#ParsedReport #CompletenessHigh
07-07-2026
Don’t Eat The ChocoPoCs! How Vulnerability Researchers Were Repeatedly Targeted By Trojanised Exploits
https://www.sekoia.com/blog/dont-eat-the-chocopocs-how-vulnerability-researchers-were-repeatedly-targeted-by-trojanised-exploits
Report completeness: High
Threats:
Chocopoc
React2shell_vuln
Nuclei_tool
Timestomp_technique
Dead_drop_technique
Supply_chain_technique
Copyfail_vuln
Victims:
Vulnerability researchers, Penetration testers, Vulnerability scanning vendors, Offensive security tooling, Developer environments
Geo:
Indonesian, Chinese, Spanish, Turkish
CVEs:
CVE-2026-48908 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ollyo sp_page_builder (<6.6.2)
CVE-2025-64446 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (<7.0.12, <7.2.12, <7.4.10, <7.6.5, <8.0.2)
CVE-2026-50751 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint gaia_os (<r81.20, r82, r82.10)
CVE-2025-14847 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mongodb (<4.4.30, <5.0.32, <6.0.27, <7.0.28, <8.0.17)
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
CVE-2026-0257 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.7, 10.2.8, 10.2.9, 10.2.10, 10.2.11)
CVE-2026-10520 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti standalone_sentry (<10.5.2, <10.6.2, 10.7.0)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1005, T1016, T1027, T1027.007, T1041, T1057, T1059, T1059.006, T1070.006, T1071.001, have more...
IOCs:
File: 23
Domain: 3
Url: 11
Email: 1
Hash: 5
Soft:
Ivanti Sentry, Joomla, Linux, Google Chrome, Microsoft Edge, Mozilla Firefox, PAN-OS, Langflow
Algorithms:
base36, base64, xor, exhibit, hmac
Functions:
exec
Win API:
LoadLibrary, CheckRemoteDebuggerPresent, GetThreadContext, ContextFlags, PY
Languages:
python
Links:
have more...
07-07-2026
Don’t Eat The ChocoPoCs! How Vulnerability Researchers Were Repeatedly Targeted By Trojanised Exploits
https://www.sekoia.com/blog/dont-eat-the-chocopocs-how-vulnerability-researchers-were-repeatedly-targeted-by-trojanised-exploits
Report completeness: High
Threats:
Chocopoc
React2shell_vuln
Nuclei_tool
Timestomp_technique
Dead_drop_technique
Supply_chain_technique
Copyfail_vuln
Victims:
Vulnerability researchers, Penetration testers, Vulnerability scanning vendors, Offensive security tooling, Developer environments
Geo:
Indonesian, Chinese, Spanish, Turkish
CVEs:
CVE-2026-48908 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ollyo sp_page_builder (<6.6.2)
CVE-2025-64446 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (<7.0.12, <7.2.12, <7.4.10, <7.6.5, <8.0.2)
CVE-2026-50751 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint gaia_os (<r81.20, r82, r82.10)
CVE-2025-14847 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mongodb (<4.4.30, <5.0.32, <6.0.27, <7.0.28, <8.0.17)
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
CVE-2026-0257 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.7, 10.2.8, 10.2.9, 10.2.10, 10.2.11)
CVE-2026-10520 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti standalone_sentry (<10.5.2, <10.6.2, 10.7.0)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1016, T1027, T1027.007, T1041, T1057, T1059, T1059.006, T1070.006, T1071.001, have more...
IOCs:
File: 23
Domain: 3
Url: 11
Email: 1
Hash: 5
Soft:
Ivanti Sentry, Joomla, Linux, Google Chrome, Microsoft Edge, Mozilla Firefox, PAN-OS, Langflow
Algorithms:
base36, base64, xor, exhibit, hmac
Functions:
exec
Win API:
LoadLibrary, CheckRemoteDebuggerPresent, GetThreadContext, ContextFlags, PY
Languages:
python
Links:
https://github.com/ogenich/CVE-2026-48908have more...
https://github.com/projectdiscovery/nuclei-templateshttps://github.com/bolubey/CVE-2026-0257Sekoia
Don’t eat the ChocoPoCs! How vulnerability researchers were repeatedly targeted by trojanised exploits
This article details a campaign targeting vulnerability researchers with "ChocoPoC" malware embedded inside trojanised Python dependencies. Exploiting the pressure to quickly test new vulnerabilities, threat actors distribute a persistent Remote Access Trojan…
CTT Report Hub
#ParsedReport #CompletenessHigh 07-07-2026 Don’t Eat The ChocoPoCs! How Vulnerability Researchers Were Repeatedly Targeted By Trojanised Exploits https://www.sekoia.com/blog/dont-eat-the-chocopocs-how-vulnerability-researchers-were-repeatedly-targeted-by…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние атаки на цепочку поставок нацелены на исследователей уязвимостей с использованием сложного ВПО под названием ChocoPoC, представляющего собой RAT на базе Python, который похищает конфиденциальные данные и выполняет команды. Атака использует путаницу зависимостей через вредоносный пакет, который устанавливает троянизированную библиотеку, запуская цепочку ВПО, скрывающую свою C2-коммуникацию с помощью техник Домен-прикрытие. Эти атаки демонстрируют эксплуатацию ресурсов сообщества, при этом задействовано несколько репозиториев, что указывает на кампанию скоординированного злоумышленника, направленную на кражу учетных данных и конфиденциальной информации.
