CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 ToddyCat: your hidden email assistant. Part 2 https://securelist.com/toddycat-apt-umbrij-tool-and-oauth/120251/ Report completeness: Medium Actors/Campaigns: Toddycat Threats: Umbrij_tool Dll_sideloading_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группировка ToddyCat APT атакует корпоративные учетные записи Gmail с помощью инструмента под названием Umbrij, который использует протокол OAuth 2.0 для удаленного доступа к API. Она применяет технику Shadow Token via Remote Debug (STRD) для компрометации браузеров на базе Chromium и использует подгрузку DLL для запуска вредоносных загрузок под видом легитимных процессов. После активации Umbrij манипулирует взаимодействиями с браузером и перехватывает коды авторизации OAuth, обеспечивая несанкционированный доступ к электронной почте пользователей и уклоняясь от обнаружения.
-----
Группировка ToddyCat APT применяет сложные техники, направленные на компрометацию корпоративных электронных почтовых коммуникаций, в частности, нацеливаясь на учетные записи Gmail через удаленный доступ к API. Их основной инструмент, названный Umbrij, работает путем эксплуатации протокола OAuth 2.0 для получения токенов доступа к электронной почте пользователей. Это достигается с помощью техники, обозначенной как Shadow Token via Remote Debug (STRD), которая использует возможности удаленной отладки браузеров на базе Chromium для перехвата и контроля сессий.
Umbrij подключается к скомпрометированным браузерам в безголовом режиме, используя порт удаленной отладки, и опирается на OAuth-код авторизации, полученный через серию HTTP-запросов. Получив сессию браузера, злоумышленники могут манипулировать им таким образом, чтобы беспрепятственно перемещаться по сервису Gmail, оставаясь незамеченными системами защиты конечных точек, поскольку большинство их действий может быть замаскировано под легитимные операции браузера.
Детальный анализ поведения Umbrij показывает, что он использует подгрузку DLL (DLL sideloading), связывая вредоносные компоненты с легитимными приложениями, такими как Bitdefender ConnectAgent и Google Desktop. В ходе расследования были обнаружены экземпляры Umbrij, запускаемые через запланированные задачи, имитирующие легитимные процессы для сокрытия своей вредоносной цели. Эта тактика позволяет группе выполнять свои компоненты без привлечения внимания, поскольку внедренные DLL часто запускаются в контексте доверенных приложений.
При запуске Umbrij оценивает операционную среду, проверяя активные TCP-соединения и дубликаты токенов процесса explorer.exe, что предоставляет ему необходимые права для продолжения атаки. Инструмент также формирует пути к критически важным пользовательским данным, таким как профили браузеров, и использует библиотеку Puppeteer Sharp для программного взаимодействия с браузером, что облегчает взаимодействие с механизмами аутентификации Google.
Процесс доступа включает серию манипуляций с JavaScript для имитации действий пользователя на страницах выбора аккаунта и подтверждения разрешений, что в конечном итоге приводит к несанкционированному получению кода авторизации OAuth, предоставляющего доступ к электронной почте и данным пользователя. Инструмент регистрирует свои операции, сохраняя захваченные коды авторизации в файл для последующей эксфильтрации.
Для смягчения этой угрозы организациям рекомендуется отслеживать события загрузки DLL, связанные с потенциальными векторами эксплуатации, такими как используемые Umbrij, и отзывать ненужный доступ сторонних приложений к Google Workspace. Непрерывный надзор за деятельностью браузера, особенно при включенном режиме разработчика, наряду с регулярными аудитами разрешений приложений, имеет решающее значение для защиты от таких продвинутых постоянных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группировка ToddyCat APT атакует корпоративные учетные записи Gmail с помощью инструмента под названием Umbrij, который использует протокол OAuth 2.0 для удаленного доступа к API. Она применяет технику Shadow Token via Remote Debug (STRD) для компрометации браузеров на базе Chromium и использует подгрузку DLL для запуска вредоносных загрузок под видом легитимных процессов. После активации Umbrij манипулирует взаимодействиями с браузером и перехватывает коды авторизации OAuth, обеспечивая несанкционированный доступ к электронной почте пользователей и уклоняясь от обнаружения.
-----
Группировка ToddyCat APT применяет сложные техники, направленные на компрометацию корпоративных электронных почтовых коммуникаций, в частности, нацеливаясь на учетные записи Gmail через удаленный доступ к API. Их основной инструмент, названный Umbrij, работает путем эксплуатации протокола OAuth 2.0 для получения токенов доступа к электронной почте пользователей. Это достигается с помощью техники, обозначенной как Shadow Token via Remote Debug (STRD), которая использует возможности удаленной отладки браузеров на базе Chromium для перехвата и контроля сессий.
Umbrij подключается к скомпрометированным браузерам в безголовом режиме, используя порт удаленной отладки, и опирается на OAuth-код авторизации, полученный через серию HTTP-запросов. Получив сессию браузера, злоумышленники могут манипулировать им таким образом, чтобы беспрепятственно перемещаться по сервису Gmail, оставаясь незамеченными системами защиты конечных точек, поскольку большинство их действий может быть замаскировано под легитимные операции браузера.
Детальный анализ поведения Umbrij показывает, что он использует подгрузку DLL (DLL sideloading), связывая вредоносные компоненты с легитимными приложениями, такими как Bitdefender ConnectAgent и Google Desktop. В ходе расследования были обнаружены экземпляры Umbrij, запускаемые через запланированные задачи, имитирующие легитимные процессы для сокрытия своей вредоносной цели. Эта тактика позволяет группе выполнять свои компоненты без привлечения внимания, поскольку внедренные DLL часто запускаются в контексте доверенных приложений.
При запуске Umbrij оценивает операционную среду, проверяя активные TCP-соединения и дубликаты токенов процесса explorer.exe, что предоставляет ему необходимые права для продолжения атаки. Инструмент также формирует пути к критически важным пользовательским данным, таким как профили браузеров, и использует библиотеку Puppeteer Sharp для программного взаимодействия с браузером, что облегчает взаимодействие с механизмами аутентификации Google.
