CTT Report Hub
#ParsedReport #CompletenessMedium 07-07-2026 Don’t eat the ChocoPoCs! How vulnerability researchers were repeatedly targeted by trojanised exploits https://www.yeswehack.com/news/chocopocs-vulnerability-researchers-trojanised-exploits Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака через цепочку поставок «ChocoPoC» нацелена конкретно на исследователей уязвимостей и специалистов по тестированию на проникновение, компрометируя репозитории с доказательствами концепции (PoC) и развертывая вредоносный Python-троян (RAT), который похищает файлы и собирает конфиденциальные данные. Злоумышленники используют потребность исследователей в быстрой разработке модулей, вставляя вредоносные пакеты в репозитории, что приводит к выполнению троянизированных загрузчиков при установке. ВПО использует продвинутые техники уклонения и сервер управления для взаимодействия с жертвами, замаскированный под легитимный трафик, для манипуляции системными процессами и захвата учетных данных из браузеров.
-----
В статье подчеркивается значительная атака на цепочку поставок, направленная конкретно на исследователей уязвимостей и специалистов по тестированию на проникновение через скомпрометированные репозитории доказательств концепции (PoC). Эта угроза, идентифицированная как "ChocoPoC", включает использование вредоносной Python троянской программы для удаленного доступа (RAT), впервые примененной в 2025 году. ВПО способно похищать файлы, выполнять команды и собирать конфиденциальные данные в скомпрометированных системах.
Атакующие используют срочность, с которой исследователи разрабатывают модули для недавно раскрытых уязвимостей. Они создали множество поддельных репозиториев PoC CVE, используя вредоносную зависимость из Python Package Index (PyPI), которая при установке загружает и выполняет троянизированный дроппер. RAT ChocoPoC применяет сложные техники уклонения, полагаясь на такие методы, как timestomping, мьютексы блокировки файлов, обход блока окружения процесса (PEB) и антиотладка, чтобы оставаться незамеченным в целевых средах.
Расследования показали, что цепочка заражения включает тактику путаницы зависимостей, при которой вредоносные пакеты вставляются в существующие репозитории. Когда жертвы пытаются выполнить PoC, запуская команду `pip install`, они непреднамеренно устанавливают скомпрометированные зависимости, что приводит к выполнению вредоносного кода. Анализ цепочки заражения демонстрирует, что для дальнейшего сокрытия деятельности ВПО используются собственные расширения легитимных пакетов. Этот метод позволяет ВПО манипулировать порядком загрузки Python, обеспечивая выполнение вредоносных компонентов, в то время как безобидные части кода выглядят подлинными.
Установленные вредоносные библиотеки расшифровывают встроенные скрипты, которые подключаются к серверу управления (C2), используя Mapbox в качестве скрытого канала. Этот сервер управления способен выдавать команды и получать эксфильтрованные данные, эффективно маскируя коммуникации ВПО в легитимном трафике. ChocoPoC в первую очередь фокусируется на сборе учетных записей из основных веб-браузеров и сборе файлов, которые обычно являются конфиденциальными.
Анализ также указывает на наличие других PoC, использующих аналогичные тактики для развертывания RAT ChocoPoC, что свидетельствует о систематических усилиях одного злоумышленника или группы по эксплуатации уязвимостей в сообществе исследователей. Эти кампании демонстрируют эволюционирующие методы злоумышленников, при которых ВПО скрыто в кажущихся безобидными зависимостях, что затрудняет для средств защиты обнаружение скомпрометированных пакетов или препятствие рабочим процессам исследователей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака через цепочку поставок «ChocoPoC» нацелена конкретно на исследователей уязвимостей и специалистов по тестированию на проникновение, компрометируя репозитории с доказательствами концепции (PoC) и развертывая вредоносный Python-троян (RAT), который похищает файлы и собирает конфиденциальные данные. Злоумышленники используют потребность исследователей в быстрой разработке модулей, вставляя вредоносные пакеты в репозитории, что приводит к выполнению троянизированных загрузчиков при установке. ВПО использует продвинутые техники уклонения и сервер управления для взаимодействия с жертвами, замаскированный под легитимный трафик, для манипуляции системными процессами и захвата учетных данных из браузеров.
-----
В статье подчеркивается значительная атака на цепочку поставок, направленная конкретно на исследователей уязвимостей и специалистов по тестированию на проникновение через скомпрометированные репозитории доказательств концепции (PoC). Эта угроза, идентифицированная как "ChocoPoC", включает использование вредоносной Python троянской программы для удаленного доступа (RAT), впервые примененной в 2025 году. ВПО способно похищать файлы, выполнять команды и собирать конфиденциальные данные в скомпрометированных системах.
Атакующие используют срочность, с которой исследователи разрабатывают модули для недавно раскрытых уязвимостей. Они создали множество поддельных репозиториев PoC CVE, используя вредоносную зависимость из Python Package Index (PyPI), которая при установке загружает и выполняет троянизированный дроппер. RAT ChocoPoC применяет сложные техники уклонения, полагаясь на такие методы, как timestomping, мьютексы блокировки файлов, обход блока окружения процесса (PEB) и антиотладка, чтобы оставаться незамеченным в целевых средах.
Расследования показали, что цепочка заражения включает тактику путаницы зависимостей, при которой вредоносные пакеты вставляются в существующие репозитории. Когда жертвы пытаются выполнить PoC, запуская команду `pip install`, они непреднамеренно устанавливают скомпрометированные зависимости, что приводит к выполнению вредоносного кода. Анализ цепочки заражения демонстрирует, что для дальнейшего сокрытия деятельности ВПО используются собственные расширения легитимных пакетов. Этот метод позволяет ВПО манипулировать порядком загрузки Python, обеспечивая выполнение вредоносных компонентов, в то время как безобидные части кода выглядят подлинными.
Установленные вредоносные библиотеки расшифровывают встроенные скрипты, которые подключаются к серверу управления (C2), используя Mapbox в качестве скрытого канала. Этот сервер управления способен выдавать команды и получать эксфильтрованные данные, эффективно маскируя коммуникации ВПО в легитимном трафике. ChocoPoC в первую очередь фокусируется на сборе учетных записей из основных веб-браузеров и сборе файлов, которые обычно являются конфиденциальными.
Анализ также указывает на наличие других PoC, использующих аналогичные тактики для развертывания RAT ChocoPoC, что свидетельствует о систематических усилиях одного злоумышленника или группы по эксплуатации уязвимостей в сообществе исследователей. Эти кампании демонстрируют эволюционирующие методы злоумышленников, при которых ВПО скрыто в кажущихся безобидными зависимостях, что затрудняет для средств защиты обнаружение скомпрометированных пакетов или препятствие рабочим процессам исследователей.