-----
Атаки на цепочку поставок нацелены на исследователей уязвимостей с использованием троянизированных эксплойтов Proof-of-Concept (PoC).
Вредоносное ПО, названное ChocoPoC, представляет собой Python Троянскую программу (RAT), предназначенную для эксфильтрации данных, выполнения команд и сбора учетных данных.
Атаки эксплуатируют чувство срочности, связанное с тем, что исследователи разрабатывают механизмы обнаружения для недавно раскрытых уязвимостей, таких как React2Shell (CVE-2025-55182), FortiWeb (CVE-2025-64446) и Ivanti Sentry (CVE-2026-10520).
Злоумышленники используют репозитории GitHub для распространения скомпрометированных PoC.
Механизм заражения использует тактику путаницы зависимостей, связанную с вредоносным пакетом Python под названием `frint`, который зависит от пакета `skytext`.
При выполнении PoC устанавливает зависимости, загружая троянизированную библиотеку, которая расшифровывает скрипты и загружает второй этап полезной нагрузки из скомпрометированного API.
ChocoPoC устанавливает необходимые пакеты, выполняет скомпрометированную библиотеку и взаимодействует с инфраструктурой C2 через наборы данных Mapbox.
Техники Домен-прикрытие используются для маскировки трафика C2, усложняя обнаружение.
ВПО нацелено на учетные данные браузеров, сканирует наличие конфиденциальных файлов и выполняет произвольные команды.
ChocoPoC использует закрепление путем размещения троянизированных файлов в каталоге site-packages Python и применяет timestomping для уклонения от обнаружения.
RAT может отвечать атакующему на основе структуры опроса и настраивать частоту связи с сервером C2.
Выполняемые RAT команды включают системную разведку, динамическое выполнение кода и сбор учетных записей.
Выявлено как минимум семь репозиториев с Proof-of-Concept (PoC), содержащих схожие цепочки заражения, что указывает на скоординированную атаку со стороны одного злоумышленника.
Эта стратегия атаки указывает на сдвиг в поведении злоумышленников, эксплуатирующих среду разработки, в результате чего исследователи уязвимостей становятся ключевыми целями.
Существует острая необходимость в улучшении практик безопасности среди специалистов по кибербезопасности при выполнении ненадежного кода для предотвращения продвинутых угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние атаки на цепочку поставок нацелены на исследователей уязвимостей с использованием сложного ВПО под названием ChocoPoC, представляющего собой RAT на базе Python, который похищает конфиденциальные данные и выполняет команды. Атака использует путаницу зависимостей через вредоносный пакет, который устанавливает троянизированную библиотеку, запуская цепочку ВПО, скрывающую свою C2-коммуникацию с помощью техник Домен-прикрытие. Эти атаки демонстрируют эксплуатацию ресурсов сообщества, при этом задействовано несколько репозиториев, что указывает на кампанию скоординированного злоумышленника, направленную на кражу учетных данных и конфиденциальной информации.
-----
Атаки на цепочку поставок нацелены на исследователей уязвимостей с использованием троянизированных эксплойтов Proof-of-Concept (PoC).
Вредоносное ПО, названное ChocoPoC, представляет собой Python Троянскую программу (RAT), предназначенную для эксфильтрации данных, выполнения команд и сбора учетных данных.
Атаки эксплуатируют чувство срочности, связанное с тем, что исследователи разрабатывают механизмы обнаружения для недавно раскрытых уязвимостей, таких как React2Shell (CVE-2025-55182), FortiWeb (CVE-2025-64446) и Ivanti Sentry (CVE-2026-10520).
Злоумышленники используют репозитории GitHub для распространения скомпрометированных PoC.
Механизм заражения использует тактику путаницы зависимостей, связанную с вредоносным пакетом Python под названием `frint`, который зависит от пакета `skytext`.
При выполнении PoC устанавливает зависимости, загружая троянизированную библиотеку, которая расшифровывает скрипты и загружает второй этап полезной нагрузки из скомпрометированного API.
ChocoPoC устанавливает необходимые пакеты, выполняет скомпрометированную библиотеку и взаимодействует с инфраструктурой C2 через наборы данных Mapbox.
Техники Домен-прикрытие используются для маскировки трафика C2, усложняя обнаружение.
ВПО нацелено на учетные данные браузеров, сканирует наличие конфиденциальных файлов и выполняет произвольные команды.
ChocoPoC использует закрепление путем размещения троянизированных файлов в каталоге site-packages Python и применяет timestomping для уклонения от обнаружения.
RAT может отвечать атакующему на основе структуры опроса и настраивать частоту связи с сервером C2.
Выполняемые RAT команды включают системную разведку, динамическое выполнение кода и сбор учетных записей.
Выявлено как минимум семь репозиториев с Proof-of-Concept (PoC), содержащих схожие цепочки заражения, что указывает на скоординированную атаку со стороны одного злоумышленника.
Эта стратегия атаки указывает на сдвиг в поведении злоумышленников, эксплуатирующих среду разработки, в результате чего исследователи уязвимостей становятся ключевыми целями.
Существует острая необходимость в улучшении практик безопасности среди специалистов по кибербезопасности при выполнении ненадежного кода для предотвращения продвинутых угроз.