Процесс доступа включает серию манипуляций с JavaScript для имитации действий пользователя на страницах выбора аккаунта и подтверждения разрешений, что в конечном итоге приводит к несанкционированному получению кода авторизации OAuth, предоставляющего доступ к электронной почте и данным пользователя. Инструмент регистрирует свои операции, сохраняя захваченные коды авторизации в файл для последующей эксфильтрации.
Для смягчения этой угрозы организациям рекомендуется отслеживать события загрузки DLL, связанные с потенциальными векторами эксплуатации, такими как используемые Umbrij, и отзывать ненужный доступ сторонних приложений к Google Workspace. Непрерывный надзор за деятельностью браузера, особенно при включенном режиме разработчика, наряду с регулярными аудитами разрешений приложений, имеет решающее значение для защиты от таких продвинутых постоянных угроз.
#ParsedReport #CompletenessLow
30-06-2026
The Polymarket Trap: A Fake Arbitrage Bot, Ten npm Accounts, and Four Ways to Deliver an Infostealer
https://safedep.io/defi-infostealer-fake-arbitrage-bot-npm
Report completeness: Low
Threats:
Typosquatting_technique
Victims:
Defi developers, Polymarket protocol developers, Defi frontend developers, General defi math tooling users
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1005, T1016, T1027, T1033, T1036.005, T1041, T1059.007, T1105, T1195.001, T1539, have more...
IOCs:
File: 12
Soft:
Docker, Chrome, Firefox, Bitwarden, KeePass, 1Password, macOS, Linux, OneNote
Wallets:
metamask, solflare, coinbase, tronlink
Algorithms:
base64
Functions:
readPackageJson, syncSession, divide, mod, require, from_str
Win API:
lockfile
Languages:
javascript, typescript, powershell
Links:
30-06-2026
The Polymarket Trap: A Fake Arbitrage Bot, Ten npm Accounts, and Four Ways to Deliver an Infostealer
https://safedep.io/defi-infostealer-fake-arbitrage-bot-npm
Report completeness: Low
Threats:
Typosquatting_technique
Victims:
Defi developers, Polymarket protocol developers, Defi frontend developers, General defi math tooling users
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1016, T1027, T1033, T1036.005, T1041, T1059.007, T1105, T1195.001, T1539, have more...
IOCs:
File: 12
Soft:
Docker, Chrome, Firefox, Bitwarden, KeePass, 1Password, macOS, Linux, OneNote
Wallets:
metamask, solflare, coinbase, tronlink
Algorithms:
base64
Functions:
readPackageJson, syncSession, divide, mod, require, from_str
Win API:
lockfile
Languages:
javascript, typescript, powershell
Links:
https://github.com/Trum3it/polymarket-arbitrage-bot/issues/2SafeDep - Real-time Open Source Software Supply Chain Security
The Polymarket Trap: A Fake Arbitrage Bot, Ten npm Accounts, and Four Ways to Deliver an Infostealer
A GitHub repository posing as a Polymarket arbitrage bot accumulated 53 forks before anyone flagged the malicious npm package buried in its dependencies. Behind that repo: ten coordinated npm accounts, 30 packages, and four delivery techniques including one…
CTT Report Hub
#ParsedReport #CompletenessLow 30-06-2026 The Polymarket Trap: A Fake Arbitrage Bot, Ten npm Accounts, and Four Ways to Deliver an Infostealer https://safedep.io/defi-infostealer-fake-arbitrage-bot-npm Report completeness: Low Threats: Typosquatting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Координированная кампания нацелилась на разработчиков DeFi через обманные пакеты npm, используя тайпсквоттинг для эксплуатации неправильно набранных имен пакетов. Вредоносные пакеты включали стиллер, предназначенный для сбора конфиденциальных данных из криптовалютных кошельков и учетных данных браузера, применяя такие техники, как дроппер, который загружал URL C2, и механизм самовосстановления для уклонения от обнаружения. Эта атака конкретно стремилась к компрометации кошельков, таких как MetaMask и TrustWallet, раскрывая закрытые ключи и API-токены разработчиков.
-----
Недавний анализ выявил скоординированную вредоносную кампанию, направленную против разработчиков DeFi через обманные пакеты npm. В общей сложности десять аккаунтов сопровождающих npm опубликовали около тридцати пакетов, которые выдавали себя за легитимные инструменты Polymarket и общие библиотеки математических вычислений для DeFi. Атака использовала техники тайпсквоттинга для эксплуатации разработчиков, которые ошибочно вводили неверные названия пакетов, захватывая широкий круг потенциальных жертв.
Вредоносные репозитории содержали TypeScript-бота, обещающего прибыльные криптографические прогнозы, который требовал от пользователей ввода их POLYMARKET_PRIVATE_KEY в файл окружения. Этот ключ затем становился доступным до завершения команды npm install, позволяя стиллеру получить доступ к конфиденциальным данным.
Атака использовала четыре основные техники для доставки стиллера — состоящего из 2787–2887 строк кода JavaScript, предназначенного для сбора хранилищ криптовалютных кошельков, учетных данных браузера, секретов разработчика и другого. Конкретными целями были широко используемые кошельки, такие как MetaMask, TrustWallet и различные другие платформы, а также данные браузера из Chrome и Firefox. Стиллер был способен сканировать файловую систему на наличие конкретных источников учетных данных и выполнять регулярные выражения для идентификации и эксфильтрации закрытых ключей и API-токенов.
Один из заметных методов, известный как дроппер, использовал скрипт пост-установки, который динамически извлекал URL-адрес управления (управление) из информации о домашней странице пакета, тем самым эффективно маскируя его реальное намерение. Другие методы включали прямую вставку стиллера в код пакета или его включение в качестве транзитивной зависимости, которая выполнялась во время импорта, обходя типичные меры безопасности, игнорирующие скрипты.