#ParsedReport #CompletenessHigh
07-07-2026
The Tax Trap: From Fake Indian ITR Notice to Dual RAT Deployment in Six Stages
https://www.cyderes.com/howler-cell/fake-indian-itr-notice-dual-rat-deployment
Report completeness: High
Threats:
Gh0st_rat
Quasar_rat
Asyncrat
Dllsearchorder_hijacking_technique
Polyglot_technique
Polyglot_ransomware
Dll_sideloading_technique
Amsi_bypass_technique
Process_injection_technique
Spear-phishing_technique
Medusalocker
Victims:
Indian users
Industry:
Government, Financial
Geo:
India, Indian
TTPs:
Tactics: 8
Technics: 19
IOCs:
File: 10
Domain: 7
Url: 6
IP: 1
Hash: 10
Path: 3
Soft:
Microsoft Edge, Windows Media Player, Windows service, Pastebin, NET Reactor
Algorithms:
aes, xor, base64, aes-256-cbc, pbkdf2, zip, bcrypt, aes-128
Functions:
Start, GetRuntime, GetInterface
Win API:
CreateProcessA, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, CreateProcessW, ShellExecuteW, AmsiOpenSession, VirtualProtect, NtCreateThreadEx
07-07-2026
The Tax Trap: From Fake Indian ITR Notice to Dual RAT Deployment in Six Stages
https://www.cyderes.com/howler-cell/fake-indian-itr-notice-dual-rat-deployment
Report completeness: High
Threats:
Gh0st_rat
Quasar_rat
Asyncrat
Dllsearchorder_hijacking_technique
Polyglot_technique
Polyglot_ransomware
Dll_sideloading_technique
Amsi_bypass_technique
Process_injection_technique
Spear-phishing_technique
Medusalocker
Victims:
Indian users
Industry:
Government, Financial
Geo:
India, Indian
TTPs:
Tactics: 8
Technics: 19
IOCs:
File: 10
Domain: 7
Url: 6
IP: 1
Hash: 10
Path: 3
Soft:
Microsoft Edge, Windows Media Player, Windows service, Pastebin, NET Reactor
Algorithms:
aes, xor, base64, aes-256-cbc, pbkdf2, zip, bcrypt, aes-128
Functions:
Start, GetRuntime, GetInterface
Win API:
CreateProcessA, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, CreateProcessW, ShellExecuteW, AmsiOpenSession, VirtualProtect, NtCreateThreadEx
Cyderes
Tax Trap: Fake Indian ITR Notice to Dual RAT Deployment in Six Stages
Howler Cell covers an active malware campaign deploying a six-stage infection chain targeting Indian users through fake Income Tax Department websites.
CTT Report Hub
#ParsedReport #CompletenessHigh 07-07-2026 The Tax Trap: From Fake Indian ITR Notice to Dual RAT Deployment in Six Stages https://www.cyderes.com/howler-cell/fake-indian-itr-notice-dual-rat-deployment Report completeness: High Threats: Gh0st_rat Quasar_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Преступная хакерская кампания, нацеленная на пользователей Индии, использует тактики социальной инженерии через мошеннические веб-сайты, маскирующиеся под Департамент подоходного налога Индии. Она применяет шестистадийный процесс заражения, используя подмену порядка поиска DLL в Windows, повышение привилегий и механизмы закрепления через вновь созданную Службу Windows. ВПО развертывает два ПО для удаленного доступа (RAT), работающих в памяти, с продвинутыми техниками для уклонения от обнаружения, такими как манипуляция AMSI и создание полиглотных файлов для обеспечения резервирования в коммуникации управления.
-----
Выявлена недавняя преступная хакерская кампания, которая целенаправленно атакует пользователей Индии через мошеннические веб-сайты, имитирующие Департамент подоходного налога Индии. Кампания использует тактики социальной инженерии, представляя пользователям поддельные уведомления о соблюдении налоговых требований, которые побуждают их загрузить ВПО, замаскированное под легальное программное обеспечение для налоговых утилит. Жертвам доставляется ZIP-архив, содержащий подписанный исполняемый файл и вредоносную DLL, после чего их обманом заставляют выполнить полезную нагрузку.
Процесс заражения включает в себя сложную шестиступенчатую цепочку. Изначально вредоносное ПО использует технику, известную как подмена порядка поиска DLL в Windows, для загрузки вредоносной DLL через легитимный исполняемый файл. После запуска оно инициирует процедуры повышения привилегий и закрепления, создавая новую Службу Windows под названием "MixedSvc". Эта служба гарантирует, что вредоносное ПО остается активным даже после перезагрузки системы.
Суть угрозы заключается в двойном развертывании ПО для удаленного доступа (RAT): производной Gh0st RAT, подключенной к специфическому серверу управления (C2) на порту 6666, и внедрения Quasar/AsyncRAT, подключенного к другому серверу на порту 6351. Обе полезная нагрузка работают исключительно в памяти, что значительно снижает их шансы на обнаружение. Вариант Gh0st RAT способен выполнять такие функции, как захват экрана и операции с файлами, тогда как вариант Quasar/AsyncRAT занимается аналогичными действиями с использованием усиленных методов обфускации.
Ключевым элементом атаки является создание полиглотного файла — файла изображения, который также содержит скрытые вредоносные payloads, — но основной упор делается на поддержание работы через несколько каналов C2. Эта избыточность позволяет злоумышленнику сохранять доступ даже в случае отключения одного из конечных точек C2. Вредоносное ПО демонстрирует продвинутую операционную безопасность с тщательным избеганием стандартных методов обнаружения, включая патчинг интерфейса сканирования антивируса (AMSI) для предотвращения обнаружения вредоносной активности.
С точки зрения стратегий обнаружения защитникам рекомендуется искать несколько индикаторов: случаи загрузки легитимными процессами недоверенных DLL, создание аномальных служб Windows, доказательства вмешательства в AMSI и размещение библиотек CLR в памяти. Опора вредоносного ПО на внедрение вредоносного кода в легитимные процессы, особенно svchost.exe, создает дополнительные трудности для традиционных мер безопасности.
Сложность и изощренность этой кампании подчеркивают необходимость надежных возможностей мониторинга и обнаружения, особенно учитывая ее операционную зрелость, направленную на закрепление и уклонение. Охота на угрозы, сосредоточенная на выявлении необычных паттернов в создании служб и загрузке DLL, может быть существенной для смягчения этой угрозы до того, как она проявится в виде более широких компрометаций системы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Преступная хакерская кампания, нацеленная на пользователей Индии, использует тактики социальной инженерии через мошеннические веб-сайты, маскирующиеся под Департамент подоходного налога Индии. Она применяет шестистадийный процесс заражения, используя подмену порядка поиска DLL в Windows, повышение привилегий и механизмы закрепления через вновь созданную Службу Windows. ВПО развертывает два ПО для удаленного доступа (RAT), работающих в памяти, с продвинутыми техниками для уклонения от обнаружения, такими как манипуляция AMSI и создание полиглотных файлов для обеспечения резервирования в коммуникации управления.
-----
Выявлена недавняя преступная хакерская кампания, которая целенаправленно атакует пользователей Индии через мошеннические веб-сайты, имитирующие Департамент подоходного налога Индии. Кампания использует тактики социальной инженерии, представляя пользователям поддельные уведомления о соблюдении налоговых требований, которые побуждают их загрузить ВПО, замаскированное под легальное программное обеспечение для налоговых утилит. Жертвам доставляется ZIP-архив, содержащий подписанный исполняемый файл и вредоносную DLL, после чего их обманом заставляют выполнить полезную нагрузку.
Процесс заражения включает в себя сложную шестиступенчатую цепочку. Изначально вредоносное ПО использует технику, известную как подмена порядка поиска DLL в Windows, для загрузки вредоносной DLL через легитимный исполняемый файл. После запуска оно инициирует процедуры повышения привилегий и закрепления, создавая новую Службу Windows под названием "MixedSvc". Эта служба гарантирует, что вредоносное ПО остается активным даже после перезагрузки системы.