#ParsedReport #CompletenessLow
07-07-2026
Connecting Scattered Spider: Defining A Cybercrime Collective Through Shared TTPs
https://www.group-ib.com/blog/connecting-scattered-spider/
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: cyber_criminal, hacktivism, financially_motivated)
Dragonforce
Threats:
Sim_swapping_technique
Anydesk_tool
Dragonforce_ransomware
Blackcat
Smishing_technique
Victims:
Marketing and communication services, Mobile carriers, Banking, Enterprise, Cryptocurrency, Insurance, Business process outsourcing, Helpdesk services, Government
Industry:
Retail, Telco, Financial, Government, Bp_outsourcing
Geo:
Usa, Canada
ChatGPT TTPs:
T1078, T1105, T1199, T1219, T1486, T1566, T1566.002, T1566.003, T1566.004, T1586.002, have more...
Soft:
Sendgrid, Okta, Telegram
Wallets:
coinbase
07-07-2026
Connecting Scattered Spider: Defining A Cybercrime Collective Through Shared TTPs
https://www.group-ib.com/blog/connecting-scattered-spider/
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: cyber_criminal, hacktivism, financially_motivated)
Dragonforce
Threats:
Sim_swapping_technique
Anydesk_tool
Dragonforce_ransomware
Blackcat
Smishing_technique
Victims:
Marketing and communication services, Mobile carriers, Banking, Enterprise, Cryptocurrency, Insurance, Business process outsourcing, Helpdesk services, Government
Industry:
Retail, Telco, Financial, Government, Bp_outsourcing
Geo:
Usa, Canada
ChatGPT TTPs:
do not use without manual checkT1078, T1105, T1199, T1219, T1486, T1566, T1566.002, T1566.003, T1566.004, T1586.002, have more...
Soft:
Sendgrid, Okta, Telegram
Wallets:
coinbase
Group-IB
Connecting Scattered Spider: Defining A Cybercrime Collective Through Shared TTPs
This blog covers Group-IB’s overview of Scattered Spider, backed by Group-IB’s proprietary intelligence, providing additional information to what has already been reported publicly, with added clarification on 0ktapus and how it is related to Scattered Spider.
CTT Report Hub
#ParsedReport #CompletenessLow 07-07-2026 Connecting Scattered Spider: Defining A Cybercrime Collective Through Shared TTPs https://www.group-ib.com/blog/connecting-scattered-spider/ Report completeness: Low Actors/Campaigns: 0ktapus (motivation: cyber_criminal…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Scattered Spider — это децентрализованное объединение субкластеров, осуществляющих разнообразные киберпреступления, такие как SIM-свопинг, кража криптовалюты и фишинг, с корнями, уходящими в середину 2022 года, и атаками на компании, такие как Twilio. Их методы включают тактики имперсонации, вишинг и автоматизированные инструменты для телефонных мошеннических схем, при этом они используют социальную инженерию для получения доступа к конфиденциальной информации. Участие в деятельности групп вымогателей подчеркивает изменяющийся ландшафт угроз, который усложняет усилия по атрибуции и реагированию.
-----
Scattered Spider описывается как коллектив независимых субкластеров, а не единая организованная хакерская группировка. Эта динамичная коллективная структура характеризуется общими тактиками, техниками и процедурами (TTPs) и связана с различными высокопрофильными атаками, в основном связанными с подменой SIM-карт, кражей криптовалюты и фишинг-кампаниями. Происхождение Scattered Spider восходит к середине 2022 года, с заметными атаками, такими как те, что были направлены на Twilio и другие организации, и действия правоохранительных органов не снизили его текущую угрозу.
Подкластеры внутри Scattered Spider применяют разнообразные методы атак, включая кражу физических устройств у мобильных операторов для SIM-своппинга и атаку на корпоративные платформы связи для распространения фишинговых ссылок. Их атаки носят оппортунистический характер, а круг жертв широк и охватывает различные отрасли, от маркетинговых услуг до банковского сектора и игровой индустрии. Например, подкластеры эксплуатировали сотрудников таких компаний, как Verizon и T-Mobile, применяя социальную инженерию и подкуп для обеспечения несанкционированного доступа и эксплуатации внутренних инструментов.
Технически Scattered Spider использует передовые тактики, в первую очередь сосредотачиваясь на техниках имперсонации, таких как создание фишинговых страниц, имитирующих Okta и других провайдеров идентификации. Социальные компоненты имеют критическое значение, поскольку злоумышленники часто применяют вайсинг (голосовой фишинг) и смишинг (SMS-фишинг), чтобы обмануть потенциальных жертв и вынудить их раскрыть конфиденциальную информацию. Операционные методологии включают использование автоматизированных P1-ботов для масштабируемых телефонных мошеннических схем и сложных RAT (троянов удаленного доступа), которые обеспечивают постоянный доступ к скомпрометированным устройствам.
Деятельность, связанная с криптовалютой, доминирует в спектре атак, при этом субкластеры выполняют SIM-свопы у владельцев криптовалют или нацеливаются на сотрудников криптокомпаний, чтобы получить информацию о высокоценных лицах. Вымогательское ПО также стало тактикой, при этом некоторые субкластеры сотрудничают с известными группами вымогательского ПО для получения выкупа или исходного кода у крупных организаций, что свидетельствует о сдвиге в их стратегии атак в сторону прямого вымогательства.
