продвинутые методы обфускации и антианализа, включая отключение интерфейса сканирования Windows AntiMalware (AMSI) и выполнение обширных проверок для обеспечения того, что оно не работает в виртуализированной среде. Оно расшифровывает встраиваемую полезную нагрузку динамически и выполняет её непосредственно в памяти без записи на диск, что повышает скрытность. Основная функциональность включает возможность загрузки дополнительных полезной нагрузки, установления зашифрованных каналов связи с серверами управления (управление) и проведения разведки для сбора конфиденциальной информации об зараженной инфраструктуре.
Дополнительные функции вредоносного ПО включают систематический захват активности экрана и эксфильтрацию данных на сервер C2 через каналы, зашифрованные с помощью TLS. Фреймворк связи позволяет выполнять несколько вредоносных компонентов, вероятно включая бэкдоры и инструменты сбора учетных записей, с целью поддержания непрерывного доступа к ценным данным в целевой инфраструктуре.
Операционная инфраструктура была прослежена до IP-адресов, связанных с китайскими хостинг-провайдерами, что способствовало оценке происхождения кампании. Быстрая итерация и ротация полезной нагрузки с показателем обнаружения 0/66 на VirusTotal указывают на хорошо финансируемого и ресурсного противника, способного быстро адаптироваться к контрмерам. По состоянию на 17 июня 2026 года операция продолжается, что подчеркивает значительную угрозу для налоговой и финансовой систем Индии, усиленную постоянными усилиями по эксплуатации конкретных высокоценных целей в критические периоды подачи налоговых деклараций. Очевидная цель заключается в обеспечении долгосрочного скрытого доступа для сбора разведданных и эксфильтрации данных.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция DragonReturn — это кампания кибершпионажа, приписываемая актору, связанному с Китаем, и направленная против финансовой инфраструктуры Индии. В ней используются сложные тактики целевого фишинга с вредоносными вложениями, имитирующими официальное налоговое программное обеспечение, что запускает многоэтапный процесс внедрения ВПО, обеспечивающее закрепление через Служба Windows под названием MixedSvc. Вредоносное ПО обладает продвинутыми техниками уклонения, включая антивспомогательные механизмы, динамическое выполнение полезной нагрузки и зашифрованную связь с серверами C2, что позволяет осуществлять эксфильтрацию данных и непрерывную разведку.
-----
Операция DragonReturn — это сложная кампания кибершпионажа, приписываемая злоумышленнику, связанному с Китаем, нацеленная на финансовую и налоговую инфраструктуру правительства Индии. Операция началась 18 мая 2026 года и продолжает активно поддерживаться, применяя передовые тактики, соответствующие тем, которые ранее наблюдались среди кластеров злоумышленников, связанных с Китаем. Кампания в основном использует тщательно составленные письма целевого фишинга, предназначенные для имперсонации Департамента подоходного налога Индии, и направленные на налогоплательщиков и налоговых специалистов. Эти письма сопровождаются вредоносными вложениями, которые тесно имитируют официальное программное обеспечение для налоговых утилит, что затрудняет обнаружение даже для внимательных пользователей.
Развертывание ВПО использует многоэтапный процесс, инициируемый ZIP-архивом, названным аналогично легальному программному обеспечению для подачи налоговой декларации. После запуска это вредоносное ПО создает Служба Windows под названием MixedSvc, выполняя Маскировка под легитимный компонент для обеспечения закрепления на зараженной машине. Эта служба настроена на автоматический запуск при загрузке системы, тем самым обеспечивая долгосрочный доступ. ВПО включает сложные техники уклонения, такие как проверка административных привилегий, антианалитическое поведение для избежания обнаружения в средах песочницы и использование обертывания внутри кажущихся безобидными файлов (например, файл изображения с именем background.jpg) для сокрытия вторичных полез
ВПО использует продвинутые методы обфускации и антианализа, включая отключение интерфейса сканирования Windows AntiMalware (AMSI) и выполнение обширных проверок для обеспечения того, что оно не работает в виртуализированной среде. Оно расшифровывает встраиваемую полезную нагрузку динамически и выполняет её непосредственно в памяти без записи на диск, что повышает скрытность. Основная функциональность включает возможность загрузки дополнительных полезной нагрузки, установления зашифрованных каналов связи с серверами управления (управление) и проведения разведки для сбора конфиденциальной информации об зараженной инфраструктуре.