Суть угрозы заключается в двойном развертывании ПО для удаленного доступа (RAT): производной Gh0st RAT, подключенной к специфическому серверу управления (C2) на порту 6666, и внедрения Quasar/AsyncRAT, подключенного к другому серверу на порту 6351. Обе полезная нагрузка работают исключительно в памяти, что значительно снижает их шансы на обнаружение. Вариант Gh0st RAT способен выполнять такие функции, как захват экрана и операции с файлами, тогда как вариант Quasar/AsyncRAT занимается аналогичными действиями с использованием усиленных методов обфускации.
Ключевым элементом атаки является создание полиглотного файла — файла изображения, который также содержит скрытые вредоносные payloads, — но основной упор делается на поддержание работы через несколько каналов C2. Эта избыточность позволяет злоумышленнику сохранять доступ даже в случае отключения одного из конечных точек C2. Вредоносное ПО демонстрирует продвинутую операционную безопасность с тщательным избеганием стандартных методов обнаружения, включая патчинг интерфейса сканирования антивируса (AMSI) для предотвращения обнаружения вредоносной активности.
С точки зрения стратегий обнаружения защитникам рекомендуется искать несколько индикаторов: случаи загрузки легитимными процессами недоверенных DLL, создание аномальных служб Windows, доказательства вмешательства в AMSI и размещение библиотек CLR в памяти. Опора вредоносного ПО на внедрение вредоносного кода в легитимные процессы, особенно svchost.exe, создает дополнительные трудности для традиционных мер безопасности.
Сложность и изощренность этой кампании подчеркивают необходимость надежных возможностей мониторинга и обнаружения, особенно учитывая ее операционную зрелость, направленную на закрепление и уклонение. Охота на угрозы, сосредоточенная на выявлении необычных паттернов в создании служб и загрузке DLL, может быть существенной для смягчения этой угрозы до того, как она проявится в виде более широких компрометаций системы.
#ParsedReport #CompletenessMedium
07-07-2026
Fake Installers, Fake Reviews, Fake Services - Real Proxies, Real Victims
https://www.infoblox.com/blog/threat-intelligence/fake-installers-fake-reviews-fake-services-real-proxies-real-victims/
Report completeness: Medium
Actors/Campaigns:
Lurking_lizard
Threats:
Residential_proxy_technique
Smartproxy_tool
Victims:
Consumer device users, Proxy services, Virtual private network services, Software download users
Industry:
Financial, E-commerce, Media, Petroleum
Geo:
Chinese, China
ChatGPT TTPs:
T1036, T1071.001, T1090, T1204.002, T1496, T1553.002, T1583.001
IOCs:
Domain: 19
Url: 1
File: 5
Soft:
911Proxy, IPLogger, TikTok, WhatsApp, WireVPN, macOS, Google Play, Android, Kookeey
Algorithms:
exhibit, rdga
Platforms:
apple, intel
07-07-2026
Fake Installers, Fake Reviews, Fake Services - Real Proxies, Real Victims
https://www.infoblox.com/blog/threat-intelligence/fake-installers-fake-reviews-fake-services-real-proxies-real-victims/
Report completeness: Medium
Actors/Campaigns:
Lurking_lizard
Threats:
Residential_proxy_technique
Smartproxy_tool
Victims:
Consumer device users, Proxy services, Virtual private network services, Software download users
Industry:
Financial, E-commerce, Media, Petroleum
Geo:
Chinese, China
ChatGPT TTPs:
do not use without manual checkT1036, T1071.001, T1090, T1204.002, T1496, T1553.002, T1583.001
IOCs:
Domain: 19
Url: 1
File: 5
Soft:
911Proxy, IPLogger, TikTok, WhatsApp, WireVPN, macOS, Google Play, Android, Kookeey
Algorithms:
exhibit, rdga
Platforms:
apple, intel
Infoblox Blog
Proxyware actor behind fake 7-Zip is bigger than you think!
Learn how a threat actor runs an end-to-end residential proxy business using lookalike domains, fake software downloads, and a connection to Chinese IPIDEA.
CTT Report Hub
#ParsedReport #CompletenessMedium 07-07-2026 Fake Installers, Fake Reviews, Fake Services - Real Proxies, Real Victims https://www.infoblox.com/blog/threat-intelligence/fake-installers-fake-reviews-fake-services-real-proxies-real-victims/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Lurking Lizard — это хакерская группировка, которая вербует устройства жертв в вредоносную прокси-сеть, обманом заставляя пользователей загружать троянизированные версии популярных приложений, таких как 7-Zip и VPN-сервисы, с доменов-двойников. ВПО, характеризующееся жёстко закодированным URL-адресом IPLogger, собирает метаданные, поддерживая постоянные соединения, что указывает на структурированную операцию с более чем 230 связанными доменами, вероятно, связанную с акторами, базирующимися в Китае. Недавние адаптации демонстрируют ВПО, брендированное как WireVPN, функционирующее как распределённая прокси-сеть, что подчёркивает сложный подход к эксплуатации скомпрометированных устройств.
-----
В статье подробно рассматриваются операции хакерской группировки Lurking Lizard, которая организует вредоносный прокси-бизнес путем вербовки устройств жертв. Основной метод работы заключается в обмане пользователей с целью заставить их загрузить модифицированное программное обеспечение, главным образом под видом популярных приложений, таких как архиватор 7-Zip. ВПО распространяется с доменов-двойников, таких как 7zip.com, который маскируется под легитимный домен 7-zip.org, в конечном итоге регистрируя зараженные устройства в качестве прокси-узлов для услуг домашнего прокси, которые сдаются в аренду.
Активность Lurking Lizard характеризуется использованием троянизированного программного обеспечения, которое обеспечивает достаточную функциональность для предотвращения удаления вредоносного ПО пользователями. Помимо приложения 7-Zip, актор имперсонировал различные VPN-сервисы и поддерживал портфолио общих доменов загрузки, что способствовало формированию сложной сети резидентных прокси-серверов. Было выявлено более 230 доменов, потенциально связанных с Lurking Lizard, что указывает на структурированную и устойчивую злонамеренную деятельность, а не на изолированные инциденты распространения вредоносного ПО. Данные регистрации указывают на вероятное происхождение из Китая, при этом несколько доменов, связанных с фиктивными регистрантами, по-видимому, предназначены для сокрытия истинной личности актора.
Критическим механизмом, выявленным в образцах вредоносного ПО, является интеграция жёстко закодированного URL-адреса IPLogger, что позволяет актору собирать метаданные посетителей и фиксировать IP-адреса. Эта инфраструктура связывает различные кампании вредоносного ПО, восходящие к 2022 году, включая альтернативные полезную нагрузку, которые эксплуатируют различные функции, такие как загрузка видео. Постоянные паттерны в развёртывании, структура API и бэкенд-инфраструктура укрепляют вывод о том, что Lurking Lizard управляет сложной сущностью, а не случайными инцидентами вредоносного ПО.
Кроме того, недавние адаптации кампаний Lurking Lizard привели к тому, что их ВПО стало называться WireVPN. Образцы ВПО демонстрируют последовательную структуру по сравнению с предыдущими угрозами, показывая трансформацию при сохранении основных компонентов и взаимодействии с привычной инфраструктурой. В отличие от традиционных VPN-сервисов, WireVPN, по-видимому, устанавливает множество одновременных соединений и может функционировать как распределенная прокси-сеть, а не просто предоставлять инструменты конфиденциальности. Такое поведение указывает на то, что скомпрометированные устройства работают как выходные узлы для трафика, что подтверждает наличие злонамеренных намерений.