Децентрализованный характер Scattered Spider усложняет атрибуцию и стратегии реагирования, поскольку субкластеры действуют независимо, разделяя при этом оперативные цели и ресурсы. Их устойчивость и адаптивность подчеркивают устойчивый характер угроз, в котором различные стратегии атакующих векторов и тактики социальной инженерии продолжат представлять риски для множества секторов. На основе представленного анализа эволюционирующие стратегии Scattered Spider демонстрируют необходимость усиления осведомленности в области кибербезопасности и превентивных мер в целевых отраслях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Scattered Spider — это децентрализованное объединение субкластеров, осуществляющих разнообразные киберпреступления, такие как SIM-свопинг, кража криптовалюты и фишинг, с корнями, уходящими в середину 2022 года, и атаками на компании, такие как Twilio. Их методы включают тактики имперсонации, вишинг и автоматизированные инструменты для телефонных мошеннических схем, при этом они используют социальную инженерию для получения доступа к конфиденциальной информации. Участие в деятельности групп вымогателей подчеркивает изменяющийся ландшафт угроз, который усложняет усилия по атрибуции и реагированию.
-----
Scattered Spider описывается как коллектив независимых субкластеров, а не единая организованная хакерская группировка. Эта динамичная коллективная структура характеризуется общими тактиками, техниками и процедурами (TTPs) и связана с различными высокопрофильными атаками, в основном связанными с подменой SIM-карт, кражей криптовалюты и фишинг-кампаниями. Происхождение Scattered Spider восходит к середине 2022 года, с заметными атаками, такими как те, что были направлены на Twilio и другие организации, и действия правоохранительных органов не снизили его текущую угрозу.
Подкластеры внутри Scattered Spider применяют разнообразные методы атак, включая кражу физических устройств у мобильных операторов для SIM-своппинга и атаку на корпоративные платформы связи для распространения фишинговых ссылок. Их атаки носят оппортунистический характер, а круг жертв широк и охватывает различные отрасли, от маркетинговых услуг до банковского сектора и игровой индустрии. Например, подкластеры эксплуатировали сотрудников таких компаний, как Verizon и T-Mobile, применяя социальную инженерию и подкуп для обеспечения несанкционированного доступа и эксплуатации внутренних инструментов.
Технически Scattered Spider использует передовые тактики, в первую очередь сосредотачиваясь на техниках имперсонации, таких как создание фишинговых страниц, имитирующих Okta и других провайдеров идентификации. Социальные компоненты имеют критическое значение, поскольку злоумышленники часто применяют вайсинг (голосовой фишинг) и смишинг (SMS-фишинг), чтобы обмануть потенциальных жертв и вынудить их раскрыть конфиденциальную информацию. Операционные методологии включают использование автоматизированных P1-ботов для масштабируемых телефонных мошеннических схем и сложных RAT (троянов удаленного доступа), которые обеспечивают постоянный доступ к скомпрометированным устройствам.
Деятельность, связанная с криптовалютой, доминирует в спектре атак, при этом субкластеры выполняют SIM-свопы у владельцев криптовалют или нацеливаются на сотрудников криптокомпаний, чтобы получить информацию о высокоценных лицах. Вымогательское ПО также стало тактикой, при этом некоторые субкластеры сотрудничают с известными группами вымогательского ПО для получения выкупа или исходного кода у крупных организаций, что свидетельствует о сдвиге в их стратегии атак в сторону прямого вымогательства.
Децентрализованный характер Scattered Spider усложняет атрибуцию и стратегии реагирования, поскольку субкластеры действуют независимо, разделяя при этом оперативные цели и ресурсы. Их устойчивость и адаптивность подчеркивают устойчивый характер угроз, в котором различные стратегии атакующих векторов и тактики социальной инженерии продолжат представлять риски для множества секторов. На основе представленного анализа эволюционирующие стратегии Scattered Spider демонстрируют необходимость усиления осведомленности в области кибербезопасности и превентивных мер в целевых отраслях.
#technique #llm
GitLost: How We Tricked GitHub’s AI Agent into Leaking Private Repos
https://noma.security/blog/gitlost-how-we-tricked-githubs-ai-agent-into-leaking-private-repos/
GitLost: How We Tricked GitHub’s AI Agent into Leaking Private Repos
https://noma.security/blog/gitlost-how-we-tricked-githubs-ai-agent-into-leaking-private-repos/
noma.security
GitLost: How We Tricked GitHub’s AI Agent into Leaking Private Repos - Noma Security
TL;DR: Noma Labs discovered a critical prompt injection vulnerability within GitHub’s new Agentic Workflows, allowing an unauthenticated attacker to silently pull data from private repositories by posting a crafted GitHub Issue in a public repository belonging…
#technique
EasyTokens
A device-code phishing server for adversary emulation. Captures Microsoft 365 OAuth tokens via the Device Authorization Grant flow. Inspired by GraphSpy.
https://github.com/secdev02/EasyTokens
EasyTokens
A device-code phishing server for adversary emulation. Captures Microsoft 365 OAuth tokens via the Device Authorization Grant flow. Inspired by GraphSpy.
https://github.com/secdev02/EasyTokens
GitHub
GitHub - secdev02/EasyTokens: Kali365 - EvilTokens Replica
Kali365 - EvilTokens Replica. Contribute to secdev02/EasyTokens development by creating an account on GitHub.
