CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessHigh
24-06-2026

LoaderClient Malware Analysis: How WeedHack Uses Ethereum Smart Contracts for Resilient C2 Infrastructure

https://darkatlas.io/blog/loaderclient-malware-analysis-how-weedhack-uses-ethereum-smart-contracts-for-resilient-c2-infrastructure

Report completeness: High

Threats:
Loaderclient
Weedhack
Etherhiding_technique
Uac_bypass_technique
Seo_poisoning_technique
Zipbomb_technique

Victims:
Minecraft players, Gaming communities, Worldwide

Industry:
Entertainment, Financial

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 35
Hash: 2
Domain: 3
Url: 5
Coin: 1
IP: 1
Path: 3
Registry: 1

Soft:
Minecraft, Discord, Telegram, Steam, Windows Defender, Etherscan

Wallets:
mainnet

Crypto:
ethereum

Algorithms:
lzma, xor, chacha20, md5, sha1, sha256, zip

Functions:
Win32, method_1676, method_44717, method_1674, getDeclaredConstructor, Gson, method_1551, method_1548, getText, RPC, have more...

Win API:
decompress, readFile, getHostname, VirtualProtect, VirtualQuery, TlsGetValue

Win Services:
bits

Languages:
kotlin, java

Platforms:
amd64

YARA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 24-06-2026 LoaderClient Malware Analysis: How WeedHack Uses Ethereum Smart Contracts for Resilient C2 Infrastructure https://darkatlas.io/blog/loaderclient-malware-analysis-how-weedhack-uses-ethereum-smart-contracts-for-resilient…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LoaderClient — это вредоносный загрузчик, нацеленный на сообщество Minecraft, связанный с вредоносной кампанией WeedHack, который крадёт конфиденциальные данные сеанса, такие как токены Microsoft OAuth. Он использует инновационный механизм управления, называемый EtherHiding, опирающийся на смарт-контракты Ethereum для динамического получения URL-адреса C2, что повышает его устойчивость к обнаружению. ВПО работает в два этапа, применяя передовые техники уклонения, такие как пользовательская обфускация строк и обход проверки SSL, что делает его особенно опасным для пользователей, которых заманивают загрузить скомпрометированные моды.
-----

LoaderClient — это вредоносный загрузчик, нацеленный на Minecraft, связанный с кампанией WeedHack, работающей по модели ВПО как услуга.

Он маскируется под мод для Minecraft Fabric и крадёт конфиденциальные данные сессии, включая отображаемые имена и токены доступа Microsoft OAuth.

LoaderClient использует технику управления, называемую EtherHiding, которая применяет смарт-контракт Ethereum для динамического получения своего URL-адреса C2.

Вредоносное ПО работает в два этапа, где первый этап собирает учетные данные и запрашивает у смарт-контракта Ethereum активный URL-адрес C2.

Второй этап, загружаемый целиком в память, использует Java Native Interface Compiler (JNIC) версии 3.7.0 для сокрытия своей логики в нативном коде и уклонения от обнаружения.

Этот второй этап также разрешает свой C2 через контракт Ethereum и обходит проверку SSL, используя DNS-over-HTTPS для разрешения доменов.

WeedHack скомпрометировал более 116 000 уникальных хостов с начала 2026 года, в первую очередь нацеливаясь на сообщество Minecraft.

Тактики социального инжиниринга, включая продвижение на YouTube и отравление поисковой оптимизации (SEO), применяются для заманивания пользователей на загрузку скомпрометированных модов.

Заражённые жертвы выполняют полезную нагрузку, обеспечивающую расширенные возможности для наблюдения, включая доступ к веб-камере и кражу учётных данных.

LoaderClient использует собственную обфускацию строк и применяет zip-бомбу для обхода средств анализа.

Легитимная оболочка модификации Minecraft помогает вредоносному ПО обходить предупреждения безопасности.

Его зависимость от Ethereum обеспечивает непрерывную работу даже после зачисток порталов распространения.

Стратегии смягчения последствий включают блокировку ненужного трафика Ethereum RPC, мониторинг процессов Java и ограничение загрузки неофициальных модов для Minecraft.

Проактивная ротация учетных данных после предположительно выявленных заражений может снизить риски, связанные с похищенными OAuth-токенами.

Адрес контракта Ethereum, используемый для разрешения C2, является ключевым индикатором компрометации, предоставляющим сведения о деятельности операторов.