Кампания также использовала механизм самовосстановления, при котором первоначальная чистая версия пакета после установки загружала скомпрометированную версию, делая традиционное сканирование неэффективным. Этот стратегический подход означал, что любой разработчик, который случайно установил эти пакеты, мог стать жертвой компрометации учетных данных.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Координированная кампания нацелилась на разработчиков DeFi через обманные пакеты npm, используя тайпсквоттинг для эксплуатации неправильно набранных имен пакетов. Вредоносные пакеты включали стиллер, предназначенный для сбора конфиденциальных данных из криптовалютных кошельков и учетных данных браузера, применяя такие техники, как дроппер, который загружал URL C2, и механизм самовосстановления для уклонения от обнаружения. Эта атака конкретно стремилась к компрометации кошельков, таких как MetaMask и TrustWallet, раскрывая закрытые ключи и API-токены разработчиков.
-----
Недавний анализ выявил скоординированную вредоносную кампанию, направленную против разработчиков DeFi через обманные пакеты npm. В общей сложности десять аккаунтов сопровождающих npm опубликовали около тридцати пакетов, которые выдавали себя за легитимные инструменты Polymarket и общие библиотеки математических вычислений для DeFi. Атака использовала техники тайпсквоттинга для эксплуатации разработчиков, которые ошибочно вводили неверные названия пакетов, захватывая широкий круг потенциальных жертв.
Вредоносные репозитории содержали TypeScript-бота, обещающего прибыльные криптографические прогнозы, который требовал от пользователей ввода их POLYMARKET_PRIVATE_KEY в файл окружения. Этот ключ затем становился доступным до завершения команды npm install, позволяя стиллеру получить доступ к конфиденциальным данным.
Атака использовала четыре основные техники для доставки стиллера — состоящего из 2787–2887 строк кода JavaScript, предназначенного для сбора хранилищ криптовалютных кошельков, учетных данных браузера, секретов разработчика и другого. Конкретными целями были широко используемые кошельки, такие как MetaMask, TrustWallet и различные другие платформы, а также данные браузера из Chrome и Firefox. Стиллер был способен сканировать файловую систему на наличие конкретных источников учетных данных и выполнять регулярные выражения для идентификации и эксфильтрации закрытых ключей и API-токенов.
Один из заметных методов, известный как дроппер, использовал скрипт пост-установки, который динамически извлекал URL-адрес управления (управление) из информации о домашней странице пакета, тем самым эффективно маскируя его реальное намерение. Другие методы включали прямую вставку стиллера в код пакета или его включение в качестве транзитивной зависимости, которая выполнялась во время импорта, обходя типичные меры безопасности, игнорирующие скрипты.
Кампания также использовала механизм самовосстановления, при котором первоначальная чистая версия пакета после установки загружала скомпрометированную версию, делая традиционное сканирование неэффективным. Этот стратегический подход означал, что любой разработчик, который случайно установил эти пакеты, мог стать жертвой компрометации учетных данных.
#ParsedReport #CompletenessLow
30-06-2026
The Sea Lily APT group, believed to be based in Vietnam, appears to have shifted its focus to within Vietnam
https://www.secrss.com/articles/91634
Report completeness: Low
Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)
Fire_ant
Crucible
Black_bird
Threats:
Spectralviper
Supply_chain_technique
Watering_hole_technique
Dll_sideloading_technique
Soundbite
Phoreal
Cuegoe
Victims:
Infrastructure, Transportation, Finance, Securities, Government institutions, Enterprises, Dissidents, Human rights activists, Vietnam, China, have more...
Industry:
Government, Transport, Financial
Geo:
China, Vietnam, Asia, Vietnamese
ChatGPT TTPs:
T1027, T1036, T1055, T1071.001, T1071.004, T1082, T1090.001, T1095, T1105, T1189, have more...
IOCs:
File: 5
Email: 1
Soft:
icrosoft SQL Server to, Linux
Languages:
python
30-06-2026
The Sea Lily APT group, believed to be based in Vietnam, appears to have shifted its focus to within Vietnam
https://www.secrss.com/articles/91634
Report completeness: Low
Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)
Fire_ant
Crucible
Black_bird
Threats:
Spectralviper
Supply_chain_technique
Watering_hole_technique
Dll_sideloading_technique
Soundbite
Phoreal
Cuegoe
Victims:
Infrastructure, Transportation, Finance, Securities, Government institutions, Enterprises, Dissidents, Human rights activists, Vietnam, China, have more...
Industry:
Government, Transport, Financial
Geo:
China, Vietnam, Asia, Vietnamese
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1055, T1071.001, T1071.004, T1082, T1090.001, T1095, T1105, T1189, have more...
IOCs:
File: 5
Email: 1
Soft:
icrosoft SQL Server to, Linux
Languages:
python
Secrss
疑似越南APT组织海莲花作战重心转向越南国内
该组织作战战略发生重大调整。即大幅收缩面向境外目标的网络间谍攻击行动,将核心资源倾斜至越南国内实体,并依托自研后门SPECTRALVIPER实施两起长期潜伏网络攻击行动。
CTT Report Hub
#ParsedReport #CompletenessLow 30-06-2026 The Sea Lily APT group, believed to be based in Vietnam, appears to have shifted its focus to within Vietnam https://www.secrss.com/articles/91634 Report completeness: Low Actors/Campaigns: Oceanlotus (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группировка Sea Lily APT, также известная как OceanLotus или APT32, сместила фокус с иностранных целей на внутренние операции во Вьетнаме, согласовав свою деятельность с антикоррупционными инициативами правительства. Используя бэкдор SPECTRALVIPER, они проводили шпионаж, нацеленный на инфраструктуру и финансовый сектор, эксплуатируя уязвимости, такие как уязвимости в Microsoft SQL Server, для первоначального доступа и применяя подгрузку DLL для закрепления. Их недавняя атака на цепочку поставок FireAnt MetaKit использовала слабости механизма обновления для развертывания полезной нагрузки SPECTRALVIPER, что указывает на повышенную сложность их тактик и инструментов.
-----
Группировка Sea Lily APT, также известная как OceanLotus или APT32, сместила свой операционный фокус с атак на иностранные объекты на внутренние нападения во Вьетнаме, особенно с середины 2024 года. Этот переход согласуется с антикоррупционными инициативами и экономическими расследованиями вьетнамского правительства. Используя свой проприетарный бэкдор SPECTRALVIPER, группировка провела две ключевые операции шпионажа, нацеленные на инфраструктуру и финансовый сектор страны.