#technique
Terraforming Mythic
This project allows operators to set up multiple Mythic C2 servers in Azure. Optionally, Azure CDN redirectors can be created as well. The idea is that you are able to create multiple "projects" that you can manage from this Terraform code. This way, operators can manage the resources for their infrastructure in a central place, as code.
https://github.com/qmadev/tf-mythic-azure
Terraforming Mythic
This project allows operators to set up multiple Mythic C2 servers in Azure. Optionally, Azure CDN redirectors can be created as well. The idea is that you are able to create multiple "projects" that you can manage from this Terraform code. This way, operators can manage the resources for their infrastructure in a central place, as code.
https://github.com/qmadev/tf-mythic-azure
GitHub
GitHub - qmadev/tf-mythic-azure: Automatically deploying Mythic C2 in Azure using Terraform
Automatically deploying Mythic C2 in Azure using Terraform - qmadev/tf-mythic-azure
#technique
SpotifyC2 is a cybersecurity research project that demonstrates cloud-based command communication using Spotify playlists for command retrieval and Telegram for output delivery, without requiring the Spotify Web API.
https://github.com/NirvanaOn/SpotifyC2/
SpotifyC2 is a cybersecurity research project that demonstrates cloud-based command communication using Spotify playlists for command retrieval and Telegram for output delivery, without requiring the Spotify Web API.
https://github.com/NirvanaOn/SpotifyC2/
GitHub
GitHub - NirvanaOn/SpotifyC2: SpotifyC2 is a cybersecurity research project that demonstrates cloud-based command communication…
SpotifyC2 is a cybersecurity research project that demonstrates cloud-based command communication using Spotify playlists for command retrieval and Telegram for output delivery, without requiring t...
#technique
Hollow
hollow is a shellcode loader generator. You give it a raw shellcode binary and a profile, and it spits out a compiled Windows PE loader with your shellcode encrypted inside.
https://github.com/Chaelsoo/Hollow
Hollow
hollow is a shellcode loader generator. You give it a raw shellcode binary and a profile, and it spits out a compiled Windows PE loader with your shellcode encrypted inside.
https://github.com/Chaelsoo/Hollow
GitHub
GitHub - Chaelsoo/Hollow
Contribute to Chaelsoo/Hollow development by creating an account on GitHub.
#ParsedReport #CompletenessMedium
08-07-2026
Anatomy of an Attack. VIPERTUNNEL
https://www.extrahop.com/blog/vipertunnel
Report completeness: Medium
Actors/Campaigns:
Silverfish
Evil_corp
Dragonforce
Threats:
Vipertunel
Dragonforce_ransomware
Lolbin_technique
Lolbas_technique
Socgholish_loader
Pyramid_c2_tool
Geo:
Russian
TTPs:
Tactics: 2
Technics: 18
IOCs:
File: 3
Soft:
Windows scheduled task, Windows Security
Algorithms:
chacha20, xor, aes
Languages:
python
08-07-2026
Anatomy of an Attack. VIPERTUNNEL
https://www.extrahop.com/blog/vipertunnel
Report completeness: Medium
Actors/Campaigns:
Silverfish
Evil_corp
Dragonforce
Threats:
Vipertunel
Dragonforce_ransomware
Lolbin_technique
Lolbas_technique
Socgholish_loader
Pyramid_c2_tool
Geo:
Russian
TTPs:
Tactics: 2
Technics: 18
IOCs:
File: 3
Soft:
Windows scheduled task, Windows Security
Algorithms:
chacha20, xor, aes
Languages:
python
Extrahop
Anatomy of an Attack: VIPERTUNNEL — ExtraHop
Examine how VIPERTUNNEL uses Python execution, file-type masquerading, and SOCKS5 tunneling to support ransomware-linked intrusions, and how ExtraHop RevealX helps detect the activity.
CTT Report Hub
#ParsedReport #CompletenessMedium 08-07-2026 Anatomy of an Attack. VIPERTUNNEL https://www.extrahop.com/blog/vipertunnel Report completeness: Medium Actors/Campaigns: Silverfish Evil_corp Dragonforce Threats: Vipertunel Dragonforce_ransomware Lolbin_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
VIPERTUNNEL — это бэкдор на базе Python, связанный с российской группой UNC2165, впервые выявленный в 2024 году и эволюционировавший к 2026 году. Он действует скрытно после компрометации, используя техники социальной инженерии и применяя легитимные бинарные файлы Python для закрепления, чтобы замаскировать вредоносную активность, включая выполнение скриптов в тихом режиме. ВПО кодирует свой полезный груз в виде DLL-файла, эксплуатирует выполнение в памяти для уклонения от обнаружения и устанавливает SOCKS5-прокси для коммуникаций, усложняя усилия по мониторингу.
-----
VIPERTUNNEL — это бэкдор на базе Python, связанный с российской группой UNC2165 (EvilCorp).
Впервые обнаружен в 2024 году, к 2026 году он эволюционировал в функциональности.
Развертывается после компрометации, преимущественно с использованием техник социальной инженерии.
VIPERTUNNEL полагается на легитимные бинарные файлы Python для поддержания постоянного доступа.
ВПО создает запланированную задачу Windows, которая маскирует его выполнение.
Вредоносные скрипты размещаются в пути библиотеки Python для выполнения в скрытом режиме.
ВПО кодирует полезную нагрузку в виде DLL-файлов для обхода обнаружения.
Этот DLL-файл представляет собой сильно запутанный скрипт на Python, выполняемый непосредственно из памяти.