Дополнительные функции вредоносного ПО включают систематический захват активности экрана и эксфильтрацию данных на сервер C2 через каналы, зашифрованные с помощью TLS. Фреймворк связи позволяет выполнять несколько вредоносных компонентов, вероятно включая бэкдоры и инструменты сбора учетных записей, с целью поддержания непрерывного доступа к ценным данным в целевой инфраструктуре.
Операционная инфраструктура была прослежена до IP-адресов, связанных с китайскими хостинг-провайдерами, что способствовало оценке происхождения кампании. Быстрая итерация и ротация полезной нагрузки с показателем обнаружения 0/66 на VirusTotal указывают на хорошо финансируемого и ресурсного противника, способного быстро адаптироваться к контрмерам. По состоянию на 17 июня 2026 года операция продолжается, что подчеркивает значительную угрозу для налоговой и финансовой систем Индии, усиленную постоянными усилиями по эксплуатации конкретных высокоценных целей в критические периоды подачи налоговых деклараций. Очевидная цель заключается в обеспечении долгосрочного скрытого доступа для сбора разведданных и эксфильтрации данных.
#ParsedReport #CompletenessHigh
25-06-2026
STOCKSTAY Another Day: The Latest Addition to Turla’s Intelligence Gathering Apparatus
https://cloud.google.com/blog/topics/threat-intelligence/stockstay-turla-intelligence-gathering/
Report completeness: High
Actors/Campaigns:
Turla (motivation: cyber_espionage, government_sponsored)
Uac-0194
Diamondback
Chikenfresh
Threats:
Stockstay
Kazuar
Stockbroker
Tunneler
Stockmarket
Marketmaker
K1morpher
Junk_code_technique
Wildday
Spear-phishing_technique
Victims:
Government organizations, Military organizations, Ministries of foreign affairs, Defense organizations, Entities interested in italian foreign policy, Ukraine, Italy, Europe
Industry:
Transport, Healthcare, Military, Government, Education
Geo:
Ukrainian, Russian, Italy, Poland, Jordan, Russia, Netherlands, Italian, Ukraine, Germany, Asia, United states
CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)
ChatGPT TTPs:
T1012, T1021.001, T1027, T1027.016, T1036, T1036.005, T1059.001, T1071.001, T1082, T1083, have more...
IOCs:
File: 11
Path: 1
Url: 9
Hash: 51
Domain: 5
Soft:
Windows registry, WordPress, WinRAR
Wallets:
coinbase, bybit
Crypto:
binance
Algorithms:
zip, base64, xor, fnv1-a
Functions:
renameAndRunFile, function, GetSystemProxy, GetDataTrade, GetDataNews, GetFiles
Win API:
STOCKBROKER, STOCKMARKET, STOCKTRADER, MARKETMAKER, NET
Languages:
jscript, python, dotnet, javascript, powershell
Platforms:
intel
YARA: Found
Links:
25-06-2026
STOCKSTAY Another Day: The Latest Addition to Turla’s Intelligence Gathering Apparatus
https://cloud.google.com/blog/topics/threat-intelligence/stockstay-turla-intelligence-gathering/
Report completeness: High
Actors/Campaigns:
Turla (motivation: cyber_espionage, government_sponsored)
Uac-0194
Diamondback
Chikenfresh
Threats:
Stockstay
Kazuar
Stockbroker
Tunneler
Stockmarket
Marketmaker
K1morpher
Junk_code_technique
Wildday
Spear-phishing_technique
Victims:
Government organizations, Military organizations, Ministries of foreign affairs, Defense organizations, Entities interested in italian foreign policy, Ukraine, Italy, Europe
Industry:
Transport, Healthcare, Military, Government, Education
Geo:
Ukrainian, Russian, Italy, Poland, Jordan, Russia, Netherlands, Italian, Ukraine, Germany, Asia, United states
CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)
ChatGPT TTPs:
do not use without manual checkT1012, T1021.001, T1027, T1027.016, T1036, T1036.005, T1059.001, T1071.001, T1082, T1083, have more...
IOCs:
File: 11
Path: 1
Url: 9
Hash: 51
Domain: 5
Soft:
Windows registry, WordPress, WinRAR
Wallets:
coinbase, bybit
Crypto:
binance
Algorithms:
zip, base64, xor, fnv1-a
Functions:
renameAndRunFile, function, GetSystemProxy, GetDataTrade, GetDataNews, GetFiles
Win API:
STOCKBROKER, STOCKMARKET, STOCKTRADER, MARKETMAKER, NET
Languages:
jscript, python, dotnet, javascript, powershell
Platforms:
intel
YARA: Found
Links:
https://github.com/sta/websocket-sharpGoogle Cloud Blog
The Latest Addition to Turla’s Intelligence Gathering Apparatus | Google Cloud Blog
Analysis of a backdoor, STOCKSTAY, that has been continually developed and deployed by the Russia-linked threat actor Turla.