Первая операция началась в ноябре 2024 года против крупной компании в сфере инфраструктуры и транспорта и продолжалась в сети жертвы 15 месяцев до февраля 2026 года. Считается, что первоначальный доступ к этой сети был получен через уязвимость Удаленное Выполнение Кода в Microsoft SQL Server. Оказавшись внутри, злоумышленники развернули различные варианты бэкдора SPECTRALVIPER, адаптированные для разных пользовательских устройств, используя метод подгрузки DLL с легитимным инструментом Toolbox.exe для обеспечения скрытого закрепления. Они создали сеть доменов управления (управление), которые постоянно ротировались, чтобы избежать обнаружения.
Вторая атака была направлена на сервер обновлений FireAnt MetaKit, инструмента для финансовых технологий, широко используемого во Вьетнаме. Эта атака через цепочку поставок, продолжавшаяся с октября 2025 года по март 2026 года, эксплуатировала уязвимости в механизме обновлений, включая отсутствие проверки целостности файлов и отсутствие шифрования SSL/TLS. Атакующие проверяли каналы распространения с помощью тестовых загрузчиков на ранней стадии, прежде чем развернуть более сложную и обфусцированную версию, которая загружала бы полезную нагрузку SPECTRALVIPER, маскируясь под обновление. После запуска бэкдор собирал информацию о системе и использовал технику загрузки DLL для закрепления через легитимные системные процессы.
Стратегия группы Sea Lily стала более сфокусированной и точной, вероятно, в ответ на усиление антикоррупционных кампаний во Вьетнаме. Детали этого перехода подчеркиваются сопутствующими политическими событиями, такими как отставка двух президентов, связанных со скандалами о коррупции, и значительные дисциплинарные меры против высокопоставленных должностных лиц. Примечательно, что бэкдор SPECTRALVIPER демонстрирует улучшения, облегчающие перемещение внутри компании во внутренних сетях, а также техники для маскировки сетевого трафика, что указывает на эволюцию операционной безопасности и возможностей группы.
Анализ показывает, что группа Sea Lily имеет более чем десятилетний опыт создания ВПО и поддержания арсенала инструментов для различных платформ. К предыдущим инструментам относятся Denis, использующий DNS-туннели для связи C2, и PHOREAL, работающий через ICMP. Однако SPECTRALVIPER, по-видимому, представляет новый уровень сложности в их атаках, сочетая скрытые команды, динамическую загрузку полезной нагрузки и механизмы закрепления через зашифрованные каналы связи. Стратегия выборочного распространения группы в последних атаках указывает на четкое намерение проводить целенаправленные операции сбора разведданных в соответствии с приоритетами, ориентированными на государство, во Вьетнаме.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группировка Sea Lily APT, также известная как OceanLotus или APT32, сместила фокус с иностранных целей на внутренние операции во Вьетнаме, согласовав свою деятельность с антикоррупционными инициативами правительства. Используя бэкдор SPECTRALVIPER, они проводили шпионаж, нацеленный на инфраструктуру и финансовый сектор, эксплуатируя уязвимости, такие как уязвимости в Microsoft SQL Server, для первоначального доступа и применяя подгрузку DLL для закрепления. Их недавняя атака на цепочку поставок FireAnt MetaKit использовала слабости механизма обновления для развертывания полезной нагрузки SPECTRALVIPER, что указывает на повышенную сложность их тактик и инструментов.
-----
Группировка Sea Lily APT, также известная как OceanLotus или APT32, сместила свой операционный фокус с атак на иностранные объекты на внутренние нападения во Вьетнаме, особенно с середины 2024 года. Этот переход согласуется с антикоррупционными инициативами и экономическими расследованиями вьетнамского правительства. Используя свой проприетарный бэкдор SPECTRALVIPER, группировка провела две ключевые операции шпионажа, нацеленные на инфраструктуру и финансовый сектор страны.
Первая операция началась в ноябре 2024 года против крупной компании в сфере инфраструктуры и транспорта и продолжалась в сети жертвы 15 месяцев до февраля 2026 года. Считается, что первоначальный доступ к этой сети был получен через уязвимость Удаленное Выполнение Кода в Microsoft SQL Server. Оказавшись внутри, злоумышленники развернули различные варианты бэкдора SPECTRALVIPER, адаптированные для разных пользовательских устройств, используя метод подгрузки DLL с легитимным инструментом Toolbox.exe для обеспечения скрытого закрепления. Они создали сеть доменов управления (управление), которые постоянно ротировались, чтобы избежать обнаружения.
Вторая атака была направлена на сервер обновлений FireAnt MetaKit, инструмента для финансовых технологий, широко используемого во Вьетнаме. Эта атака через цепочку поставок, продолжавшаяся с октября 2025 года по март 2026 года, эксплуатировала уязвимости в механизме обновлений, включая отсутствие проверки целостности файлов и отсутствие шифрования SSL/TLS. Атакующие проверяли каналы распространения с помощью тестовых загрузчиков на ранней стадии, прежде чем развернуть более сложную и обфусцированную версию, которая загружала бы полезную нагрузку SPECTRALVIPER, маскируясь под обновление. После запуска бэкдор собирал информацию о системе и использовал технику загрузки DLL для закрепления через легитимные системные процессы.
Стратегия группы Sea Lily стала более сфокусированной и точной, вероятно, в ответ на усиление антикоррупционных кампаний во Вьетнаме. Детали этого перехода подчеркиваются сопутствующими политическими событиями, такими как отставка двух президентов, связанных со скандалами о коррупции, и значительные дисциплинарные меры против высокопоставленных должностных лиц. Примечательно, что бэкдор SPECTRALVIPER демонстрирует улучшения, облегчающие перемещение внутри компании во внутренних сетях, а также техники для маскировки сетевого трафика, что указывает на эволюцию операционной безопасности и возможностей группы.