VIPERTUNNEL устанавливает SOCKS5-прокси для связи со своим C2-сервером.
Трафик через прокси не демонстрирует типичных характеристик HTTPS на порту 443.
Индикаторы компрометации включают необычное выполнение Python и неожиданные запланированные задачи.
Соединения исходящего трафика с использованием протокола SOCKS через порт 443 имеют решающее значение для обнаружения.
Для защиты рекомендуется осуществлять мониторинг запланированных задач и изменений в Python-скриптах.
Сотрудничество между SOC и NOC имеет решающее значение для эффективного обнаружения и управления туннелированием.
VIPERTUNNEL использует различные техники «жизни за счёт земли» для маскировки своей деятельности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
VIPERTUNNEL — это бэкдор на базе Python, связанный с российской группой UNC2165, впервые выявленный в 2024 году и эволюционировавший к 2026 году. Он действует скрытно после компрометации, используя техники социальной инженерии и применяя легитимные бинарные файлы Python для закрепления, чтобы замаскировать вредоносную активность, включая выполнение скриптов в тихом режиме. ВПО кодирует свой полезный груз в виде DLL-файла, эксплуатирует выполнение в памяти для уклонения от обнаружения и устанавливает SOCKS5-прокси для коммуникаций, усложняя усилия по мониторингу.
-----
VIPERTUNNEL — это бэкдор на базе Python, связанный с российской группой UNC2165 (EvilCorp).
Впервые обнаружен в 2024 году, к 2026 году он эволюционировал в функциональности.
Развертывается после компрометации, преимущественно с использованием техник социальной инженерии.
VIPERTUNNEL полагается на легитимные бинарные файлы Python для поддержания постоянного доступа.
ВПО создает запланированную задачу Windows, которая маскирует его выполнение.
Вредоносные скрипты размещаются в пути библиотеки Python для выполнения в скрытом режиме.
ВПО кодирует полезную нагрузку в виде DLL-файлов для обхода обнаружения.
Этот DLL-файл представляет собой сильно запутанный скрипт на Python, выполняемый непосредственно из памяти.
VIPERTUNNEL устанавливает SOCKS5-прокси для связи со своим C2-сервером.
Трафик через прокси не демонстрирует типичных характеристик HTTPS на порту 443.
Индикаторы компрометации включают необычное выполнение Python и неожиданные запланированные задачи.
Соединения исходящего трафика с использованием протокола SOCKS через порт 443 имеют решающее значение для обнаружения.
Для защиты рекомендуется осуществлять мониторинг запланированных задач и изменений в Python-скриптах.
Сотрудничество между SOC и NOC имеет решающее значение для эффективного обнаружения и управления туннелированием.
VIPERTUNNEL использует различные техники «жизни за счёт земли» для маскировки своей деятельности.
#ParsedReport #CompletenessMedium
08-07-2026
Citizen, Update Yourself : An Analysis of the Falcon Malware Campaign
https://habr.com/ru/companies/pt/articles/1036620/
Report completeness: Medium
Threats:
Falcon_malware
Mamont_spy
Victims:
Banking, Russian users
Industry:
Financial
Geo:
Russian, Ukrainian, Russia
ChatGPT TTPs:
T1036, T1056, T1102, T1113, T1412, T1564, T1620
IOCs:
File: 6
Hash: 75
Domain: 2
Url: 7
Soft:
Android, Dropbox
Algorithms:
rc4
Languages:
php, java, javascript
08-07-2026
Citizen, Update Yourself : An Analysis of the Falcon Malware Campaign
https://habr.com/ru/companies/pt/articles/1036620/
Report completeness: Medium
Threats:
Falcon_malware
Mamont_spy
Victims:
Banking, Russian users
Industry:
Financial
Geo:
Russian, Ukrainian, Russia
ChatGPT TTPs:
do not use without manual checkT1036, T1056, T1102, T1113, T1412, T1564, T1620
IOCs:
File: 6
Hash: 75
Domain: 2
Url: 7
Soft:
Android, Dropbox
Algorithms:
rc4
Languages:
php, java, javascript
Хабр
«Гражданин, обновитесь»: анализ вредоносной кампании Falcon
«Обновите приложение». Для большинства пользователей это привычное сообщение, а для хакеров - один из самых надежных и эффективных способ получить контроль над устройством. В этой статье разберем...
CTT Report Hub
#ParsedReport #CompletenessMedium 08-07-2026 Citizen, Update Yourself : An Analysis of the Falcon Malware Campaign https://habr.com/ru/companies/pt/articles/1036620/ Report completeness: Medium Threats: Falcon_malware Mamont_spy Victims: Banking, Russian…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания вредоносного ПО Falcon emerged as a sophisticated threat utilizing a malicious APK that masquerades as a legitimate application, primarily targeting Russian-speaking victims. The malware employs various techniques, including prompting users to download updates that obscure its malicious activities, granting extensive permissions to access sensitive device information, and employing advanced functionalities like SMS interception and screen recording. Ongoing updates to the malware indicate its authors are actively refining both its capabilities and distribution methods, with new variants appearing that enhance phishing efforts.