В заключение, Lurking Lizard организует сложную экосистему, предназначенную для вербовки устройств с помощью обманного программного обеспечения, что в итоге приводит к созданию обширной сети резидентных прокси-серверов, продаваемых под поддельными торговыми марками сервисов. Операционная модель отражает значительные параллели с более широкими тенденциями в сфере ВПО, где согласие пользователей систематически игнорируется при получении ресурсов, что перекликается с практиками, характерными для мошеннических схем в партнерской рекламе.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Lurking Lizard — это хакерская группировка, которая вербует устройства жертв в вредоносную прокси-сеть, обманом заставляя пользователей загружать троянизированные версии популярных приложений, таких как 7-Zip и VPN-сервисы, с доменов-двойников. ВПО, характеризующееся жёстко закодированным URL-адресом IPLogger, собирает метаданные, поддерживая постоянные соединения, что указывает на структурированную операцию с более чем 230 связанными доменами, вероятно, связанную с акторами, базирующимися в Китае. Недавние адаптации демонстрируют ВПО, брендированное как WireVPN, функционирующее как распределённая прокси-сеть, что подчёркивает сложный подход к эксплуатации скомпрометированных устройств.
-----
В статье подробно рассматриваются операции хакерской группировки Lurking Lizard, которая организует вредоносный прокси-бизнес путем вербовки устройств жертв. Основной метод работы заключается в обмане пользователей с целью заставить их загрузить модифицированное программное обеспечение, главным образом под видом популярных приложений, таких как архиватор 7-Zip. ВПО распространяется с доменов-двойников, таких как 7zip.com, который маскируется под легитимный домен 7-zip.org, в конечном итоге регистрируя зараженные устройства в качестве прокси-узлов для услуг домашнего прокси, которые сдаются в аренду.
Активность Lurking Lizard характеризуется использованием троянизированного программного обеспечения, которое обеспечивает достаточную функциональность для предотвращения удаления вредоносного ПО пользователями. Помимо приложения 7-Zip, актор имперсонировал различные VPN-сервисы и поддерживал портфолио общих доменов загрузки, что способствовало формированию сложной сети резидентных прокси-серверов. Было выявлено более 230 доменов, потенциально связанных с Lurking Lizard, что указывает на структурированную и устойчивую злонамеренную деятельность, а не на изолированные инциденты распространения вредоносного ПО. Данные регистрации указывают на вероятное происхождение из Китая, при этом несколько доменов, связанных с фиктивными регистрантами, по-видимому, предназначены для сокрытия истинной личности актора.
Критическим механизмом, выявленным в образцах вредоносного ПО, является интеграция жёстко закодированного URL-адреса IPLogger, что позволяет актору собирать метаданные посетителей и фиксировать IP-адреса. Эта инфраструктура связывает различные кампании вредоносного ПО, восходящие к 2022 году, включая альтернативные полезную нагрузку, которые эксплуатируют различные функции, такие как загрузка видео. Постоянные паттерны в развёртывании, структура API и бэкенд-инфраструктура укрепляют вывод о том, что Lurking Lizard управляет сложной сущностью, а не случайными инцидентами вредоносного ПО.
Кроме того, недавние адаптации кампаний Lurking Lizard привели к тому, что их ВПО стало называться WireVPN. Образцы ВПО демонстрируют последовательную структуру по сравнению с предыдущими угрозами, показывая трансформацию при сохранении основных компонентов и взаимодействии с привычной инфраструктурой. В отличие от традиционных VPN-сервисов, WireVPN, по-видимому, устанавливает множество одновременных соединений и может функционировать как распределенная прокси-сеть, а не просто предоставлять инструменты конфиденциальности. Такое поведение указывает на то, что скомпрометированные устройства работают как выходные узлы для трафика, что подтверждает наличие злонамеренных намерений.
В заключение, Lurking Lizard организует сложную экосистему, предназначенную для вербовки устройств с помощью обманного программного обеспечения, что в итоге приводит к созданию обширной сети резидентных прокси-серверов, продаваемых под поддельными торговыми марками сервисов. Операционная модель отражает значительные параллели с более широкими тенденциями в сфере ВПО, где согласие пользователей систематически игнорируется при получении ресурсов, что перекликается с практиками, характерными для мошеннических схем в партнерской рекламе.
#ParsedReport #CompletenessHigh
07-07-2026
From Invoice to AnyDesk: Uncovering a Phishing Campaign Targeting Russian Aerospace Organizations
https://www.seqrite.com/blog/from-invoice-to-anydesk-uncovering-a-phishing-campaign-targeting-russian-aerospace-organizations/
Report completeness: High
Actors/Campaigns:
Librarian_ghouls
Threats:
Anydesk_tool
Spear-phishing_technique
Lolbin_technique
Xmrig_miner
Smart_install_maker_tool
Victims:
Aerospace organizations, Electronics sector, Industrial enterprises, Manufacturing companies, Engineering institutions, Aerospace and aviation organizations, Rocket and space research entities, Petrochemical facilities
Industry:
Aerospace, Government
Geo:
Russia, Belarus, Kazakhstan, Russian
TTPs:
Tactics: 6
Technics: 15
IOCs:
Domain: 5
File: 14
Path: 1
Hash: 4
IP: 4
Soft:
WinRAR, curl
Algorithms:
exhibit
Languages:
powershell, delphi, pascal
07-07-2026
From Invoice to AnyDesk: Uncovering a Phishing Campaign Targeting Russian Aerospace Organizations
https://www.seqrite.com/blog/from-invoice-to-anydesk-uncovering-a-phishing-campaign-targeting-russian-aerospace-organizations/
Report completeness: High
Actors/Campaigns:
Librarian_ghouls
Threats:
Anydesk_tool
Spear-phishing_technique
Lolbin_technique
Xmrig_miner
Smart_install_maker_tool
Victims:
Aerospace organizations, Electronics sector, Industrial enterprises, Manufacturing companies, Engineering institutions, Aerospace and aviation organizations, Rocket and space research entities, Petrochemical facilities
Industry:
Aerospace, Government
Geo:
Russia, Belarus, Kazakhstan, Russian
TTPs:
Tactics: 6
Technics: 15
IOCs:
Domain: 5
File: 14
Path: 1
Hash: 4
IP: 4
Soft:
WinRAR, curl
Algorithms:
exhibit
Languages:
powershell, delphi, pascal
Seqrite Labs
From Invoice to AnyDesk: Uncovering a Phishing Campaign Targeting Russian Aerospace Organizations
<p>Table of Contents Introduction Infection Chain Technical Analysis Conclusion Seqrite Coverage Indicators of Compromise (IOCs) MITRE ATT&CK Mapping Introduction The Seqrite Threat Research Team identified a targeted spear-phishing campaign disguised…
CTT Report Hub
#ParsedReport #CompletenessHigh 07-07-2026 From Invoice to AnyDesk: Uncovering a Phishing Campaign Targeting Russian Aerospace Organizations https://www.seqrite.com/blog/from-invoice-to-anydesk-uncovering-a-phishing-campaign-targeting-russian-aerospace-organizations/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Выявлена кампания целевого фишинга, направленная против российских аэрокосмических организаций, в рамках которой используются письма, имитирующие легитимные счета-фактуры, для доставки защищенных паролем вложений, предназначенных для установки вредоносных компонентов, включая AnyDesk для удаленного доступа. За этими сложными атаками стоит злоумышленник Rare Werewolf, использующий методы, позволяющие обойти меры безопасности за счет взаимодействия с пользователем, а также легитимное программное обеспечение для минимизации обнаружения. Такой подход указывает на непрерывную эволюцию их тактик при сохранении постоянного доступа к скомпрометированным системам.