Анализ показывает, что группа Sea Lily имеет более чем десятилетний опыт создания ВПО и поддержания арсенала инструментов для различных платформ. К предыдущим инструментам относятся Denis, использующий DNS-туннели для связи C2, и PHOREAL, работающий через ICMP. Однако SPECTRALVIPER, по-видимому, представляет новый уровень сложности в их атаках, сочетая скрытые команды, динамическую загрузку полезной нагрузки и механизмы закрепления через зашифрованные каналы связи. Стратегия выборочного распространения группы в последних атаках указывает на четкое намерение проводить целенаправленные операции сбора разведданных в соответствии с приоритетами, ориентированными на государство, во Вьетнаме.
#ParsedReport #CompletenessLow
29-06-2026
Chromium extension uses AI‑related branding to redirect browser search
https://www.microsoft.com/en-us/security/blog/2026/06/29/chromium-extension-uses-airelated-branding-redirect-browser-search/
Report completeness: Low
Threats:
Typosquatting_technique
Victims:
Chromium browser users, Perplexity ai users
TTPs:
Tactics: 5
Technics: 0
IOCs:
BrowserExtension: 1
Domain: 1
Url: 6
File: 6
Soft:
Chromium, Microsoft Defender, Chrome, Node.js, nginx
Functions:
count
29-06-2026
Chromium extension uses AI‑related branding to redirect browser search
https://www.microsoft.com/en-us/security/blog/2026/06/29/chromium-extension-uses-airelated-branding-redirect-browser-search/
Report completeness: Low
Threats:
Typosquatting_technique
Victims:
Chromium browser users, Perplexity ai users
TTPs:
Tactics: 5
Technics: 0
IOCs:
BrowserExtension: 1
Domain: 1
Url: 6
File: 6
Soft:
Chromium, Microsoft Defender, Chrome, Node.js, nginx
Functions:
count
Microsoft News
Chromium extension uses AI‑related branding to redirect browser search
A malicious Chromium-based extension that spoofs the AI-powered answer engine Perplexity AI redirects browser search traffic using MV3 APIs and intermediary infrastructure.
CTT Report Hub
#ParsedReport #CompletenessLow 29-06-2026 Chromium extension uses AI‑related branding to redirect browser search https://www.microsoft.com/en-us/security/blog/2026/06/29/chromium-extension-uses-airelated-branding-redirect-browser-search/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Служба Microsoft Threat Intelligence выявила вредоносное расширение для браузера на базе Chromium, использующее Маскировка под Perplexity AI, предназначенное для перехвата поискового трафика и сбора пользовательских данных для профилирования и таргетированной рекламы. Оно изменяет настройки поиска, чтобы перехватить поисковые запросы в браузере с помощью функции "chrome_settings_overrides", перенаправляя трафик через собственную инфраструктуру, которая использует сервер Node.js и сервер nginx с настройками SSL для безопасного сбора данных. Расширение также имитирует легитимные процессы настройки для завоевания доверия пользователей, что является распространенной тактикой в ВПО для рекламы и перехвата браузеров.
-----
Служба Microsoft Threat Intelligence выявила вредоносное расширение для браузера на базе Chromium, которое использует брендинг легитимного поискового движка с искусственным интеллектом Perplexity AI для обмана пользователей с целью убедить их в его установке. Основное назначение расширения заключается в перехвате поискового трафика и сборе пользовательских данных, которые впоследствии могут быть использованы в различных злонамеренных целях, таких как профилирование и таргетированная реклама. Расширение было сообщено в Google и впоследствии удалено.
Расширение пытается имитировать легитимный сервис Perplexity AI, используя похожее название и домен с опечаткой (typosquatted domain) perplexity-ai.online, который тесно напоминает официальный домен (perplexity.ai). Этот тактический прием широко распространен в схемах фишинг, где злоумышленники применяют схожие доменные имена, чтобы ввести пользователей в заблуждение относительно подлинности их услуг.
При установке расширение изменяет настройки поиска браузера с помощью функции «chrome_settings_overrides», тем самым заменяя поставщика поиска по умолчанию и перенаправляя все поисковые запросы через собственную инфраструктуру. Такое поведение характерно для атак с захватом браузера, которые перенаправляют пользовательские поисковые запросы на несанкционированные сайты, существенно ухудшая пользовательский опыт и конфиденциальность. Расширение перенаправляет пользователей на страницу онбординга, размещенную по адресу hxxps://extension.tilda.ws/perplexityai, которая предназначена для имитации легитимного процесса настройки — распространенная тактика, наблюдаемая в adware и ВПО для перенаправления поиска, направленная на формирование доверия пользователей и снижение внимания к изменениям в браузере.
Технический анализ расширения показывает, что оно использует прокси-сервисы, регистрируя все входящие запросы, включая метод HTTP и URL, в конечную точку, которая предполагает дальнейшие запросы к Google. Оно использует сервер Node.js (server.js), настроенный на разрешение кросс-доменных ответов, что позволяет ему собирать данные более свободно. Кроме того, он запускает сервер nginx, настроенный с SSL через Let's Encrypt, обеспечивая безопасные соединения для своего вредоносного трафика, одновременно фильтруя запросы преимущественно для инфраструктуры своего оператора.
Для снижения угрозы, создаваемой данным расширением, специалистам по безопасности рекомендуется использовать продвинутые запросы для поиска (hunting queries) с целью обнаружения присутствия вредоносного расширения по специфическим артефактам файлов, связанным с его установкой. Эта информация предоставляет возможность идентифицировать и удалить расширение с затронутых систем, укрепляя безопасность пользователей против подобных обманных тактик.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Служба Microsoft Threat Intelligence выявила вредоносное расширение для браузера на базе Chromium, использующее Маскировка под Perplexity AI, предназначенное для перехвата поискового трафика и сбора пользовательских данных для профилирования и таргетированной рекламы. Оно изменяет настройки поиска, чтобы перехватить поисковые запросы в браузере с помощью функции "chrome_settings_overrides", перенаправляя трафик через собственную инфраструктуру, которая использует сервер Node.js и сервер nginx с настройками SSL для безопасного сбора данных. Расширение также имитирует легитимные процессы настройки для завоевания доверия пользователей, что является распространенной тактикой в ВПО для рекламы и перехвата браузеров.