Продолжающаяся деятельность WeedHack демонстрирует необходимость в передовых стратегиях обнаружения для противодействия эволюционирующим киберугрозам.
#ParsedReport #CompletenessLow
26-06-2026

AsyncRAT Family Threat Overview

https://censys.com/blog/asyncrat-family-threat-overview/

Report completeness: Low

Threats:
Asyncrat
Dcrat
Venomrat
Quasar_rat
Trurat
Lmteamrat
Dumpling_rat
Echorat
Gh0st_rat
Bitrat
Cyberspike
Darkrat_rat
Shashenrat
Elegyrat
Jasonrat
Cyb3r_rat
Noneuclid_rat
Archosaurrat
Santarat
Phoenixrat
Pegasusrat
Magnumrat

Geo:
Chinese, Holland

ChatGPT TTPs:
do not use without manual check
T1140, T1571, T1573, T1587.001, T1588.001

IOCs:
IP: 5

Soft:
Windows remote access, Outlook

Win API:
ARC
CTT Report Hub
#ParsedReport #CompletenessLow 26-06-2026 AsyncRAT Family Threat Overview https://censys.com/blog/asyncrat-family-threat-overview/ Report completeness: Low Threats: Asyncrat Dcrat Venomrat Quasar_rat Trurat Lmteamrat Dumpling_rat Echorat Gh0st_rat Bitrat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AsyncRAT — это известное семейство троянов удалённого доступа (RAT) для Windows с открытым исходным кодом, известное выпуском многочисленных вариантов, включая DCRAT и VenomRAT. Это семейство использует общую структуру сертификатов, идентифицируемую по определённым полям, что позволяет осуществлять обнаружение, несмотря на разнообразное брендинг и стандартные соглашения об именовании, которые могут скрывать его вредоносную природу. Значительное количество этих вариантов имеет активную инфраструктуру command-and-control, что усложняет усилия по обнаружению из-за совпадений с легитимными названиями, подчёркивая необходимость сфокусированного анализа их характеристик сертификатов и сетевого поведения.
-----

AsyncRAT — это значимое семейство троянов удалённого доступа (RAT) для Windows с открытым исходным кодом, которое разветвилось на множество вариантов, наиболее известными из которых являются DCRAT и VenomRAT. Семейство имеет непрерывную линию развития, характеризующуюся общей структурой сертификатов, унаследованной через его форки, в частности полями Имя организации (O), Населённый пункт (L) и Страна (C), которые имеют критическое значение для идентификации ВПО в различных вариантах. Шаблон сертификата, следующий за O= Имя от автора , L=SH, C=CN, служит надёжным сигналом для обнаружения, оставаясь неизменным несмотря на различия в названиях брендов, используемых для его различных форков.

С момента первоначального выпуска в январе 2019 года AsyncRAT породил около 40 именованных вариантов, при этом Censys подтвердил наличие живой инфраструктуры управления (C2) для 13 из них, что указывает на различные практики развертывания среди разных форков. Например, вариант с высокой активностью AsyncRAT насчитывает примерно 49 хостов, тогда как его потомок DCRAT имеет около 36 подтвержденных хостов. Другие заметные форки, такие как Gh0stRAT и VenomRAT, регистрируют 21 и 18 хостов соответственно. Продолжающееся сотрудничество между этими форками позволяет аналитикам использовать характеристики в полях сертификатов для отслеживания происхождения к родительским кодовым базам при расследовании угроз.

Семейство демонстрирует способность маскировать своё присутствие благодаря общим соглашениям об именовании, которые могут пересекаться с легитимными сущностями. В связи с этим усилия по обнаружению должны быть сосредоточены на отличительных характеристиках сертификатов и наблюдаемом сетевом поведении, а не полагаться исключительно на названия вариантов. Кроме того, наличие в нескольких сертификатах обработчиков сборки, таких как qwqdanchun и alexeikun, указывает на сеть связанных форков, что позволяет применять более дифференцированный подход к выявлению вредоносной активности, связанной с этими семействами RAT.

