#ParsedReport #CompletenessLow
16-09-2025

S1ngularity/nx attackers strike again

https://www.aikido.dev/blog/s1ngularity-nx-attackers-strike-again

Report completeness: Low

Actors/Campaigns:
S1ngularity

Threats:
Shai-hulud

Victims:
Open source software ecosystem, Software developers, Package maintainers

Industry:
Education

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1059.006, T1071.001, T1105, T1195.001, T1204.002, T1526, T1552, T1553.001, T1567.002, have more...

IOCs:
Domain: 1
File: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники S1ngularity/nx нацеливаются на Репозитории кода с помощью самореплицирующегося червя, который извлекает конфиденциальные данные через скомпрометированные пакеты npm. Вредоносное ПО сканирует переменные среды и собирает учетные данные через конечные точки облачных метаданных, отправляя данные в репозиторий GitHub под скомпрометированной учетной записью и используя действия GitHub для отправки их на внешний URL. Червь усиливает свое распространение, модифицируя файлы package.json для включения вредоносной полезной нагрузки, повторно публикуя зараженные пакеты, чтобы расширить свой охват.
-----

Вновь появились злоумышленники S1ngularity/nx, нацелившиеся на Репозитории кода с помощью сложного червя, который извлекает конфиденциальные данные и увековечивает себя с помощью скомпрометированных пакетов npm. Это вредоносное ПО использует множество стратегий для сбора секретов, сканируя хост и среды непрерывной интеграции на предмет переменных среды, используя такие инструменты, как TruffleHog, и получая доступ к конечным точкам облачных метаданных на таких платформах, как AWS и GCP, для сбора учетных данных экземпляра или службы.

Как только вредоносное ПО собирает конфиденциальную информацию, оно извлекает эти данные двумя основными способами. Он создает репозиторий GitHub с именем "Shai-Hulud" под скомпрометированной учетной записью, где фиксирует дамп JSON, содержащий системную информацию, переменные окружения и различные собранные секреты. Кроме того, он использует веб-интерфейс GitHub Actions для создания рабочего процесса, который сериализует эти секреты и отправляет их на удаленный URL-адрес, контролируемый злоумышленником, а также регистрирует двойную копию информации в формате base64 в журналах действий.

Вредоносное ПО демонстрирует хищническую методологию "взлома и захвата", аналогичную предыдущим атакам nx. Примечательно, что он не только утекает из учетных данных, но и манипулирует репозиториями GitHub, преобразуя частные репозитории в общедоступные. Это действие значительно увеличивает риск несанкционированного доступа к конфиденциальной информации.

Распространяясь через npm, червь загружает целевые архивные файлы и изменяет связанный с ними файл package.json, чтобы увеличить номер версии и добавить новый перехватчик жизненного цикла. Он включает свою вредоносную полезную нагрузку в архивный файл в виде "bundle.js ," гарантируя, что любой код, запущенный в одном зараженном пакете, впоследствии заразит другие. Затем троянский пакет повторно публикуется на npm с использованием учетных данных скомпрометированного сопровождающего, что способствует распространению червя в экосистеме.

Для организаций, использующих Aikido, крайне важно проверять центральные каналы на наличие проблем с вредоносным ПО, поскольку эта уязвимость будет рассматриваться как критическая проблема 100/100. Пользователям рекомендуется инициировать полную повторную проверку своих репозиториев, поскольку ночных проверок Aikido может оказаться недостаточно для быстрого выявления новых инфекций.