-----
Служба Microsoft Threat Intelligence выявила вредоносное расширение для браузера на базе Chromium, которое использует брендинг легитимного поискового движка с искусственным интеллектом Perplexity AI для обмана пользователей с целью убедить их в его установке. Основное назначение расширения заключается в перехвате поискового трафика и сборе пользовательских данных, которые впоследствии могут быть использованы в различных злонамеренных целях, таких как профилирование и таргетированная реклама. Расширение было сообщено в Google и впоследствии удалено.
Расширение пытается имитировать легитимный сервис Perplexity AI, используя похожее название и домен с опечаткой (typosquatted domain) perplexity-ai.online, который тесно напоминает официальный домен (perplexity.ai). Этот тактический прием широко распространен в схемах фишинг, где злоумышленники применяют схожие доменные имена, чтобы ввести пользователей в заблуждение относительно подлинности их услуг.
При установке расширение изменяет настройки поиска браузера с помощью функции «chrome_settings_overrides», тем самым заменяя поставщика поиска по умолчанию и перенаправляя все поисковые запросы через собственную инфраструктуру. Такое поведение характерно для атак с захватом браузера, которые перенаправляют пользовательские поисковые запросы на несанкционированные сайты, существенно ухудшая пользовательский опыт и конфиденциальность. Расширение перенаправляет пользователей на страницу онбординга, размещенную по адресу hxxps://extension.tilda.ws/perplexityai, которая предназначена для имитации легитимного процесса настройки — распространенная тактика, наблюдаемая в adware и ВПО для перенаправления поиска, направленная на формирование доверия пользователей и снижение внимания к изменениям в браузере.
Технический анализ расширения показывает, что оно использует прокси-сервисы, регистрируя все входящие запросы, включая метод HTTP и URL, в конечную точку, которая предполагает дальнейшие запросы к Google. Оно использует сервер Node.js (server.js), настроенный на разрешение кросс-доменных ответов, что позволяет ему собирать данные более свободно. Кроме того, он запускает сервер nginx, настроенный с SSL через Let's Encrypt, обеспечивая безопасные соединения для своего вредоносного трафика, одновременно фильтруя запросы преимущественно для инфраструктуры своего оператора.
Для снижения угрозы, создаваемой данным расширением, специалистам по безопасности рекомендуется использовать продвинутые запросы для поиска (hunting queries) с целью обнаружения присутствия вредоносного расширения по специфическим артефактам файлов, связанным с его установкой. Эта информация предоставляет возможность идентифицировать и удалить расширение с затронутых систем, укрепляя безопасность пользователей против подобных обманных тактик.
#ParsedReport #CompletenessHigh
30-06-2026
Silent Swap: A Crypto Clipper Extension Campaign
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/crypto-clipper-wallet-swapping-browser-extension-malware/
Report completeness: High
Threats:
Etherhiding_technique
Procmon_tool
Victims:
Consumer cryptocurrency users
Industry:
Critical_infrastructure, Financial
Geo:
India
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1036, T1059.003, T1070.004, T1083, T1102.001, T1105, T1115, T1140, T1176, T1564.003, have more...
IOCs:
Domain: 2
File: 5
Url: 2
Hash: 12
Coin: 2
Soft:
Chromium, Google Chrome, Microsoft Edge, Chrome, Opera
Crypto:
ethereum, bitcoin, ripple, solana
Algorithms:
sha256, hmac, zip
Win API:
writefile
Languages:
python, golang
30-06-2026
Silent Swap: A Crypto Clipper Extension Campaign
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/crypto-clipper-wallet-swapping-browser-extension-malware/
Report completeness: High
Threats:
Etherhiding_technique
Procmon_tool
Victims:
Consumer cryptocurrency users
Industry:
Critical_infrastructure, Financial
Geo:
India
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1059.003, T1070.004, T1083, T1102.001, T1105, T1115, T1140, T1176, T1564.003, have more...
IOCs:
Domain: 2
File: 5
Url: 2
Hash: 12
Coin: 2
Soft:
Chromium, Google Chrome, Microsoft Edge, Chrome, Opera
Crypto:
ethereum, bitcoin, ripple, solana
Algorithms:
sha256, hmac, zip
Win API:
writefile
Languages:
python, golang
McAfee Blog
Silent Swap: A Crypto Clipper Extension Campaign | McAfee Blog
Researchers uncover browser extension malware that steals cryptocurrency by swapping wallet addresses during transactions.
CTT Report Hub
#ParsedReport #CompletenessHigh 30-06-2026 Silent Swap: A Crypto Clipper Extension Campaign https://www.mcafee.com/blogs/other-blogs/mcafee-labs/crypto-clipper-wallet-swapping-browser-extension-malware/ Report completeness: High Threats: Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новая кампания нацелена на пользователей криптовалют с использованием скрытой техники криптоклиппера, включающей неподписанные установщики, написанные на .NET или Golang, которые развертывают обманчивое расширение Chromium, маскирующееся под утилиту Google Notes. Это расширение отслеживает буфер обмена, чтобы перехватывать и заменять адреса кошельков криптовалют в реальном времени, используя социальную инженерию для обхода функций безопасности браузера, а также динамически разрешает свою инфраструктуру управления через публичные конечные точки RPC блокчейна для уклонения. Оно изменяет конфигурационные файлы браузера для закрепления и маскируется как безобидный инструмент, сохраняя низкий профиль и усложняя усилия по обнаружению.
-----
Новая кампания с использованием браузерных расширений нацелена на пользователей криптовалют, применяя метод тихого криптоклиппера.
В рамках кампании развертываются неподписанные установщики, написанные на .NET или Golang.
Обманчивое расширение Chromium замаскировано под утилиту Google Notes.
Расширение отслеживает активность буфера обмена для перехвата адресов криптовалютных кошельков.
Он подменяет адреса кошельков на контролируемые злоумышленниками альтернативные до завершения транзакций.
Метод установки изменяет защищённые файлы настроек браузеров на базе Chromium, таких как Chrome, Brave и Edge.
ВПО обходит процессы проверки, изменяя значения безопасности, чтобы выглядеть легитимно.