Обнаружение остаётся сложным из-за проблем с общими названиями, вызывающими ложные срабатывания. Например, варианты, такие как PhoenixRAT или PegasusRAT, могут направлять следователей на легитимные организации, усложняя приоритизацию оповещений. Тем не менее, структурированное отслеживание вариантов через их сертификаты — особенно тех, которые соответствуют указанным шаблонам — обеспечивает стабильную стратегию непрерывного выявления угроз в среде, где, вероятно, будет продолжаться разработка новых форков, наследующих уязвимости сертификатов DCRAT.
#ParsedReport #CompletenessLow
26-06-2026

Understanding Langflow CVE-2026-55255, and why higher CVSS vulnerabilities aren't always the most exploited

https://webflow.sysdig.com/blog/understanding-langflow-cve-2026-55255-and-why-higher-cvss-vulnerabilities-arent-always-the-most-exploited

Report completeness: Low

Victims:
Langflow, Artificial intelligence platforms, Managed saas platforms

Industry:
Healthcare

CVEs:
CVE-2026-33017 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.8.2)

CVE-2026-55255 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.9.2)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.004, T1059.006, T1105, T1190, T1212, T1552.001, T1595

IOCs:
IP: 2
Url: 1

Soft:
Langflow, curl

Win Services:
bits

Languages:
python

Links:
https://github.com/langflow-ai/langflow
CTT Report Hub
#ParsedReport #CompletenessLow 26-06-2026 Understanding Langflow CVE-2026-55255, and why higher CVSS vulnerabilities aren't always the most exploited https://webflow.sysdig.com/blog/understanding-langflow-cve-2026-55255-and-why-higher-cvss-vulnerabilities…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
25 июня 2026 года выявлена эксплуатация критической уязвимости Langflow CVE-2026-55255 (CVSS 9.9), связанная с небезопасной прямой ссылкой на объект между арендаторами (IDOR), позволяющей несанкционированное выполнение пользовательских потоков через дефектный API. Параллельно CVE-2026-33017 (CVSS 9.3) обеспечивала удаленное Выполнение Кода (RCE) без аутентификации, что активно использовалось для кражи учетных данных. Последовательность атаки включала разведку, перечисление потоков и использование обеих уязвимостей для сбора ресурсов и компрометации учетных данных, подчеркивая компромисс между доступностью и серьезностью в тактиках эксплуатации.
-----

25 июня 2026 года команда Sysdig Threat Research Team (TRT) обнаружила первую активную эксплуатацию критической уязвимости Langflow, CVE-2026-55255, имеющей оценку CVSS 9.9. Эта уязвимость представляет собой небезопасную прямую ссылку на объект между арендаторами (IDOR), которая позволяет аутентифицированным пользователям выполнять любой поток другого пользователя с действительным UUID без надлежащих проверок владения. В отличие от этого, связанная уязвимость CVE-2026-33017 получила оценку CVSS 9.3 и включает несанкционированное Удаленное Выполнение Кода (RCE), которое уже подверглось значительной эксплуатации. Оператор атаки использовал обе уязвимости, делая больший упор на RCE из-за его более широкого потенциала атаки, что подчеркивает парадокс «усилия-результата» в стратегиях эксплуатации уязвимостей.

Эксплуатация CVE-2026-55255 осуществляется через совместимый с OpenAI API-эндпоинт (POST /api/v1/responses), где недостатки в разрешении UUID потока позволяют несанкционированный доступ. Однако для этой уязвимости, в отличие от CVE-2026-33017, нет общедоступных доказательств концепции (PoC) или обширных данных разведки угроз; последняя была широко использована в качестве оружия вскоре после раскрытия, что привело к тысячам атак, сосредоточенных на краже учетных данных и вредоносных развертываниях.

Взаимосвязь между двумя уязвимостями показывает, что, хотя CVE-2026-55255 представляет опасность, особенно в многопользовательских системах, где RCE изолирован, путь её эксплуатации менее доступен без получения конкретного UUID потока жертвы. При прямом сравнении RCE позволяет злоумышленникам достигать более широких последствий посредством выполнения произвольного кода, превосходя IDOR в сценариях эксплуатации.

В наблюдаемой атаке активность оператора началась с разведки, за которой последовало перечисление потоков, что привело к использованию CVE-2026-55255. Впоследствии значительная активность с использованием RCE была направлена на сервер с целью выполнения команд, которые загружали дополнительное ВПО из инфраструктуры оператора. Метод работы был систематическим и высокоавтоматизированным, с фокусом на использовании RCE для контроля хоста, в то время как IDOR был направлен на учетные данные других арендаторов.