#ParsedReport #CompletenessHigh
16-09-2025

Under the Pure Curtain: From RAT to Builder to Coder

https://research.checkpoint.com/2025/under-the-pure-curtain-from-rat-to-builder-to-coder/

Report completeness: High

Actors/Campaigns:
Purecoder (motivation: cyber_criminal)

Threats:
Clickfix_technique
Purehvnc_tool
Sliver_c2_tool
Purecryptor
Purerat
Purelogs
Lolbin_technique
Amsi_bypass_technique
Hvnc_tool
Httpflood_technique
Tcpflood_technique
Silentcryptominer_tool
Pureminer
Fakerat
Runpe_tool

Victims:
Job seekers

Industry:
Media

Geo:
Russian, Russia, Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1056.002, T1057, T1059.001, T1071.001, T1102, T1105, T1106, have more...

IOCs:
Domain: 5
IP: 1
Path: 2
Url: 2
File: 56
Command: 5
Registry: 1
Hash: 9
Coin: 2

Soft:
Telegram, Windows Defender, Chromium, Authy, Chrome, QQBrowser, ChromePlus, 7Star, CentBrowser, Chedot, have more...

Wallets:
harmony_wallet, tronlink, metamask, yoroi, jaxx, bitapp, iwallet, terra_station, bitclip, equal_wallet, have more...

Crypto:
bitcoin, litecoin, ethereum, ravencoin, monero, binance, solana

Algorithms:
base64, gzip, chacha20-poly1305, aes, md5, xor

Functions:
getURL, getTime, getDaysDiff, getListElement, Date, Get-ScheduledTask, Get-Date, TaskManager, DeletePlugins, DeleteRestorePoints, have more...

Win API:
DllRegisterServer, DllUnregisterServer, LdrLoadDll, WriteFileEx, varint, SetThreadExecutionState

Languages:
python, rust, powershell, javascript

Platforms:
x86

Links:
https://github.com/SychicBoy/NETReactorSlayer
https://github.com/aj3423/protod
https://github.com/protobuf-net/protobuf-net
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 8, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix демонстрирует многогранное вторжение с использованием таких инструментов, как PureHVNC RAT, Rust Loader и Sliver C2 framework, инициированное с помощью социальной инженерии с помощью поддельных предложений о работе. Жертвы попадали на страницу фишинга, на которой выполнялся вредоносный JavaScript, позволяющий развертывать RAT PureHVNC и последующую кражу учетных данных с помощью скрипта PowerShell. Сложный по дизайну загрузчик Rust использует методы антианализа и зашифрованную связь, подчеркивая расширенные возможности пакета Pure вредоносного ПО и продолжающуюся эволюцию киберугроз.
-----

Кампания ClickFix, проанализированная Check Point Research, иллюстрирует сложное вторжение с использованием целого ряда инструментов, включая троян удаленного доступа PureHVNC (RAT), загрузчик Rust и платформу управления Sliver (C2). Атака началась с тактики социальной инженерии, которая заманивала жертв с помощью поддельных предложений о работе, что привело к восьмидневному вторжению. Первоначально жертвы перенаправлялись на страницу фишинга, которая по прибытии выполняла вредоносный JavaScript, что позволяло удалять файлы JavaScript и развертывать RAT PureHVNC.

На второй день заражения была представлена более свежая версия PureHVNC, включающая загрузчик Rust и программу установки Inno. На восьмой день, после периода бездействия, злоумышленник внедрил имплантат Sliver, который запускал скрипт PowerShell, запрашивающий у пользователей их пароли, впоследствии сохраняя эти учетные данные в скрытом текстовом файле.

Сам загрузчик Rust представляет собой библиотеку DLL, написанную на Rust, для выполнения которой используется утилита Windows regsvr32. Загрузчик использует двухфункциональный экспорт, оба из которых содержат идентичный вредоносный код, что повышает его функциональную сложность. Кроме того, он использует ChaCha20-Poly1305 для расшифровки строк, генерируя ключи путем объединения двух жестко закодированных значений, встроенных в двоичный файл. Примечательно, что вредоносное ПО обладает надежными возможностями антианализа, включая проверку на соответствие различным антивирусным процессам и средствам безопасности.