Операторы могут использовать социальную инженерию, чтобы убедить пользователей включить режим разработчика для функциональности расширений.
Инфраструктура связи не использует жёстко заданный сервер управления.
Вместо этого он обращается к публичному RPC-эндпоинту блокчейна для разрешения активного домена управления.
Эта обфускация позволяет динамически обновлять развертывание ВПО через параметры смарт-контракта.
Телеметрия указывает на глобальное распространение заражения, особенно в Индии, с целью атаки на пользователей криптовалют.
Расширение поддерживает безобидный интерфейс, чтобы не привлекать внимания, пока выполняет вредоносные функции.
Это обеспечивает закрепление путем модификации файлов конфигурации браузера для загрузки расширения при каждом запуске браузера.
ВПО использует механизм самоуничтожения для удаления установщика после выполнения.
Расширение маскируется под инструмент для заметок, чтобы избежать внимания, и запрашивает обширные разрешения.
Эта кампания отражает передовые методы, направленные на избегание обнаружения и обеспечение постоянного доступа к системам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новая кампания нацелена на пользователей криптовалют с использованием скрытой техники криптоклиппера, включающей неподписанные установщики, написанные на .NET или Golang, которые развертывают обманчивое расширение Chromium, маскирующееся под утилиту Google Notes. Это расширение отслеживает буфер обмена, чтобы перехватывать и заменять адреса кошельков криптовалют в реальном времени, используя социальную инженерию для обхода функций безопасности браузера, а также динамически разрешает свою инфраструктуру управления через публичные конечные точки RPC блокчейна для уклонения. Оно изменяет конфигурационные файлы браузера для закрепления и маскируется как безобидный инструмент, сохраняя низкий профиль и усложняя усилия по обнаружению.
-----
Новая кампания с использованием браузерных расширений нацелена на пользователей криптовалют, применяя метод тихого криптоклиппера.
В рамках кампании развертываются неподписанные установщики, написанные на .NET или Golang.
Обманчивое расширение Chromium замаскировано под утилиту Google Notes.
Расширение отслеживает активность буфера обмена для перехвата адресов криптовалютных кошельков.
Он подменяет адреса кошельков на контролируемые злоумышленниками альтернативные до завершения транзакций.
Метод установки изменяет защищённые файлы настроек браузеров на базе Chromium, таких как Chrome, Brave и Edge.
ВПО обходит процессы проверки, изменяя значения безопасности, чтобы выглядеть легитимно.
Операторы могут использовать социальную инженерию, чтобы убедить пользователей включить режим разработчика для функциональности расширений.
Инфраструктура связи не использует жёстко заданный сервер управления.
Вместо этого он обращается к публичному RPC-эндпоинту блокчейна для разрешения активного домена управления.
Эта обфускация позволяет динамически обновлять развертывание ВПО через параметры смарт-контракта.
Телеметрия указывает на глобальное распространение заражения, особенно в Индии, с целью атаки на пользователей криптовалют.
Расширение поддерживает безобидный интерфейс, чтобы не привлекать внимания, пока выполняет вредоносные функции.
Это обеспечивает закрепление путем модификации файлов конфигурации браузера для загрузки расширения при каждом запуске браузера.
ВПО использует механизм самоуничтожения для удаления установщика после выполнения.
Расширение маскируется под инструмент для заметок, чтобы избежать внимания, и запрашивает обширные разрешения.
Эта кампания отражает передовые методы, направленные на избегание обнаружения и обеспечение постоянного доступа к системам.
#ParsedReport #CompletenessLow
30-06-2026
Lazarus Targets the Financial Sector with Memory-Only Malware Toolset
https://www.cognyte.com/blog/lazarus-targets-the-financial-sector-with-memory-only-malware-toolset/
Report completeness: Low
Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Threats:
Dpapiloader
Remotepeloader
Remotepe
Victims:
Financial institutions, Cryptocurrency organizations
Geo:
North korea
ChatGPT TTPs:
T1027, T1105, T1140, T1480.001
30-06-2026
Lazarus Targets the Financial Sector with Memory-Only Malware Toolset
https://www.cognyte.com/blog/lazarus-targets-the-financial-sector-with-memory-only-malware-toolset/
Report completeness: Low
Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Threats:
Dpapiloader
Remotepeloader
Remotepe
Victims:
Financial institutions, Cryptocurrency organizations
Geo:
North korea
ChatGPT TTPs:
do not use without manual checkT1027, T1105, T1140, T1480.001
Cognyte
Lazarus Targets the Financial Sector with Memory-Only Malware Toolset
Cognyte earned two 2026 Global InfoSec Awards for LUMINAR's Digital Risk Protection and Threat Intelligence capabilities. Discover what this recognition means for your security posture.
CTT Report Hub
#ParsedReport #CompletenessLow 30-06-2026 Lazarus Targets the Financial Sector with Memory-Only Malware Toolset https://www.cognyte.com/blog/lazarus-targets-the-financial-sector-with-memory-only-malware-toolset/ Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Lazarus, связанная с Северной Кореей, использует новую фреймворк-систему, работающую только в памяти, для атак на финансовые учреждения и организации, занимающиеся криптовалютами, с акцентом на методы скрытности. Вредоносное ПО состоит из DPAPILoader, RemotePELoader и RemotePE, при этом последний компонент функционирует как Троянская программа (RAT), работающая исключительно в памяти. Используя Windows DPAPI для Использования ключей на основе окружения, этот метод создает уникальные зашифрованные payloads для каждого жертвы, значительно усложняя традиционные усилия по обнаружению и криминалистический анализ.
-----
Недавно выявленная кампания со стороны Lazarus, подгруппы, связанной с Северной Кореей, нацелена на финансовые учреждения и организации криптовалюты с использованием инновационной фреймворк вредоносного ПО, работающего только в памяти. Этот сложный подход разработан для минимизации обнаружения и снижения видимости криминалистический анализ, что подчеркивает значительную тенденцию к использованию техник, ориентированных на скрытность, среди продвинутых злоумышленники.