-----
Команда Seqrite Threat Research выявила кампанию целевого фишинга, направленную специально на российские аэрокосмические организации через письма, имитирующие легитимные бизнес-счета. Эти фишинговые письма используют поддельные домены для имперсонации устоявшихся организаций, таких как Федеральное бюджетное учреждение ВНИИР, и содержат защищенный паролем вложение с вредоносными компонентами, направленными на получение постоянного удаленного доступа. Кампания соответствует ранее задокументированным действиям злоумышленника Rare Werewolf, известного своей нацеленностью на промышленные секторы в России, Беларуси и Казахстане.
Начальная компрометация начинается с письма, содержащего архив под паролем с именем "счет на оплату.rar", который служит для обхода мер безопасности электронной почты, требуя взаимодействия пользователя для его открытия с использованием предоставленного пароля. Этот метод часто используется для избежания обнаружения сканирующими инструментами. После выполнения вложения он использует коммерческий установщик Smart Install Maker для развертывания нескольких компонентов, включая портативную версию AnyDesk, легитимного приложения удаленного рабочего стола, и других утилит, таких как Blat для SMTP-коммуникации, что позволяет осуществлять эксфильтрацию данных.
После запуска дроппер не только открывает поддельный PDF-файл, но и извлекает файлы во временную директорию, а также инициирует связь с сервером управления (C2) для загрузки дополнительного вредоносного контента. Выполняемый файл также настраивает AnyDesk для неавтоматизированного доступа, используя командную строку для установки заранее определенного пароля, что позволяет злоумышленнику проводить удаленные операции без ведома жертвы. После настройки эта конфигурация обеспечивает эксфильтрацию данных конфигурации AnyDesk на электронную почту, контролируемую злоумышленником, предоставляя противникам необходимые учетные данные и позволяя сохранять постоянный доступ к скомпрометированной системе.
Использование кампанией тактик living-off-the-land подразумевает использование легитимного программного обеспечения для маскировки под стандартные системные операции, тем самым минимизируя следы криминалистический анализ и усложняя обнаружение. Для сокрытия вредоносных действий применяются такие инструменты, как Blat и модифицированные версии WinRAR, а активность демонстрирует устойчивую закономерность, указывающую на текущую оперативную стратегию, а не на изолированные атаки. Устоявшаяся методология, наряду с различными проанализированными образцами, указывает на то, что Rare Werewolf активно обновляет свои тактики, сохраняя при этом основные аспекты своего подхода.
В целом, анализ демонстрирует сложную фишинг-кампанию, нацеленную на стратегические секторы в России, характеризующуюся скрытыми методами удаленного доступа и опорой на легитимные приложения для поддержания низкого профиля. Эта тенденция подчеркивает важность бдительности и надежных мер безопасности перед лицом эволюционирующих тактик киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Выявлена кампания целевого фишинга, направленная против российских аэрокосмических организаций, в рамках которой используются письма, имитирующие легитимные счета-фактуры, для доставки защищенных паролем вложений, предназначенных для установки вредоносных компонентов, включая AnyDesk для удаленного доступа. За этими сложными атаками стоит злоумышленник Rare Werewolf, использующий методы, позволяющие обойти меры безопасности за счет взаимодействия с пользователем, а также легитимное программное обеспечение для минимизации обнаружения. Такой подход указывает на непрерывную эволюцию их тактик при сохранении постоянного доступа к скомпрометированным системам.
-----
Команда Seqrite Threat Research выявила кампанию целевого фишинга, направленную специально на российские аэрокосмические организации через письма, имитирующие легитимные бизнес-счета. Эти фишинговые письма используют поддельные домены для имперсонации устоявшихся организаций, таких как Федеральное бюджетное учреждение ВНИИР, и содержат защищенный паролем вложение с вредоносными компонентами, направленными на получение постоянного удаленного доступа. Кампания соответствует ранее задокументированным действиям злоумышленника Rare Werewolf, известного своей нацеленностью на промышленные секторы в России, Беларуси и Казахстане.
Начальная компрометация начинается с письма, содержащего архив под паролем с именем "счет на оплату.rar", который служит для обхода мер безопасности электронной почты, требуя взаимодействия пользователя для его открытия с использованием предоставленного пароля. Этот метод часто используется для избежания обнаружения сканирующими инструментами. После выполнения вложения он использует коммерческий установщик Smart Install Maker для развертывания нескольких компонентов, включая портативную версию AnyDesk, легитимного приложения удаленного рабочего стола, и других утилит, таких как Blat для SMTP-коммуникации, что позволяет осуществлять эксфильтрацию данных.
После запуска дроппер не только открывает поддельный PDF-файл, но и извлекает файлы во временную директорию, а также инициирует связь с сервером управления (C2) для загрузки дополнительного вредоносного контента. Выполняемый файл также настраивает AnyDesk для неавтоматизированного доступа, используя командную строку для установки заранее определенного пароля, что позволяет злоумышленнику проводить удаленные операции без ведома жертвы. После настройки эта конфигурация обеспечивает эксфильтрацию данных конфигурации AnyDesk на электронную почту, контролируемую злоумышленником, предоставляя противникам необходимые учетные данные и позволяя сохранять постоянный доступ к скомпрометированной системе.
Использование кампанией тактик living-off-the-land подразумевает использование легитимного программного обеспечения для маскировки под стандартные системные операции, тем самым минимизируя следы криминалистический анализ и усложняя обнаружение. Для сокрытия вредоносных действий применяются такие инструменты, как Blat и модифицированные версии WinRAR, а активность демонстрирует устойчивую закономерность, указывающую на текущую оперативную стратегию, а не на изолированные атаки. Устоявшаяся методология, наряду с различными проанализированными образцами, указывает на то, что Rare Werewolf активно обновляет свои тактики, сохраняя при этом основные аспекты своего подхода.
В целом, анализ демонстрирует сложную фишинг-кампанию, нацеленную на стратегические секторы в России, характеризующуюся скрытыми методами удаленного доступа и опорой на легитимные приложения для поддержания низкого профиля. Эта тенденция подчеркивает важность бдительности и надежных мер безопасности перед лицом эволюционирующих тактик киберугроз.
#ParsedReport #CompletenessHigh
07-07-2026
Cavern Manticore: Exposing Iran-Linked Modular C2 Framework
https://research.checkpoint.com/2026/cavern-manticore-exposing-iran-linked-modular-c2-framework/
Report completeness: High
Actors/Campaigns:
Cavern_manticore
Muddywater
Siamesekitten
Oilrig
Threats:
Cav3rn
Dll_sideloading_technique
Sysaid_tool
Steganography_technique
Supply_chain_technique
Lolbin_technique
Victims:
Government, Information technology, Defense, Israel
Industry:
Government, Military
Geo:
Israeli, Israel, Iran, Iranian
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1001, T1001.002, T1036.005, T1046, T1070.004, T1071.001, T1083, T1090, T1105, T1110, have more...
IOCs:
Path: 2
File: 26
Domain: 5
Url: 3
Hash: 14
Soft:
NET Framework, Microsoft Edge, ASP.NET, Active Directory
Wallets:
harmony_wallet
Algorithms:
gzip, base32, zip, base64, xor
Functions:
GetMembers
Win API:
NetShareEnum, NetLocalGroupGetMembers, EnableThemeDialogTexture, nableThemeDialogTexture ex, LoadLibraryA, GetProcAddress, getVersion, LDAP_SEARCH, decompress, CryptDecrypt, have more...