PureHVNC выделяется как компетентный инструмент в семействе вредоносных ПО Pure, предлагая функции HVNC (скрытых виртуальных сетевых вычислений), обеспечивающие скрытый удаленный доступ. Его конфигурация запутана с использованием сериализации protobuf, сжатия Gzip и кодирования Base64, что усложняет процесс обратного проектирования. RAT связывается со своим сервером C2 для передачи собранной информации, включая сведения о системе и установленном программном обеспечении, в то время как его плагины динамически управляются посредством взаимодействия с реестром.

В ходе дальнейшего анализа был обнаружен Pure Builder, связанный с PureCoder, создателем этого пакета вредоносного ПО. Расследование инфраструктуры выявило ресурсы GitHub, связанные с разработчиком, что расширило возможности для сбора разведывательной информации в будущем. Связь с Rust Loader и PureCriter подчеркивает наличие инструментария профессионального уровня, адаптированного для различных вредоносных целей, демонстрирующего непрерывную эволюцию вредоносного ПО, нацеленного на ничего не подозревающих пользователей. В целом, кампания ClickFix освещает сложные операции злоумышленников, использующих семейство вредоносных ПО в чистом виде, подчеркивая необходимость постоянного наблюдения и принятия контрмер против таких изощренных атак.

#ParsedReport #CompletenessMedium
16-09-2025

From Red Team to Rogue, Villager Threatens to Become the Next Cobalt Strike

https://www.secureblink.com/cyber-security-news/from-red-team-to-rogue-villager-threatens-to-become-the-next-cobalt-strike

Report completeness: Medium

Threats:
Cobalt_strike_tool
Villager_tool
Supply_chain_technique

Victims:
Software supply chain, Developer environments, Ci and build systems, Organizations without strong controls

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1021, T1059, T1071, T1105, T1190, T1195, T1210, T1568, T1573, T1583, have more...

IOCs:
IP: 1
Hash: 1

Soft:
Docker, Chromium

Functions:
create, run, pyeval

Languages:
python

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Villager - это платформа для тестирования на проникновение, связанная с "Cyberspike", предназначенная для автоматизации задач атаки путем разбиения целей высокого уровня на более мелкие операционные задачи, выполняемые параллельно с помощью эфемерных контейнеров Kali Linux. Он включает в себя механизм генерации с дополненным поиском (RAG) для принятия решений, использующий элементы управления сеансом polymorphic, чтобы скрыть цифровые следы и свести к минимуму видимость судебной экспертизы. Его общедоступность и операционные возможности создают значительные риски для организаций с неадекватным контролем безопасности, потенциально сокращая время пребывания злоумышленников в сети и усиливая воздействие кибер-эксплойтов.
-----

Появление Villager, платформы для тестирования на проникновение, связанной с "Cyberspike", было освещено в отчете команды Straiker AI Research (STAR). Villager работает с помощью сложной высокоуровневой архитектуры, которая объединяет уровень принятия решений, основанный на модели, легкую систему координации и быстродействующий инструментарий. Это позволяет ИТ—отделу эффективно автоматизировать задачи по атакам, принимая во внимание цели высокого уровня, такие как выявление и использование уязвимостей, и разбивая их на более мелкие оперативные задачи, выполняемые параллельно с помощью распределенных инструментов.

Villager использует механизм генерации с дополненным поиском (RAG) для принятия решений, выбирая оптимальные подсказки из базы данных, чтобы направлять выбор инструмента и последующие действия. Фреймворк выполняет задачи в контейнерах Kali Linux по требованию, характеризующихся коротким сроком службы и эфемерными методами ведения журнала, что способствует снижению видимости в судебно-медицинской экспертизе. Кроме того, он поддерживает polymorphic элементы управления сеансами, которые включают рандомизированные SSH-порты и самоуничтожающиеся политики контейнеров, помогая скрыть цифровые следы.