Инструментарий Lazarus состоит из трех основных компонентов: DPAPILoader, RemotePELoader и RemotePE. Процесс заражения начинается с DPAPILoader, который использует API защиты данных Windows (DPAPI) для расшифровки и запуска последующих этапов. RemotePELoader извлекает финальный полезный груз из инфраструктуры, контролируемой злоумышленником. Этот финальный компонент ransomware работает исключительно в памяти, функционируя как троянская программа, предоставляющая обширный контроль над зараженными системами.
Критической особенностью данного ВПО является его зависимость от использования ключей на основе окружения через Windows DPAPI, что привязывает выполнение ВПО к конкретной среде жертвы. В результате каждая развертка создает уникальный зашифрованный полезный груз, что делает традиционные методы обнаружения на основе хешей устаревшими. После активации компонент RemotePE позволяет злоумышленникам выполнять команды, манипулировать файлами, управлять процессами и получать доступ к конфиденциальным данным, тем самым поддерживая долгосрочные цели, такие как кража денежных средств и эксфильтрация данных.
Эта кампания знаменует собой более широкий переход в ландшафте киберугроз, где продвинутые злоумышленники все больше отдают приоритет скрытности перед сложными техниками эксплуатации. Принятие вредоносного ПО, работающего только в памяти, использование ключей на основе окружения и стратегий обхода обнаружения на конечных точках свидетельствует о новой операционной парадигме, ориентированной на поддержание скрытого доступа и усложнение реагирования на инциденты. В результате криминалистический след, оставляемый на скомпрометированных системах, значительно сокращается, что делает традиционные методы обнаружения менее эффективными.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Lazarus, связанная с Северной Кореей, использует новую фреймворк-систему, работающую только в памяти, для атак на финансовые учреждения и организации, занимающиеся криптовалютами, с акцентом на методы скрытности. Вредоносное ПО состоит из DPAPILoader, RemotePELoader и RemotePE, при этом последний компонент функционирует как Троянская программа (RAT), работающая исключительно в памяти. Используя Windows DPAPI для Использования ключей на основе окружения, этот метод создает уникальные зашифрованные payloads для каждого жертвы, значительно усложняя традиционные усилия по обнаружению и криминалистический анализ.
-----
Недавно выявленная кампания со стороны Lazarus, подгруппы, связанной с Северной Кореей, нацелена на финансовые учреждения и организации криптовалюты с использованием инновационной фреймворк вредоносного ПО, работающего только в памяти. Этот сложный подход разработан для минимизации обнаружения и снижения видимости криминалистический анализ, что подчеркивает значительную тенденцию к использованию техник, ориентированных на скрытность, среди продвинутых злоумышленники.
Инструментарий Lazarus состоит из трех основных компонентов: DPAPILoader, RemotePELoader и RemotePE. Процесс заражения начинается с DPAPILoader, который использует API защиты данных Windows (DPAPI) для расшифровки и запуска последующих этапов. RemotePELoader извлекает финальный полезный груз из инфраструктуры, контролируемой злоумышленником. Этот финальный компонент ransomware работает исключительно в памяти, функционируя как троянская программа, предоставляющая обширный контроль над зараженными системами.
Критической особенностью данного ВПО является его зависимость от использования ключей на основе окружения через Windows DPAPI, что привязывает выполнение ВПО к конкретной среде жертвы. В результате каждая развертка создает уникальный зашифрованный полезный груз, что делает традиционные методы обнаружения на основе хешей устаревшими. После активации компонент RemotePE позволяет злоумышленникам выполнять команды, манипулировать файлами, управлять процессами и получать доступ к конфиденциальным данным, тем самым поддерживая долгосрочные цели, такие как кража денежных средств и эксфильтрация данных.
Эта кампания знаменует собой более широкий переход в ландшафте киберугроз, где продвинутые злоумышленники все больше отдают приоритет скрытности перед сложными техниками эксплуатации. Принятие вредоносного ПО, работающего только в памяти, использование ключей на основе окружения и стратегий обхода обнаружения на конечных точках свидетельствует о новой операционной парадигме, ориентированной на поддержание скрытого доступа и усложнение реагирования на инциденты. В результате криминалистический след, оставляемый на скомпрометированных системах, значительно сокращается, что делает традиционные методы обнаружения менее эффективными.
#ParsedReport #CompletenessMedium
30-06-2026
TONResolver RAT Abuses TON Blockchain to Target Japan's Hotel Industry
https://www.trendmicro.com/en_us/research/26/f/tonresolver.html
Report completeness: Medium
Threats:
Tonresolver
Dead_drop_technique
Victims:
Booking.com partner companies, Accommodation facilities, Hotel industry
Industry:
Entertainment, Financial, Healthcare
Geo:
Japan, Japanese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036.008, T1059.001, T1059.007, T1071.001, T1102.001, T1105, T1140, T1204.001, T1204.002, have more...
IOCs:
File: 7
Hash: 9
Domain: 124
Soft:
Gmail, Node.js, Telegram
Algorithms:
ecdh, zip, aes-256-cbc, base64, aes-cbc, crc-16, aes
Functions:
Get-Process, createCipheriv, createDecipheriv
Win API:
ShowWindow
Languages:
javascript, powershell
30-06-2026
TONResolver RAT Abuses TON Blockchain to Target Japan's Hotel Industry
https://www.trendmicro.com/en_us/research/26/f/tonresolver.html
Report completeness: Medium
Threats:
Tonresolver
Dead_drop_technique
Victims:
Booking.com partner companies, Accommodation facilities, Hotel industry
Industry:
Entertainment, Financial, Healthcare
Geo:
Japan, Japanese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036.008, T1059.001, T1059.007, T1071.001, T1102.001, T1105, T1140, T1204.001, T1204.002, have more...
IOCs:
File: 7
Hash: 9
Domain: 124
Soft:
Gmail, Node.js, Telegram
Algorithms:
ecdh, zip, aes-256-cbc, base64, aes-cbc, crc-16, aes
Functions:
Get-Process, createCipheriv, createDecipheriv
Win API:
ShowWindow
Languages:
javascript, powershell
Trend Micro
TONResolver RAT Abuses TON Blockchain to Target Japan's Hotel Industry