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 STOCKSTAY Another Day: The Latest Addition to Turla’s Intelligence Gathering Apparatus https://cloud.google.com/blog/topics/threat-intelligence/stockstay-turla-intelligence-gathering/ Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Бэкдор STOCKSTAY — это сложный инструмент кибершпионажа, приписываемый связанному с Россией злоумышленнику Turla, нацеленному на государственные и военные сектора, особенно в Украине. Он использует многокомпонентную архитектуру для обеспечения функциональности, включая модули для связи через WebSocket и управления конфигурацией, а также техники обфускации для уклонения от обнаружения. Методы развертывания эволюционировали, чтобы включать тактики фишинга с вредоносными файлами RDP и использование скомпрометированных легитимных сервисов, что подчеркивает адаптивность Turla в операциях против чувствительных целей.
-----
Бэкдор STOCKSTAY, идентифицированный Группой разведки угроз Google (GTIG) как инструмент кибершпионажа, разработанный связанным с Россией злоумышленником Turla, постоянно улучшается с момента первоначального развертывания в конце 2022 года. Это ВПО нацелено на правительственные и военные организации, особенно в Украине, и демонстрирует значительные сходства в коде с набором инструментов KAZUAR от Turla. STOCKSTAY работает через многокомпонентную архитектуру, состоящую из различных модулей, которые обеспечивают связь и функциональность ВПО.
Основными компонентами STOCKSTAY являются STOCKSTAY.STOCKBROKER — прокси-ориентированный туннелизатор, управляющий связью с серверами управления (управление) через WebSocket-соединения, и STOCKSTAY.STOCKMARKET, выступающий в качестве точки оркестровки ВПО, обрабатывающей конфигурацию и выполнение команд. Файлы конфигурации, созданные для имитации легитимных, содержат зашифрованные данные, критически важные для поддержания функционирования ВПО, такие как сведения о сервере управления. Эти файлы используют использование ключей на основе окружения, благодаря чему механизм дешифрования привязан к конкретному хосту или сети, что усложняет обнаружение ВПО.
Методы развертывания STOCKSTAY эволюционировали, включая тактики фишинга с использованием вредоносных файлов конфигурации RDP для установления соединений с инфраструктурой актора. Например, GTIG наблюдал фишинговые письма, якобы от академических учреждений, которые содержали вложения в виде файлов RDP, что позволяло развернуть ВПО после успешных соединений. Кроме того, ВПО было связано с использованием скомпрометированных легитимных сервисов для размещения вредоносных загрузок.
Недавние обновления STOCKSTAY включают внедрение техники обфускации строк K1MORPHER, повышающей его возможности по уклонению от средств обнаружения. Эта техника опирается на алгоритм генерации псевдослучайных чисел, который способствует динамической обфускации различных типов данных в коде ВПО.
STOCKSTAY демонстрирует характерный шаблон развертывания, часто совпадающий с нацеливанием на украинские организации на фоне продолжающихся политических напряжений с Россией. Операционные методы злоумышленника также распространяются на нацеливание на европейские структуры, особенно те, которые имеют интересы в сфере внешних связей, хотя эти операции подтверждаются реже. Общая архитектура и эволюционирующий характер STOCKSTAY подчеркивают постоянную сложность кибершпионских усилий Turla, отражая их давние тактики и адаптивность при нацеливании на чувствительные государственные структуры.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Бэкдор STOCKSTAY — это сложный инструмент кибершпионажа, приписываемый связанному с Россией злоумышленнику Turla, нацеленному на государственные и военные сектора, особенно в Украине. Он использует многокомпонентную архитектуру для обеспечения функциональности, включая модули для связи через WebSocket и управления конфигурацией, а также техники обфускации для уклонения от обнаружения. Методы развертывания эволюционировали, чтобы включать тактики фишинга с вредоносными файлами RDP и использование скомпрометированных легитимных сервисов, что подчеркивает адаптивность Turla в операциях против чувствительных целей.