Platforms:
x64
Links:
have more...
07-07-2026
Cavern Manticore: Exposing Iran-Linked Modular C2 Framework
https://research.checkpoint.com/2026/cavern-manticore-exposing-iran-linked-modular-c2-framework/
Report completeness: High
Actors/Campaigns:
Cavern_manticore
Muddywater
Siamesekitten
Oilrig
Threats:
Cav3rn
Dll_sideloading_technique
Sysaid_tool
Steganography_technique
Supply_chain_technique
Lolbin_technique
Victims:
Government, Information technology, Defense, Israel
Industry:
Government, Military
Geo:
Israeli, Israel, Iran, Iranian
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1001, T1001.002, T1036.005, T1046, T1070.004, T1071.001, T1083, T1090, T1105, T1110, have more...
IOCs:
Path: 2
File: 26
Domain: 5
Url: 3
Hash: 14
Soft:
NET Framework, Microsoft Edge, ASP.NET, Active Directory
Wallets:
harmony_wallet
Algorithms:
gzip, base32, zip, base64, xor
Functions:
GetMembers
Win API:
NetShareEnum, NetLocalGroupGetMembers, EnableThemeDialogTexture, nableThemeDialogTexture ex, LoadLibraryA, GetProcAddress, getVersion, LDAP_SEARCH, decompress, CryptDecrypt, have more...
Platforms:
x64
Links:
have more...
https://github.com/dnSpyEx/dnSpyhttps://github.com/icsharpcode/ilspyhttps://github.com/washi1337/ghidra-nativeaotCheck Point Research
Cavern Manticore: Exposing Iran-Linked Modular C2 Framework - Check Point Research
Key Points Introduction Since early 2026, Check Point Research (CPR) has tracked a new modular command-and-control framework used by Cavern Manticore, an Iran-nexus APT group primarily targeting Israeli organizations, with a focus on IT providers, and government…
CTT Report Hub
#ParsedReport #CompletenessHigh 07-07-2026 Cavern Manticore: Exposing Iran-Linked Modular C2 Framework https://research.checkpoint.com/2026/cavern-manticore-exposing-iran-linked-modular-c2-framework/ Report completeness: High Actors/Campaigns: Cavern_manticore…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Cavern Manticore, хакерская группировка, связанная с Ираном, атакует израильские организации, используя модульный фреймворк управления, построенный на технологии .NET, аналогичный другим иранским группировкам. Актор применяет три уникальных бинарных формата для обфускации и использует программное обеспечение RMM для первоначального доступа, наряду с продвинутыми техниками управления, такими как XOR и кодирование Base64, для уклонения от обнаружения. Ключевые возможности включают независимые операции модулей для разведки и туннелирования данных, что усиливает сложность их тактик, сосредоточенных на эксплуатации уязвимостей в Цепочке поставок.
-----
Cavern Manticore — это связанная с Ираном хакерская группировка, нацеленная на израильские организации, особенно в государственном и ИТ-секторах. Её операции включают сложный модульный фреймворк управления (управление), использующий технологию .NET, который тесно напоминает других иранских акторов, связанных с MOIS, таких как MuddyWater и Lyceum. Архитектура фреймворка состоит из агентов и модулей Cavern, предназначенных для различных действий после эксплуатации, таких как разведка, взаимодействие с файловой системой, просмотр баз данных, запросы LDAP и туннелирование данных.
Реализация Cavern Manticore использует уникальные форматы компиляции в своих компонентах .NET, что помогает маскировать ВПО от статического анализа. В частности, фреймворк применяет три различных бинарных формата: .NET Framework, смешанный режим C++/CLI и .NET Native AOT. Этот стратегический выбор усложняет усилия по реверс-инжинирингу, поскольку каждый формат требует различных инструментов и методологий анализа. Модули спроектированы для работы независимо, предоставляя адаптированные возможности в зависимости от среды жертвы, одновременно обеспечивая снижение видимости для защитников.
Первоначальный доступ к сетям жертв обычно осуществляется путем эксплуатации существующего программного обеспечения для удаленного мониторинга и управления (Remote Monitoring and Management, RMM), что подчеркивает оперативный фокус актора на уязвимостях в Цепочке поставок. Связь через C2 демонстрирует продвинутые техники, такие как кодирование XOR и Base64, для маскировки трафика, а также специфические строки user-agent для уклонения от обнаружения. Примечательно, что каждый функциональный модуль разработан для бесшовной замены или обновления через механизм самовыполняемых команд, что позволяет злоумышленнику поддерживать постоянный доступ и функциональность с течением времени.
Кроме того, Cavern Manticore использует изоляцию AppDomain для усиления антикриминалистических возможностей ВПО. Этот метод обеспечивает чистое удаление модулей из памяти после выполнения, тем самым оставляя минимальные артефакты для криминалистического анализа. Модульность и адаптивность системы указывают на высокий оперативный темп и стратегический подход к выбору целей, что подтверждается способностью актора перемещаться по цепочкам доверенных ИТ-поставщиков для достижения высокоценных целей.
Использование модулей, созданных специально для различных задач, таких как разведка LDAP и сканирование сети, демонстрирует хорошо интегрированный набор инструментов, разработанный для сложных операционных требований. С четким акцентом на эксплуатацию доверенных отношений доступа, Cavern Manticore подчеркивает необходимость для организаций укреплять свою защиту от несанкционированного использования легитимных административных инструментов, особенно в сочетании с решениями RMM, чтобы снизить риски, связанные с перемещением внутри компании и эксфильтрацией данных.
В заключение, эволюционирующие тактики и технологии, применяемые группировкой Cavern Manticore, подтверждают необходимость кибербезопасных стратегий, выходящих за рамки статических индикаторов компрометации, и призывают к более глубокому фокусу на поведенческих паттернах, манипуляциях с инфраструктурой и эксплуатации административных каналов в защите от сложных киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Cavern Manticore, хакерская группировка, связанная с Ираном, атакует израильские организации, используя модульный фреймворк управления, построенный на технологии .NET, аналогичный другим иранским группировкам. Актор применяет три уникальных бинарных формата для обфускации и использует программное обеспечение RMM для первоначального доступа, наряду с продвинутыми техниками управления, такими как XOR и кодирование Base64, для уклонения от обнаружения. Ключевые возможности включают независимые операции модулей для разведки и туннелирования данных, что усиливает сложность их тактик, сосредоточенных на эксплуатации уязвимостей в Цепочке поставок.
-----
Cavern Manticore — это связанная с Ираном хакерская группировка, нацеленная на израильские организации, особенно в государственном и ИТ-секторах. Её операции включают сложный модульный фреймворк управления (управление), использующий технологию .NET, который тесно напоминает других иранских акторов, связанных с MOIS, таких как MuddyWater и Lyceum. Архитектура фреймворка состоит из агентов и модулей Cavern, предназначенных для различных действий после эксплуатации, таких как разведка, взаимодействие с файловой системой, просмотр баз данных, запросы LDAP и туннелирование данных.
Реализация Cavern Manticore использует уникальные форматы компиляции в своих компонентах .NET, что помогает маскировать ВПО от статического анализа. В частности, фреймворк применяет три различных бинарных формата: .NET Framework, смешанный режим C++/CLI и .NET Native AOT. Этот стратегический выбор усложняет усилия по реверс-инжинирингу, поскольку каждый формат требует различных инструментов и методологий анализа. Модули спроектированы для работы независимо, предоставляя адаптированные возможности в зависимости от среды жертвы, одновременно обеспечивая снижение видимости для защитников.