Оператор использовал обе уязвимости для достижения двойных целей: сбора вычислительных ресурсов через RCE и компрометации высокоценных учетных данных, хранящихся в рабочих процессах Langflow, посредством IDOR. Это различие иллюстрирует понимание оператором контекстной эксплуатации уязвимостей, подчеркивая, что, хотя оценки CVSS указывают на потенциальную серьезность, фактическая динамика эксплуатации часто отдает приоритет более доступным векторам, таким как неаутентифицированный RCE, по сравнению с более сложными уязвимостями, требующими специфических условий для эксплуатации. Этот случай подчеркивает необходимость для организаций, использующих Langflow, особенно в многопользовательской архитектуре, приоритизировать исправление CVE-2026-55255 для эффективного снижения рисков, учитывая его скрытный характер и потенциальную возможность утечки данных. По мере эволюции киберугроз важность быстрого исправления и улучшения механизмов мониторинга имеет первостепенное значение для защиты конфиденциальных сред.
#ParsedReport #CompletenessLow
25-06-2026

“Alright Lets See If This Works”: Shai-Hulud / Miasma / Hades Variant Spreads on npm

https://www.ox.security/blog/alright-lets-see-if-this-works-shai-hulud-miasma-hades-variant-spreads-on-npm

Report completeness: Low

Actors/Campaigns:
Teampcp

Threats:
Shai-hulud
Miasma
Hades

Victims:
Software, Open source developers, Cloud services

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1082, T1195.001, T1528, T1567.001

IOCs:
File: 2
Url: 2

Links:
https://github.com/miaxxxxxx
have more...
https://github.com/search?q=%22Alright+Lets+See+If+This+Works%22&type=repositories&s=updated&o=desc
https://github.com/l3v1cs
CTT Report Hub
#ParsedReport #CompletenessLow 25-06-2026 “Alright Lets See If This Works”: Shai-Hulud / Miasma / Hades Variant Spreads on npm https://www.ox.security/blog/alright-lets-see-if-this-works-shai-hulud-miasma-hades-variant-spreads-on-npm Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант стиллер-ВПО под названием Miasma появился в экосистеме npm, затронув около 52 640 загрузок в месяц из-за компрометации учетной записи разработчика. Этот многоэтапный загрузчик запускается при установке с использованием файла binding.gyp и целенаправленно собирает конфиденциальные учетные данные с таких платформ, как GitHub и AWS. Его необычное поведение, включая уникальную строку загрузки и ссылки на другой вариант под названием Hades, указывает на возможное участие нового злоумышленника и подчеркивает существующие уязвимости в инфраструктуре npm.
-----

Новый вариант стиллера, известный как Miasma, в настоящее время распространяется в экосистеме npm после компрометации учетной записи разработчика czirker. Эта атака затронула около 52 640 загрузок в месяц. Обновленные пакеты содержат многоэтапный загрузчик, который активируется через предварительно настроенный файл binding.gyp и выполняется напрямую при установке. Основная цель этого ВПО — кража конфиденциальных учетных данных, таких как токены GitHub, токены npm и учетные данные облачных сервисов от AWS, GCP и Azure.

Анализ показывает, что учетные данные были загружены на GitHub с использованием уникальной строки «Alright Lets See If This Works», которая отклоняется от стандартных соглашений об именовании, наблюдавшихся в предыдущих версиях. Эта модификация, наряду с внедрением новых публичных криптографических ключей, указывает на то, что данный вариант может быть продуктом другого актора, чем те, которые связаны с предыдущими вариантами Miasma или TeamPCP. ВПО использует технику распространения путем поиска последних коммитов, в частности одного от пользователя firedalazer на GitHub, что указывает на продолжающуюся уязвимость в экосистеме.

Кроме того, дальнейший анализ выгруженного ВПО выявляет связи с другим вариантом под названием Hades, озаглавленным "The End for the Damned." Как и Miasma, этот вариант также содержит уникальные открытые ключи, что указывает на общее происхождение или, по крайней мере, связь между этими угрозами. Несмотря на повторяющиеся проблемы с вредоносным кодом в пакетах npm и продолжающиеся дискуссии о внедрении более эффективных механизмов обнаружения, ситуация остается критической, о чем свидетельствует широкое распространение таких техник в недавних атаках. Потенциальные последствия для разработчиков и организаций, использующих инфраструктуру npm, значительны, что подчеркивает необходимость усиления мер безопасности и бдительности в отношении кражи учетных данных и распространения ВПО.
#ParsedReport #CompletenessLow
26-06-2026

Beyond Banking Trojans: Rokarolla Expands the Android Fraud Playbook

https://blog.polyswarm.io/beyond-banking-trojans-rokarolla-expands-the-android-fraud-playbook

Report completeness: Low

Threats:
Rokarolla
Credential_harvesting_technique

Victims:
Banking, Cryptocurrency, Android users

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1036, T1041, T1056.001, T1056.002, T1071.001, T1082, T1111, T1113, T1204, have more...