-----
Бэкдор STOCKSTAY, идентифицированный Группой разведки угроз Google (GTIG) как инструмент кибершпионажа, разработанный связанным с Россией злоумышленником Turla, постоянно улучшается с момента первоначального развертывания в конце 2022 года. Это ВПО нацелено на правительственные и военные организации, особенно в Украине, и демонстрирует значительные сходства в коде с набором инструментов KAZUAR от Turla. STOCKSTAY работает через многокомпонентную архитектуру, состоящую из различных модулей, которые обеспечивают связь и функциональность ВПО.
Основными компонентами STOCKSTAY являются STOCKSTAY.STOCKBROKER — прокси-ориентированный туннелизатор, управляющий связью с серверами управления (управление) через WebSocket-соединения, и STOCKSTAY.STOCKMARKET, выступающий в качестве точки оркестровки ВПО, обрабатывающей конфигурацию и выполнение команд. Файлы конфигурации, созданные для имитации легитимных, содержат зашифрованные данные, критически важные для поддержания функционирования ВПО, такие как сведения о сервере управления. Эти файлы используют использование ключей на основе окружения, благодаря чему механизм дешифрования привязан к конкретному хосту или сети, что усложняет обнаружение ВПО.
Методы развертывания STOCKSTAY эволюционировали, включая тактики фишинга с использованием вредоносных файлов конфигурации RDP для установления соединений с инфраструктурой актора. Например, GTIG наблюдал фишинговые письма, якобы от академических учреждений, которые содержали вложения в виде файлов RDP, что позволяло развернуть ВПО после успешных соединений. Кроме того, ВПО было связано с использованием скомпрометированных легитимных сервисов для размещения вредоносных загрузок.
Недавние обновления STOCKSTAY включают внедрение техники обфускации строк K1MORPHER, повышающей его возможности по уклонению от средств обнаружения. Эта техника опирается на алгоритм генерации псевдослучайных чисел, который способствует динамической обфускации различных типов данных в коде ВПО.
STOCKSTAY демонстрирует характерный шаблон развертывания, часто совпадающий с нацеливанием на украинские организации на фоне продолжающихся политических напряжений с Россией. Операционные методы злоумышленника также распространяются на нацеливание на европейские структуры, особенно те, которые имеют интересы в сфере внешних связей, хотя эти операции подтверждаются реже. Общая архитектура и эволюционирующий характер STOCKSTAY подчеркивают постоянную сложность кибершпионских усилий Turla, отражая их давние тактики и адаптивность при нацеливании на чувствительные государственные структуры.
#ParsedReport #CompletenessHigh
25-06-2026
Millenium: A RAT Rewritten, A Threat Multiplied
https://www.group-ib.com/blog/millenium-rat-maas/
Report completeness: High
Actors/Campaigns:
Y2k_operators
Shinyenigma
Threats:
Milleniumrat
Redeemer
Procmon_tool
Phantomkyc_tool
Xworm_rat
Njrat
Victims:
Windows users, Gaming community, Cryptocurrency users, Cybersecurity enthusiasts, Cybercrime actors, Global users
Industry:
Entertainment, Financial
Geo:
Russian
TTPs:
Tactics: 10
Technics: 29
IOCs:
Url: 16
Registry: 2
File: 28
Domain: 1
Hash: 39
Soft:
Telegram, NET framework, discord, Chromium, Steam, INSTAGRAM, Roblox, Microsoft Defender, Windows defender
Algorithms:
xor, base64
Functions:
Windows, getUpdates
Win API:
messagebox
Languages:
powershell
25-06-2026
Millenium: A RAT Rewritten, A Threat Multiplied
https://www.group-ib.com/blog/millenium-rat-maas/
Report completeness: High
Actors/Campaigns:
Y2k_operators
Shinyenigma
Threats:
Milleniumrat
Redeemer
Procmon_tool
Phantomkyc_tool
Xworm_rat
Njrat
Victims:
Windows users, Gaming community, Cryptocurrency users, Cybersecurity enthusiasts, Cybercrime actors, Global users
Industry:
Entertainment, Financial
Geo:
Russian
TTPs:
Tactics: 10
Technics: 29
IOCs:
Url: 16
Registry: 2
File: 28
Domain: 1
Hash: 39
Soft:
Telegram, NET framework, discord, Chromium, Steam, INSTAGRAM, Roblox, Microsoft Defender, Windows defender
Algorithms:
xor, base64
Functions:
Windows, getUpdates
Win API:
messagebox
Languages:
powershell
Group-IB
Millenium: A RAT Rewritten, A Threat Multiplied
Group-IB analyzes Millenium RAT version 4.*, a remote access trojan that has undergone an architectural shift from .NET to native C++, while continuing to leverage the Telegram Bot API for command and control, requiring no dedicated server infrastructure.…
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 Millenium: A RAT Rewritten, A Threat Multiplied https://www.group-ib.com/blog/millenium-rat-maas/ Report completeness: High Actors/Campaigns: Y2k_operators Shinyenigma Threats: Milleniumrat Redeemer Procmon_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RAT Millenium версии 4.* — это троянская программа для удалённого доступа, написанная на C++, которая использует Telegram Bot API для управления, маскируя свой трафик под обычную переписку для уклонения от обнаружения. По состоянию на начало 2026 года она заразила более 62 000 конечных точек по всему миру и распространяется группой Y2K Operators по модели ВПО как услуга. ВПО выполняет различные функции с помощью стандартных вызовов Windows API, полагаясь на социальную инженерию для доставки и запросы контроля учётных записей пользователей для повышения привилегий, не применяя продвинутых методов для получения повышенного доступа.