Первоначальный доступ к сетям жертв обычно осуществляется путем эксплуатации существующего программного обеспечения для удаленного мониторинга и управления (Remote Monitoring and Management, RMM), что подчеркивает оперативный фокус актора на уязвимостях в Цепочке поставок. Связь через C2 демонстрирует продвинутые техники, такие как кодирование XOR и Base64, для маскировки трафика, а также специфические строки user-agent для уклонения от обнаружения. Примечательно, что каждый функциональный модуль разработан для бесшовной замены или обновления через механизм самовыполняемых команд, что позволяет злоумышленнику поддерживать постоянный доступ и функциональность с течением времени.
Кроме того, Cavern Manticore использует изоляцию AppDomain для усиления антикриминалистических возможностей ВПО. Этот метод обеспечивает чистое удаление модулей из памяти после выполнения, тем самым оставляя минимальные артефакты для криминалистического анализа. Модульность и адаптивность системы указывают на высокий оперативный темп и стратегический подход к выбору целей, что подтверждается способностью актора перемещаться по цепочкам доверенных ИТ-поставщиков для достижения высокоценных целей.
Использование модулей, созданных специально для различных задач, таких как разведка LDAP и сканирование сети, демонстрирует хорошо интегрированный набор инструментов, разработанный для сложных операционных требований. С четким акцентом на эксплуатацию доверенных отношений доступа, Cavern Manticore подчеркивает необходимость для организаций укреплять свою защиту от несанкционированного использования легитимных административных инструментов, особенно в сочетании с решениями RMM, чтобы снизить риски, связанные с перемещением внутри компании и эксфильтрацией данных.
В заключение, эволюционирующие тактики и технологии, применяемые группировкой Cavern Manticore, подтверждают необходимость кибербезопасных стратегий, выходящих за рамки статических индикаторов компрометации, и призывают к более глубокому фокусу на поведенческих паттернах, манипуляциях с инфраструктурой и эксплуатации административных каналов в защите от сложных киберугроз.
#ParsedReport #CompletenessHigh
07-07-2026
Don’t Eat The ChocoPoCs! How Vulnerability Researchers Were Repeatedly Targeted By Trojanised Exploits
https://www.sekoia.com/blog/dont-eat-the-chocopocs-how-vulnerability-researchers-were-repeatedly-targeted-by-trojanised-exploits
Report completeness: High
Threats:
Chocopoc
React2shell_vuln
Nuclei_tool
Timestomp_technique
Dead_drop_technique
Supply_chain_technique
Copyfail_vuln
Victims:
Vulnerability researchers, Penetration testers, Vulnerability scanning vendors, Offensive security tooling, Developer environments
Geo:
Indonesian, Chinese, Spanish, Turkish
CVEs:
CVE-2026-48908 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ollyo sp_page_builder (<6.6.2)
CVE-2025-64446 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (<7.0.12, <7.2.12, <7.4.10, <7.6.5, <8.0.2)
CVE-2026-50751 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint gaia_os (<r81.20, r82, r82.10)
CVE-2025-14847 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mongodb (<4.4.30, <5.0.32, <6.0.27, <7.0.28, <8.0.17)
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
CVE-2026-0257 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.7, 10.2.8, 10.2.9, 10.2.10, 10.2.11)
CVE-2026-10520 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti standalone_sentry (<10.5.2, <10.6.2, 10.7.0)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1005, T1016, T1027, T1027.007, T1041, T1057, T1059, T1059.006, T1070.006, T1071.001, have more...
IOCs:
File: 23
Domain: 3
Url: 11
Email: 1
Hash: 5
Soft:
Ivanti Sentry, Joomla, Linux, Google Chrome, Microsoft Edge, Mozilla Firefox, PAN-OS, Langflow
Algorithms:
base36, base64, xor, exhibit, hmac
Functions:
exec
Win API:
LoadLibrary, CheckRemoteDebuggerPresent, GetThreadContext, ContextFlags, PY
Languages:
python
Links:
have more...
07-07-2026
Don’t Eat The ChocoPoCs! How Vulnerability Researchers Were Repeatedly Targeted By Trojanised Exploits
https://www.sekoia.com/blog/dont-eat-the-chocopocs-how-vulnerability-researchers-were-repeatedly-targeted-by-trojanised-exploits
Report completeness: High
Threats:
Chocopoc
React2shell_vuln
Nuclei_tool
Timestomp_technique
Dead_drop_technique
Supply_chain_technique
Copyfail_vuln
Victims:
Vulnerability researchers, Penetration testers, Vulnerability scanning vendors, Offensive security tooling, Developer environments
Geo:
Indonesian, Chinese, Spanish, Turkish
CVEs:
CVE-2026-48908 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ollyo sp_page_builder (<6.6.2)
CVE-2025-64446 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (<7.0.12, <7.2.12, <7.4.10, <7.6.5, <8.0.2)
CVE-2026-50751 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint gaia_os (<r81.20, r82, r82.10)
CVE-2025-14847 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mongodb (<4.4.30, <5.0.32, <6.0.27, <7.0.28, <8.0.17)
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
CVE-2026-0257 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.7, 10.2.8, 10.2.9, 10.2.10, 10.2.11)
CVE-2026-10520 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti standalone_sentry (<10.5.2, <10.6.2, 10.7.0)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1016, T1027, T1027.007, T1041, T1057, T1059, T1059.006, T1070.006, T1071.001, have more...
IOCs:
File: 23
Domain: 3
Url: 11
Email: 1
Hash: 5
Soft:
Ivanti Sentry, Joomla, Linux, Google Chrome, Microsoft Edge, Mozilla Firefox, PAN-OS, Langflow
Algorithms:
base36, base64, xor, exhibit, hmac
Functions:
exec
Win API:
LoadLibrary, CheckRemoteDebuggerPresent, GetThreadContext, ContextFlags, PY
Languages:
python
Links:
https://github.com/ogenich/CVE-2026-48908have more...
https://github.com/projectdiscovery/nuclei-templateshttps://github.com/bolubey/CVE-2026-0257Sekoia
Don’t eat the ChocoPoCs! How vulnerability researchers were repeatedly targeted by trojanised exploits
This article details a campaign targeting vulnerability researchers with "ChocoPoC" malware embedded inside trojanised Python dependencies. Exploiting the pressure to quickly test new vulnerabilities, threat actors distribute a persistent Remote Access Trojan…
CTT Report Hub
#ParsedReport #CompletenessHigh 07-07-2026 Don’t Eat The ChocoPoCs! How Vulnerability Researchers Were Repeatedly Targeted By Trojanised Exploits https://www.sekoia.com/blog/dont-eat-the-chocopocs-how-vulnerability-researchers-were-repeatedly-targeted-by…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние атаки на цепочку поставок нацелены на исследователей уязвимостей с использованием сложного ВПО под названием ChocoPoC, представляющего собой RAT на базе Python, который похищает конфиденциальные данные и выполняет команды. Атака использует путаницу зависимостей через вредоносный пакет, который устанавливает троянизированную библиотеку, запуская цепочку ВПО, скрывающую свою C2-коммуникацию с помощью техник Домен-прикрытие. Эти атаки демонстрируют эксплуатацию ресурсов сообщества, при этом задействовано несколько репозиториев, что указывает на кампанию скоординированного злоумышленника, направленную на кражу учетных данных и конфиденциальной информации.