IOCs:
Hash: 35

Soft:
Android, TikTok, Google Chrome, Google Play
CTT Report Hub
#ParsedReport #CompletenessLow 26-06-2026 Beyond Banking Trojans: Rokarolla Expands the Android Fraud Playbook https://blog.polyswarm.io/beyond-banking-trojans-rokarolla-expands-the-android-fraud-playbook Report completeness: Low Threats: Rokarolla Cr…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rokarolla — это Android-троян для банковского мошенничества, который имитирует доверенные приложения для кражи учетных данных пользователей на 217 платформах банковского сектора и криптовалют. Он использует такие техники, как фишинговые оверлеи, перехват SMS и регистрация нажатий клавиш, а также задействует службы доступности Android для поддержания скрытности и оперативного закрепления. Структура управления ВПО позволяет ему эффективно управлять зараженными устройствами, автоматизировать действия по мошенничеству и избегать обнаружения путем блокировки оповещений и манипулирования настройками устройства.
-----

Rokarolla — это недавно выявленный Android-банковский троян, нацеленный на 217 банковских и криптовалютных приложений.

ВПО функционирует через вредоносные веб-сайты, замаскированные под доверенные приложения, такие как TikTok и Google Chrome.

Rokarolla использует сервисы доступности Android и применяет фишинговые оверлеи, перехват SMS, регистрацию нажатий клавиш, мониторинг экрана и блокировку вызовов.

Это способствует финансовому мошенничеству путем кражи учетных данных, перехвата коммуникаций и поддержания контроля над скомпрометированными устройствами.

Троян доставляется через поддельные порталы распространения программного обеспечения, предлагающие поддельные приложения, например Google Play Protect.

После установки он запрашивает разрешения на доступ к чувствительным функциям устройства, необходимым для деятельности по слежке и мошенничеству.

Rokarolla имеет инфраструктуру управления, работающую через HTTPS, и собирает телеметрию устройств для создания уникальных профилей.

Это предоставляет доступ как минимум к 137 командам для управления зараженными устройствами и выполнения мошеннических схем.

Один из векторов атаки включает HTML-основанные фишинговые оверлеи, имитирующие экраны входа в легитимные приложения для захвата учетных данных пользователей.

ВПО также может записывать учетные данные для разблокировки с помощью обманных оверлеев экрана блокировки, захватывая PIN-коды и пароли.

Rokarolla может похищать SMS-сообщения и перехватывать коды аутентификации, что приводит к компрометации учётных записей.

Оно обладает возможностью блокировать или отключать звонки, что затрудняет оповещения, связанные с мошеннической деятельностью.

ВПО использует мониторинг на основе скриншотов для скрытого наблюдения за деятельностью пользователя.

Rokarolla сочетает несколько методов кражи учетных данных и использует тактики уклонения, такие как отключение Google Play Protect.

Защитникам следует сосредоточиться на выявлении несанкционированного использования Службы доступности и мониторинге подозрительных запросов разрешений.

Rokarolla представляет собой сдвиг в сторону комплексных платформ для обеспечения мошеннической деятельности в Android-ВПО для банков.
#ParsedReport #CompletenessMedium
27-06-2026

Inside Eastern Europe's C2 Sprawl: 3,900+ Servers and 302 Providers Mapped (Updated)

https://hunt.io/blog/eastern-europe-malicious-infrastructure-report

Report completeness: Medium

Actors/Campaigns:
Cloudatlas
Shinyhunters
Inj3ctor3
Jinx-0164
Fluffy_wolf
Fox_kitten