-----
Millenium RAT версии 4.* представляет собой значительную эволюцию в возможностях этого троянской программы, которая перешла от создания на основе фреймворк .NET к нативному приложению на C++. Этот сдвиг не только повышает устойчивость ВПО, но и устраняет зависимость от .NET, упрощая его развертывание в различных средах. RAT использует API бота Телеграм для своей инфраструктуры управления (C2), что позволяет осуществлять связь, маскируя вредоносный трафик под нормальную активность в мессенджере, что потенциально может позволить ему обойти традиционные меры обнаружения.
По состоянию на начало 2026 года заразность Millenium RAT резко возросла: по сообщениям, под угрозой оказались более 62 000 конечных точек в более чем 160 странах, при этом 39 730 заражений произошло только в первом квартале 2026 года. Вредоносное ПО активно распространяется хакерской группировкой Y2K Operators, возглавляемой разработчиком, использующим псевдоним shinyenigma. Модель распространения разработчика работает на базе фреймворка Malware-as-a-Service (MaaS), предлагая RAT за $50 за первый месяц и по $10 за последующие месяцы, либо за единовременную плату в $90 за пожизненный доступ.
При запуске Millenium RAT загружает свою конфигурацию из встроенного ресурса, закодированного в Base64, обеспечивая скрытность за счет обфускации. Операционная логика вредоносного ПО включает либо немедленное уведомление операторов через Телеграм, либо процедуру самоинсталляции для обеспечения закрепления на зараженной машине. Этот процесс включает создание директории в папке appdata пользователя и установку записи в реестре автозагрузки для содействия повторному выполнению.
Схема коммуникации RAT активно использует стандартные вызовы API Windows для выполнения своих функций, включая эксфильтрацию данных, создание скриншотов, регистрацию нажатий клавиш и выполнение произвольных команд. Примечательно, что RAT не использует продвинутые техники повышения привилегий; вместо этого он полагается на легитимные запросы контроля учетных записей (UAC) для получения административных привилегий от пользователей.
Первоначальная доставка Millenium RAT часто использует тактики социальной инженерии, применяя заманчивые имена файлов и темы, чтобы соблазнить жертв на выполнение зараженных файлов. Распространение вредоносного ПО не ограничивается обычными пользователями; было зафиксировано, что оно заражает других киберпреступников, внедряясь в популярные инструменты взлома и эксплойт-наборы, обманывая потенциальных злоумышленников и заставляя их заражать свои системы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RAT Millenium версии 4.* — это троянская программа для удалённого доступа, написанная на C++, которая использует Telegram Bot API для управления, маскируя свой трафик под обычную переписку для уклонения от обнаружения. По состоянию на начало 2026 года она заразила более 62 000 конечных точек по всему миру и распространяется группой Y2K Operators по модели ВПО как услуга. ВПО выполняет различные функции с помощью стандартных вызовов Windows API, полагаясь на социальную инженерию для доставки и запросы контроля учётных записей пользователей для повышения привилегий, не применяя продвинутых методов для получения повышенного доступа.
-----
Millenium RAT версии 4.* представляет собой значительную эволюцию в возможностях этого троянской программы, которая перешла от создания на основе фреймворк .NET к нативному приложению на C++. Этот сдвиг не только повышает устойчивость ВПО, но и устраняет зависимость от .NET, упрощая его развертывание в различных средах. RAT использует API бота Телеграм для своей инфраструктуры управления (C2), что позволяет осуществлять связь, маскируя вредоносный трафик под нормальную активность в мессенджере, что потенциально может позволить ему обойти традиционные меры обнаружения.