-----
Кампания Falcon — это новая угроза, использующая вредоносный APK-файл, замаскированный под легитимное российское приложение, который изначально был ошибочно идентифицирован как вариант банковского трояна. Кампания применяет тактику, побуждающую пользователей обновить приложение, что служит прикрытием для фактических вредоносных действий ВПО. Этот метод не только скрывает ВПО от обнаружения антивирусами, но и позволяет ему функционировать совместно с легитимными приложениями, часто заставляя пользователей игнорировать наличие вредоносного компонента на своих устройствах.
При обратном инжиниринге APK-файла исследователи заметили значительное количество жестко закодированного русского языка в коде и журналах, что указывает на усилия по локализации для русскоязычных жертв. Вредоносная нагрузка содержит знакомые техники Android ВПО, дополненные хорошо структурированным кодом и описательными переменными, что улучшает читаемость для специалистов по обратному инжинирингу. Архитектура нагрузки делает акцент на обновлениях и загрузках с таких платформ, как Trello, которые используются для размещения HTML-файлов, предлагающих обновленные поддельные приложения. Эти страницы созданы для того, чтобы обмануть пользователей и заставить их предоставить обширные разрешения, среди которых критически важно «Специальные возможности», обеспечивающие полный доступ к устройствам, что позволяет злоумышленникам читать SMS, отслеживать звонки и препятствовать удалению приложения.
Анализ показывает, что вредоносное ПО Falcon со временем эволюционировало, внедрив расширенные функции, такие как запись экрана, перехват SMS и постоянное опрашивание сервера для эксфильтрации данных. ВПО может поддерживать закрепление, перезапускаясь при завершении процесса, а также создавать скрытые уведомления, чтобы скрыть свою деятельность от пользователей. Кроме того, оно способно собирать пользовательские данные через интерфейсы JavaScript и полностью блокировать доступ пользователей к их устройствам путем манипуляции с экраном блокировки.
Отслеживание активности авторов ВПО выявляет последовательный цикл обновлений, что указывает на постоянную разработку и совершенствование как самого ВПО, так и методов его распространения. Статистика VirusTotal показывает, что новые варианты продолжают загружаться, при этом последние версии дополнительно усиливают фишинговые атаки и используют имена, знакомые пользователям популярных банков, чтобы скрыть свои истинные намерения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания вредоносного ПО Falcon emerged as a sophisticated threat utilizing a malicious APK that masquerades as a legitimate application, primarily targeting Russian-speaking victims. The malware employs various techniques, including prompting users to download updates that obscure its malicious activities, granting extensive permissions to access sensitive device information, and employing advanced functionalities like SMS interception and screen recording. Ongoing updates to the malware indicate its authors are actively refining both its capabilities and distribution methods, with new variants appearing that enhance phishing efforts.
-----
Кампания Falcon — это новая угроза, использующая вредоносный APK-файл, замаскированный под легитимное российское приложение, который изначально был ошибочно идентифицирован как вариант банковского трояна. Кампания применяет тактику, побуждающую пользователей обновить приложение, что служит прикрытием для фактических вредоносных действий ВПО. Этот метод не только скрывает ВПО от обнаружения антивирусами, но и позволяет ему функционировать совместно с легитимными приложениями, часто заставляя пользователей игнорировать наличие вредоносного компонента на своих устройствах.
При обратном инжиниринге APK-файла исследователи заметили значительное количество жестко закодированного русского языка в коде и журналах, что указывает на усилия по локализации для русскоязычных жертв. Вредоносная нагрузка содержит знакомые техники Android ВПО, дополненные хорошо структурированным кодом и описательными переменными, что улучшает читаемость для специалистов по обратному инжинирингу. Архитектура нагрузки делает акцент на обновлениях и загрузках с таких платформ, как Trello, которые используются для размещения HTML-файлов, предлагающих обновленные поддельные приложения. Эти страницы созданы для того, чтобы обмануть пользователей и заставить их предоставить обширные разрешения, среди которых критически важно «Специальные возможности», обеспечивающие полный доступ к устройствам, что позволяет злоумышленникам читать SMS, отслеживать звонки и препятствовать удалению приложения.
Анализ показывает, что вредоносное ПО Falcon со временем эволюционировало, внедрив расширенные функции, такие как запись экрана, перехват SMS и постоянное опрашивание сервера для эксфильтрации данных. ВПО может поддерживать закрепление, перезапускаясь при завершении процесса, а также создавать скрытые уведомления, чтобы скрыть свою деятельность от пользователей. Кроме того, оно способно собирать пользовательские данные через интерфейсы JavaScript и полностью блокировать доступ пользователей к их устройствам путем манипуляции с экраном блокировки.
Отслеживание активности авторов ВПО выявляет последовательный цикл обновлений, что указывает на постоянную разработку и совершенствование как самого ВПО, так и методов его распространения. Статистика VirusTotal показывает, что новые варианты продолжают загружаться, при этом последние версии дополнительно усиливают фишинговые атаки и используют имена, знакомые пользователям популярных банков, чтобы скрыть свои истинные намерения.