Threats:
Tactical_rmm_tool
Acunetix_tool
Jomangy_webshell
Zenharr
Nemesys_ransomware
Automim_tool
Credential_harvesting_technique
Mimikatz_tool
Lazagne_tool
Wanttocry
Blackbasta
Devilnfc
Gophish_tool
Hajime
Mozi
Mirai
Cobalt_strike_tool
Sliver_c2_tool

Victims:
Government, Diplomatic entities, Universities, Defi and web3, Russian organizations, Russia, Belarus

Industry:
Education, Iot, Telco, Government

Geo:
Czech republic, Chinese, Moldova, Bulgaria, Romania, Poland, Belarus, Russia, Ukraine, Slovakia, Moscow, Middle east, Bulgarian, Russian, Hungary

CVEs:
CVE-2026-35273 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle peoplesoft_enterprise_peopletools (8.61, 8.62)

CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1027, T1059.004, T1078, T1190, T1195.001, T1203, T1213, T1219, T1496, have more...

IOCs:
IP: 22
File: 1

Soft:
Keitaro, FreePBX, Ollama, Graph APIs, Android

Algorithms:
exhibit, xor

Languages:
php
CTT Report Hub
#ParsedReport #CompletenessMedium 27-06-2026 Inside Eastern Europe's C2 Sprawl: 3,900+ Servers and 302 Providers Mapped (Updated) https://hunt.io/blog/eastern-europe-malicious-infrastructure-report Report completeness: Medium Actors/Campaigns: Cloudatlas…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Восточная Европа стала центром киберкриминала и операций, спонсируемых государствами, с более чем 3 900 вредоносных серверов у 302 провайдеров, преимущественно в Болгарии, Украине и России. Около 90,6% обнаруженных угроз исходят из этой инфраструктуры, имея тесные связи с семействами ВПО, такими как Keitaro, и эксплуатацией критических уязвимостей, таких как CVE-2026-35273. Анализ подчеркивает использование передовых инструментов, таких как Cobalt Strike, разнообразных техник атак, включая эксплойт-киты и ботнеты IoT, а также устойчивость этих инфраструктур к традиционным контрмерам.
-----

В Восточной Европе выявлена значительная инфраструктура, поддерживающая как киберкриминал, так и операции, спонсируемые государствами, включающая более 3900 активно злонамеренных или обеспечивающих угрозы серверов в 302 провайдерах. Эта оценка подчеркивает, как хостинговая среда в таких странах, как Болгария, Украина и Россия, играет ключевую роль в содействии широкому спектру киберугроз — от массового мошенничества до расширенных персистентных угроз (APTs).

Анализ показывает, что инфраструктура, обеспечивающая потенциально вредоносную деятельность, составляет около 90,6% от выявленных угроз в регионе. В частности, компания Bulagaria's Friendhosting Ltd занимает непропорционально большую долю, при этом её серверы поддерживают более половины выявленной вредоносной активности. В отчете также раскрываются связи с различными семействами ВПО, где Keitaro лидирует с 1 277 уникальными IP-адресами, обеспечивающими угрожающую активность, за ним следуют Tactical RMM и Acunetix, которые часто используются для деятельности после эксплуатации.

Несколько заметных эксплойтов, связанных с различными вредоносными кампаниями, были напрямую привязаны к выявленной инфраструктуре. Например, российский провайдер Proton66 OOO связан с эксплойтами CVE-2026-35273 — критической уязвимости нулевого дня Oracle PeopleSoft, которую ShinyHunters использовали против множества организаций. Другие IP-адреса были привязаны к деятельности, связанной с вымогательством, такой как атаки Nemesys, и различным фишинговым операциям.

Более того, наличие таких продвинутых инструментов, как Cobalt Strike и Sliver, указывает на продолжающиеся сложные кибероперации, направленные против организаций, а также на то, что они облегчают деятельность преступных синдикатов. Данные свидетельствуют о том, что многие из этих инфраструктур устойчивы к традиционным мерам противодействия из-за установленных отношений с хостинг-провайдерами, которые часто сохраняются, несмотря на частую ротацию доменов и IP-адресов, связанных с вредоносной деятельностью.

Кроме того, в схеме показана концентрация злоумышленников, использующих различные техники, включая эксплойт-киты, распределение трафика для вредоносной рекламы и применение легитимных инструментов удаленного управления в средах после эксплуатации. Широкое распространение IoT-ботнетов, таких как Hajime и Mozi, отражает постоянную эксплуатацию различных устройств в регионе, демонстрируя масштабный характер угроз.