По состоянию на начало 2026 года заразность Millenium RAT резко возросла: по сообщениям, под угрозой оказались более 62 000 конечных точек в более чем 160 странах, при этом 39 730 заражений произошло только в первом квартале 2026 года. Вредоносное ПО активно распространяется хакерской группировкой Y2K Operators, возглавляемой разработчиком, использующим псевдоним shinyenigma. Модель распространения разработчика работает на базе фреймворка Malware-as-a-Service (MaaS), предлагая RAT за $50 за первый месяц и по $10 за последующие месяцы, либо за единовременную плату в $90 за пожизненный доступ.
При запуске Millenium RAT загружает свою конфигурацию из встроенного ресурса, закодированного в Base64, обеспечивая скрытность за счет обфускации. Операционная логика вредоносного ПО включает либо немедленное уведомление операторов через Телеграм, либо процедуру самоинсталляции для обеспечения закрепления на зараженной машине. Этот процесс включает создание директории в папке appdata пользователя и установку записи в реестре автозагрузки для содействия повторному выполнению.
Схема коммуникации RAT активно использует стандартные вызовы API Windows для выполнения своих функций, включая эксфильтрацию данных, создание скриншотов, регистрацию нажатий клавиш и выполнение произвольных команд. Примечательно, что RAT не использует продвинутые техники повышения привилегий; вместо этого он полагается на легитимные запросы контроля учетных записей (UAC) для получения административных привилегий от пользователей.
Первоначальная доставка Millenium RAT часто использует тактики социальной инженерии, применяя заманчивые имена файлов и темы, чтобы соблазнить жертв на выполнение зараженных файлов. Распространение вредоносного ПО не ограничивается обычными пользователями; было зафиксировано, что оно заражает других киберпреступников, внедряясь в популярные инструменты взлома и эксплойт-наборы, обманывая потенциальных злоумышленников и заставляя их заражать свои системы.
#ParsedReport #CompletenessHigh
25-06-2026
Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access
https://www.microsoft.com/en-us/security/blog/2026/06/25/photo-zip-campaign-targeting-hospitality-industry-delivers-node-js-implant-persistent-access/
Report completeness: High
Threats:
Spear-phishing_technique
Deathransom
Tonrat
Purerat
Victims:
Hospitality industry, Hotel industry
Industry:
Entertainment, Financial
Geo:
Dutch, French, Spanish, Asia, Polish, Czech, Danish, Japanese
TTPs:
Tactics: 6
Technics: 15
IOCs:
File: 17
Path: 10
Url: 4
Domain: 74
Command: 11
Registry: 1
IP: 5
Hash: 21
Soft:
Node.js, Microsoft Defender, SendGrid, Cloudflare Turnstile, ode.js, js, Microsoft Defender for Endpoint, icrosoft Defender An
Algorithms:
zip, xor, sha256
Languages:
powershell, javascript
25-06-2026
Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access
https://www.microsoft.com/en-us/security/blog/2026/06/25/photo-zip-campaign-targeting-hospitality-industry-delivers-node-js-implant-persistent-access/
Report completeness: High
Threats:
Spear-phishing_technique
Deathransom
Tonrat
Purerat
Victims:
Hospitality industry, Hotel industry
Industry:
Entertainment, Financial
Geo:
Dutch, French, Spanish, Asia, Polish, Czech, Danish, Japanese
TTPs:
Tactics: 6
Technics: 15
IOCs:
File: 17
Path: 10
Url: 4
Domain: 74
Command: 11
Registry: 1
IP: 5
Hash: 21
Soft:
Node.js, Microsoft Defender, SendGrid, Cloudflare Turnstile, ode.js, js, Microsoft Defender for Endpoint, icrosoft Defender An
Algorithms:
zip, xor, sha256
Languages:
powershell, javascript
Microsoft News
Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access
Microsoft Threat Intelligence identified an active multi-stage intrusion campaign targeting hospitality organizations in Europe and Asia. The campaign uses photo-themed ZIP archives and fake image shortcut files to deliver a persistent Node.js implant and…
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access https://www.microsoft.com/en-us/security/blog/2026/06/25/photo-zip-campaign-targeting-hospitality-industry-delivers…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
С апреля 2026 года сообщается о многоэтапной хакерской кампании, нацеленной на гостиничный сектор, которая использует фишинговые письма с вводящим в заблуждение контентом, связанным с отелями, для доставки вредоносных, запутанных ZIP-файлов. Эти файлы содержат скрипты PowerShell и внедрение Node.js для закрепления, используя ключи реестра Windows для поддержания контроля после попыток обнаружения. Атака развивается через конкретные соглашения об именовании файлов и выполняет динамические .NET DLL, что указывает на наличие злоумышленника, сосредоточенного на уклонении и поддержании возможностей управления.