#ParsedReport #CompletenessHigh
08-07-2026
The Gentlemen Ransomware With Custom EDR/AV Killers Scaling Faster to Attack Industries Worldwide
https://cybersecuritynews.com/gentlemen-ransomware-global-attacks/
Report completeness: High
Actors/Campaigns:
Gentlemen_ransomware (motivation: financially_motivated)
Hastalamuerte
Zeta88
Protagor
Warlock
Dragonforce
Threats:
Gentlemen_ransomware
Av-killer
Qilin_ransomware
Gentlekiller
Edr-killer
Hexkiller
Throttleblood
Havockiller
Credential_harvesting_technique
Oxideharvest
Mamba
Glocker_tool
Netexec_tool
Winrm_tool
Certihound_tool
Nmap_tool
Credential_dumping_technique
Ksldump_tool
Kslkatz_tool
Byovd_technique
Burntcigar
Zemana_tool
Iobit_tool
Poisonx
Medusalocker
Edrstartuphinder_tool
Gfreeze_tool
Glinker_tool
Dumpbrowsersecrets_tool
Zerosalarium_tool
Titanis_tool
Themida_tool
Anydesk_tool
Systembc
Zeropulse_tool
Putty_tool
Vssadmin_tool
Shadow_copies_delete_technique
Manspider_tool
Garble_tool
Wevtutil_tool
Relayking_tool
Mimikatz_tool
Privhound_tool
Regpwn_tool
Cobalt_strike_tool
Ransom.win64.gentleman
Ransom.win64.gentleman.thhaibe
Blackbyte
Trojan:win32/mptamperbulkexcl.h
Bloodhound_tool
Victims:
Manufacturing, Healthcare, Financial services, Critical operational technology, Southeast asia, South america, Western europe, Australia
Industry:
Ics, Education, Healthcare, Foodtech, Transport, Critical_infrastructure, E-commerce
Geo:
France, Russian, United states, Asia, America, Thailand, Turkish, Germany, Australia
CVEs:
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)
CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)
CVE-2024-37085 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<5.2)
- vmware esxi (7.0, 8.0)
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam_backup_\&_replication (<11.0.1.1261, 12.0.0.1420)
CVE-2025-7771 [Vulners]
CVSS V3.1: 8.7,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...
TTPs:
Tactics: 11
Technics: 36
IOCs:
File: 9
Command: 1
Hash: 35
IP: 3
Path: 3
Soft:
DeepSeek, Qwen, FortiGate, Active Directory, Windows service, Valorant, ThrottleStop, Event Tracing for Windows, PsExec, Sysinternals, have more...
Crypto:
bitcoin
Algorithms:
curve25519, xchacha20, sha1, ecdh
Functions:
TaskHound, Set-MpPreference
Win API:
DeviceIoControl
Languages:
golang, rust, powershell
YARA: Found
08-07-2026
The Gentlemen Ransomware With Custom EDR/AV Killers Scaling Faster to Attack Industries Worldwide
https://cybersecuritynews.com/gentlemen-ransomware-global-attacks/
Report completeness: High
Actors/Campaigns:
Gentlemen_ransomware (motivation: financially_motivated)
Hastalamuerte
Zeta88
Protagor
Warlock
Dragonforce
Threats:
Gentlemen_ransomware
Av-killer
Qilin_ransomware
Gentlekiller
Edr-killer
Hexkiller
Throttleblood
Havockiller
Credential_harvesting_technique
Oxideharvest
Mamba
Glocker_tool
Netexec_tool
Winrm_tool
Certihound_tool
Nmap_tool
Credential_dumping_technique
Ksldump_tool
Kslkatz_tool
Byovd_technique
Burntcigar
Zemana_tool
Iobit_tool
Poisonx
Medusalocker
Edrstartuphinder_tool
Gfreeze_tool
Glinker_tool
Dumpbrowsersecrets_tool
Zerosalarium_tool
Titanis_tool
Themida_tool
Anydesk_tool
Systembc
Zeropulse_tool
Putty_tool
Vssadmin_tool
Shadow_copies_delete_technique
Manspider_tool
Garble_tool
Wevtutil_tool
Relayking_tool
Mimikatz_tool
Privhound_tool
Regpwn_tool
Cobalt_strike_tool
Ransom.win64.gentleman
Ransom.win64.gentleman.thhaibe
Blackbyte
Trojan:win32/mptamperbulkexcl.h
Bloodhound_tool
Victims:
Manufacturing, Healthcare, Financial services, Critical operational technology, Southeast asia, South america, Western europe, Australia
Industry:
Ics, Education, Healthcare, Foodtech, Transport, Critical_infrastructure, E-commerce
Geo:
France, Russian, United states, Asia, America, Thailand, Turkish, Germany, Australia
CVEs:
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)
CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)
CVE-2024-37085 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<5.2)
- vmware esxi (7.0, 8.0)
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam_backup_\&_replication (<11.0.1.1261, 12.0.0.1420)
CVE-2025-7771 [Vulners]
CVSS V3.1: 8.7,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...
TTPs:
Tactics: 11
Technics: 36
IOCs:
File: 9
Command: 1
Hash: 35
IP: 3
Path: 3
Soft:
DeepSeek, Qwen, FortiGate, Active Directory, Windows service, Valorant, ThrottleStop, Event Tracing for Windows, PsExec, Sysinternals, have more...
Crypto:
bitcoin
Algorithms:
curve25519, xchacha20, sha1, ecdh
Functions:
TaskHound, Set-MpPreference
Win API:
DeviceIoControl
Languages:
golang, rust, powershell
YARA: Found
Cyber Security News
The Gentlemen Ransomware With Custom EDR/AV Killers Scaling Faster to Attack Industries Worldwide
Gentlemen ransomware is rapidly expanding global attacks using custom EDR and antivirus killers, helping threat actors evade detection and compromise organizations worldwide.