-----
Атаки на цепочку поставок нацелены на исследователей уязвимостей с использованием троянизированных эксплойтов Proof-of-Concept (PoC).
Вредоносное ПО, названное ChocoPoC, представляет собой Python Троянскую программу (RAT), предназначенную для эксфильтрации данных, выполнения команд и сбора учетных данных.
Атаки эксплуатируют чувство срочности, связанное с тем, что исследователи разрабатывают механизмы обнаружения для недавно раскрытых уязвимостей, таких как React2Shell (CVE-2025-55182), FortiWeb (CVE-2025-64446) и Ivanti Sentry (CVE-2026-10520).
Злоумышленники используют репозитории GitHub для распространения скомпрометированных PoC.
Механизм заражения использует тактику путаницы зависимостей, связанную с вредоносным пакетом Python под названием `frint`, который зависит от пакета `skytext`.
При выполнении PoC устанавливает зависимости, загружая троянизированную библиотеку, которая расшифровывает скрипты и загружает второй этап полезной нагрузки из скомпрометированного API.
ChocoPoC устанавливает необходимые пакеты, выполняет скомпрометированную библиотеку и взаимодействует с инфраструктурой C2 через наборы данных Mapbox.
Техники Домен-прикрытие используются для маскировки трафика C2, усложняя обнаружение.
ВПО нацелено на учетные данные браузеров, сканирует наличие конфиденциальных файлов и выполняет произвольные команды.
ChocoPoC использует закрепление путем размещения троянизированных файлов в каталоге site-packages Python и применяет timestomping для уклонения от обнаружения.
RAT может отвечать атакующему на основе структуры опроса и настраивать частоту связи с сервером C2.
Выполняемые RAT команды включают системную разведку, динамическое выполнение кода и сбор учетных записей.
Выявлено как минимум семь репозиториев с Proof-of-Concept (PoC), содержащих схожие цепочки заражения, что указывает на скоординированную атаку со стороны одного злоумышленника.
Эта стратегия атаки указывает на сдвиг в поведении злоумышленников, эксплуатирующих среду разработки, в результате чего исследователи уязвимостей становятся ключевыми целями.
Существует острая необходимость в улучшении практик безопасности среди специалистов по кибербезопасности при выполнении ненадежного кода для предотвращения продвинутых угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние атаки на цепочку поставок нацелены на исследователей уязвимостей с использованием сложного ВПО под названием ChocoPoC, представляющего собой RAT на базе Python, который похищает конфиденциальные данные и выполняет команды. Атака использует путаницу зависимостей через вредоносный пакет, который устанавливает троянизированную библиотеку, запуская цепочку ВПО, скрывающую свою C2-коммуникацию с помощью техник Домен-прикрытие. Эти атаки демонстрируют эксплуатацию ресурсов сообщества, при этом задействовано несколько репозиториев, что указывает на кампанию скоординированного злоумышленника, направленную на кражу учетных данных и конфиденциальной информации.
-----
Атаки на цепочку поставок нацелены на исследователей уязвимостей с использованием троянизированных эксплойтов Proof-of-Concept (PoC).
Вредоносное ПО, названное ChocoPoC, представляет собой Python Троянскую программу (RAT), предназначенную для эксфильтрации данных, выполнения команд и сбора учетных данных.
Атаки эксплуатируют чувство срочности, связанное с тем, что исследователи разрабатывают механизмы обнаружения для недавно раскрытых уязвимостей, таких как React2Shell (CVE-2025-55182), FortiWeb (CVE-2025-64446) и Ivanti Sentry (CVE-2026-10520).
Злоумышленники используют репозитории GitHub для распространения скомпрометированных PoC.
Механизм заражения использует тактику путаницы зависимостей, связанную с вредоносным пакетом Python под названием `frint`, который зависит от пакета `skytext`.
При выполнении PoC устанавливает зависимости, загружая троянизированную библиотеку, которая расшифровывает скрипты и загружает второй этап полезной нагрузки из скомпрометированного API.
ChocoPoC устанавливает необходимые пакеты, выполняет скомпрометированную библиотеку и взаимодействует с инфраструктурой C2 через наборы данных Mapbox.
Техники Домен-прикрытие используются для маскировки трафика C2, усложняя обнаружение.
ВПО нацелено на учетные данные браузеров, сканирует наличие конфиденциальных файлов и выполняет произвольные команды.
ChocoPoC использует закрепление путем размещения троянизированных файлов в каталоге site-packages Python и применяет timestomping для уклонения от обнаружения.
RAT может отвечать атакующему на основе структуры опроса и настраивать частоту связи с сервером C2.
Выполняемые RAT команды включают системную разведку, динамическое выполнение кода и сбор учетных записей.
Выявлено как минимум семь репозиториев с Proof-of-Concept (PoC), содержащих схожие цепочки заражения, что указывает на скоординированную атаку со стороны одного злоумышленника.
Эта стратегия атаки указывает на сдвиг в поведении злоумышленников, эксплуатирующих среду разработки, в результате чего исследователи уязвимостей становятся ключевыми целями.
Существует острая необходимость в улучшении практик безопасности среди специалистов по кибербезопасности при выполнении ненадежного кода для предотвращения продвинутых угроз.
#ParsedReport #CompletenessLow
07-07-2026
Connecting Scattered Spider: Defining A Cybercrime Collective Through Shared TTPs
https://www.group-ib.com/blog/connecting-scattered-spider/
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: cyber_criminal, hacktivism, financially_motivated)
Dragonforce
Threats:
Sim_swapping_technique
Anydesk_tool
Dragonforce_ransomware
Blackcat
Smishing_technique
Victims:
Marketing and communication services, Mobile carriers, Banking, Enterprise, Cryptocurrency, Insurance, Business process outsourcing, Helpdesk services, Government
Industry:
Retail, Telco, Financial, Government, Bp_outsourcing
Geo:
Usa, Canada
ChatGPT TTPs:
T1078, T1105, T1199, T1219, T1486, T1566, T1566.002, T1566.003, T1566.004, T1586.002, have more...
Soft:
Sendgrid, Okta, Telegram
Wallets:
coinbase
07-07-2026
Connecting Scattered Spider: Defining A Cybercrime Collective Through Shared TTPs
https://www.group-ib.com/blog/connecting-scattered-spider/
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: cyber_criminal, hacktivism, financially_motivated)
Dragonforce
Threats:
Sim_swapping_technique
Anydesk_tool
Dragonforce_ransomware
Blackcat
Smishing_technique
Victims:
Marketing and communication services, Mobile carriers, Banking, Enterprise, Cryptocurrency, Insurance, Business process outsourcing, Helpdesk services, Government
Industry:
Retail, Telco, Financial, Government, Bp_outsourcing
Geo:
Usa, Canada
ChatGPT TTPs:
do not use without manual checkT1078, T1105, T1199, T1219, T1486, T1566, T1566.002, T1566.003, T1566.004, T1586.002, have more...
Soft:
Sendgrid, Okta, Telegram
Wallets:
coinbase
Group-IB
Connecting Scattered Spider: Defining A Cybercrime Collective Through Shared TTPs
This blog covers Group-IB’s overview of Scattered Spider, backed by Group-IB’s proprietary intelligence, providing additional information to what has already been reported publicly, with added clarification on 0ktapus and how it is related to Scattered Spider.