-----
Microsoft Threat Intelligence сообщила о многоэтапной хакерской кампании, направленной на гостиничный сектор с апреля 2026 года, использующей обманные ZIP-архивы с тематикой фотографий для начала атак. ZIP-архивы содержат зашифрованные скрипты PowerShell и внедрение Node.js, предназначенное для закрепления доступа. Атака использует двойной механизм закрепления через ключи реестра Windows, позволяя злоумышленнику сохранять контроль даже после некоторых обнаружений средствами защиты, такими как Microsoft Defender.
Первоначальный доступ осуществляется через фишинговые письма с вводящим в заблуждение содержанием, связанным с работой отелей, например, жалобами гостей, которые отправляются через легитимные платформы, такие как Calendly, для обхода проверок аутентификации электронной почты. Письма используют общие шаблоны на различных языках, полагаясь на срочность, чтобы побудить пользователей выполнять вредоносные ZIP-файлы. Приманки продолжают эволюционировать, с различными вариациями в именовании файлов (изначально использовались IMG, а затем произошел переход на PHOTO) для оптимизации доставки.
Последующая цепочка атаки остается неизменной в рамках кампании, переходя от выполнения скриптов PowerShell к загрузке динамических библиотек .NET во второй волне, которые генерируются с использованием компилятора C# (csc.exe). Эта адаптация демонстрирует фокус злоумышленника на тактиках уклонения, позволяющих скрытно загружать компоненты непосредственно в систему пользователя. Внедренный модуль Node.js после развертывания изменяет настройки Windows Defender, чтобы снизить уровень контроля за своей деятельностью.
После компрометации кампания активно использует каналы управления (C2) для связи с различными доменами. Это включает сканирование среды для сбора информации о системе, что дополнительно поддерживает оперативные цели оператора. Механизмы закрепления демонстрируют сложный подход, использующий как ключи реестра, так и другие методы, чтобы обеспечить восстановление внедренного компонента даже после частичного прерывания его работы.
Применяемые техники демонстрируют хорошо спланированную стратегию, основанную на социальной инженерии и многоуровневой обфускации, что указывает на продвинутого противника, способного адаптироваться к усилиям по смягчению обнаружения. Microsoft рекомендует комплексную стратегию устранения последствий, направленную как на механизмы закрепления, так и на оповещение об их индикаторах компрометации (IOCs) для эффективной защиты от подобных угроз. Кампания демонстрирует четкую эволюцию тактик и операционной зрелости, вызывая обеспокоенность по поводу ландшафта угроз в гостиничной индустрии, поскольку она становится все более целевой для сложных киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
С апреля 2026 года сообщается о многоэтапной хакерской кампании, нацеленной на гостиничный сектор, которая использует фишинговые письма с вводящим в заблуждение контентом, связанным с отелями, для доставки вредоносных, запутанных ZIP-файлов. Эти файлы содержат скрипты PowerShell и внедрение Node.js для закрепления, используя ключи реестра Windows для поддержания контроля после попыток обнаружения. Атака развивается через конкретные соглашения об именовании файлов и выполняет динамические .NET DLL, что указывает на наличие злоумышленника, сосредоточенного на уклонении и поддержании возможностей управления.
-----
Microsoft Threat Intelligence сообщила о многоэтапной хакерской кампании, направленной на гостиничный сектор с апреля 2026 года, использующей обманные ZIP-архивы с тематикой фотографий для начала атак. ZIP-архивы содержат зашифрованные скрипты PowerShell и внедрение Node.js, предназначенное для закрепления доступа. Атака использует двойной механизм закрепления через ключи реестра Windows, позволяя злоумышленнику сохранять контроль даже после некоторых обнаружений средствами защиты, такими как Microsoft Defender.
Первоначальный доступ осуществляется через фишинговые письма с вводящим в заблуждение содержанием, связанным с работой отелей, например, жалобами гостей, которые отправляются через легитимные платформы, такие как Calendly, для обхода проверок аутентификации электронной почты. Письма используют общие шаблоны на различных языках, полагаясь на срочность, чтобы побудить пользователей выполнять вредоносные ZIP-файлы. Приманки продолжают эволюционировать, с различными вариациями в именовании файлов (изначально использовались IMG, а затем произошел переход на PHOTO) для оптимизации доставки.
Последующая цепочка атаки остается неизменной в рамках кампании, переходя от выполнения скриптов PowerShell к загрузке динамических библиотек .NET во второй волне, которые генерируются с использованием компилятора C# (csc.exe). Эта адаптация демонстрирует фокус злоумышленника на тактиках уклонения, позволяющих скрытно загружать компоненты непосредственно в систему пользователя. Внедренный модуль Node.js после развертывания изменяет настройки Windows Defender, чтобы снизить уровень контроля за своей деятельностью.
После компрометации кампания активно использует каналы управления (C2) для связи с различными доменами. Это включает сканирование среды для сбора информации о системе, что дополнительно поддерживает оперативные цели оператора. Механизмы закрепления демонстрируют сложный подход, использующий как ключи реестра, так и другие методы, чтобы обеспечить восстановление внедренного компонента даже после частичного прерывания его работы.
Применяемые техники демонстрируют хорошо спланированную стратегию, основанную на социальной инженерии и многоуровневой обфускации, что указывает на продвинутого противника, способного адаптироваться к усилиям по смягчению обнаружения. Microsoft рекомендует комплексную стратегию устранения последствий, направленную как на механизмы закрепления, так и на оповещение об их индикаторах компрометации (IOCs) для эффективной защиты от подобных угроз. Кампания демонстрирует четкую эволюцию тактик и операционной зрелости, вызывая обеспокоенность по поводу ландшафта угроз в гостиничной индустрии, поскольку она становится все более целевой для сложных киберугроз.
#ParsedReport #CompletenessHigh
25-06-2026
Miasma Mini Shai-Hulud Hits LeoPlatform npm Packages and GitHub Actions, Expands to the Go Ecosystem
https://socket.dev/blog/miasma-mini-shai-hulud-hits-leoplatform-npm-packages-go-ecosystem
Report completeness: High
Actors/Campaigns:
Mini_shai-hulud
Threats:
Miasma
Supply_chain_technique
Hades
Dead_drop_technique
Phantom_gyp_technique
Tanium_tool
Victims:
Leoplatform, Rstreams, Github actions, Verana blockchain
Industry:
Financial
Geo:
Russian
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1059.004, T1059.007, T1083, T1102.001, T1105, T1140, T1195.001, T1204, have more...
IOCs:
File: 7
Hash: 18
Soft:
Claude, Slack, Docker, Kubernetes, Microsoft Defender, Dependabot
Algorithms:
sha256, aes-gcm
Functions:
eval
Win API:
lockfile
Languages:
javascript
Links:
25-06-2026
Miasma Mini Shai-Hulud Hits LeoPlatform npm Packages and GitHub Actions, Expands to the Go Ecosystem
https://socket.dev/blog/miasma-mini-shai-hulud-hits-leoplatform-npm-packages-go-ecosystem
Report completeness: High
Actors/Campaigns:
Mini_shai-hulud
Threats:
Miasma
Supply_chain_technique
Hades
Dead_drop_technique
Phantom_gyp_technique
Tanium_tool
Victims:
Leoplatform, Rstreams, Github actions, Verana blockchain
Industry:
Financial
Geo:
Russian
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1059.004, T1059.007, T1083, T1102.001, T1105, T1140, T1195.001, T1204, have more...
IOCs:
File: 7
Hash: 18
Soft:
Claude, Slack, Docker, Kubernetes, Microsoft Defender, Dependabot
Algorithms:
sha256, aes-gcm
Functions:
eval
Win API:
lockfile
Languages:
javascript
Links:
https://socket.dev/go/package/github.com/verana-labs/verana-blockchain?version=v0.10.1-dev.20https://socket.dev/go/package/github.com/verana-labs/verana-blockchain?section=files&version=v0.10.1-dev.20&path=.claude%2Findex.jsSocket
Miasma Mini Shai-Hulud Hits LeoPlatform npm Packages and Git...
Mini Shai-Hulud expands into the Go ecosystem after hitting LeoPlatform npm packages and targeting GitHub Actions workflows.