В оперативных сценариях Villager автоматизирует внешнюю разведку, используя сканеры, специфичные для платформы, в контейнерах Kali для выявления уязвимостей и управления приоритетными целями для злоумышленников. Он также поддерживает использование API и браузера путем последовательной аутентификации и логических ошибок. Этапы проверки задачи гарантируют, что попытки эксплуатации будут подтверждены до эскалации, сводя к минимуму риски слепых эксплойтов.

Оценки рисков указывают на высокую вероятность неправильного использования Villager, прежде всего потому, что он общедоступен в виде пакета на PyPI и вызвал значительный интерес, о чем свидетельствуют тысячи загрузок. Для организаций, не имеющих надлежащего контроля безопасности, фреймворк создает значительные риски, сокращая время пребывания злоумышленников в сети и усиливая потенциальное воздействие кибер-эксплойтов.

Предлагаемые немедленные контрмеры включают мониторинг показателей, связанных с Villager и Cyberspike, применение строгих политик в отношении пакетов и ограничение разрешений для сетевых взаимодействий в средах разработки. В среднесрочной перспективе для повышения устойчивости к этим новым угрозам рекомендуется повысить безопасность реестров пакетов в supply chain, создать структуры управления для инструментов искусственного интеллекта и провести учения red team для имитации агентурных атак.

#ParsedReport #CompletenessLow
16-09-2025

The Return of El Dorado: Analyzing the Fast-Growing BlackLock Ransomware Group

https://asec.ahnlab.com/ko/90157/

Report completeness: Low

Threats:
Eldorado_ransomware
Shadow_copies_delete_technique
Ransom/mdp.behavior.m2649
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946
Ransom/mdp.event.m1785
Ransom/mdp.event.m4353
Ransom/mdp.event.m4428
Trojan/win.generic.c5775331

Victims:
Multiple industries and sectors

Industry:
Education, Government, Transport

Geo:
Japan, Korea

ChatGPT TTPs:
do not use without manual check
T1021.002, T1486

IOCs:
File: 3
Hash: 1

Soft:
Linux, ESXi

Algorithms:
xchacha20, ecdh, md5

Functions:
NewUnauthenticatedCipher, XORKeyStream

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BlackLock, группа вымогателей, появившаяся в марте 2024 года, провела ребрендинг с ElDorado в сентябре 2024 года. Он использует язык программирования Go для обеспечения кроссплатформенных возможностей и сложного шифрования, используя уникальные ключи шифрования для каждого файла, защищенного общим ключом. Программа-вымогатель воздействие на среду Windows путем шифрования локальных и сетевых общих папок SMB, а также распространяет свое действие на системы Linux и платформы VMware ESXi, подчеркивая свой широкий потенциал для атак в разных секторах.
-----

BlackLock - это развивающаяся группа программ-вымогателей, которая возникла примерно в марте 2024 года и первоначально была известна как ElDorado до ребрендинга в сентябре 2024 года. Их присутствие стало публично признано в июне 2024 года, когда появился их выделенный сайт утечек (DLS), на котором были обнаружены многочисленные пострадавшие организации, что указывает на то, что их деятельность велась в течение нескольких месяцев до этого.

Программа-вымогатель BlackLock примечательна своей разработкой на языке программирования Go, который позволяет быстро создавать исполняемые файлы в нескольких операционных системах благодаря своим кроссплатформенным возможностям. Группа эффективно использует стандартную библиотеку Go для реализации сложных методов шифрования, используя встроенные пакеты для кодирования и криптографии, которые облегчают создание функций шифрования.

Одной из важнейших особенностей программы-вымогателя BlackLock является ее уникальный подход к шифрованию файлов. Каждому файлу присваивается отдельный ключ шифрования, который дополнительно защищается путем повторного шифрования с помощью общего ключа. Такая стратегия двухуровневого шифрования усложняет восстановление поврежденных файлов без ключей дешифрования. Более того, воздействие программы-вымогателя усиливается в средах Windows, где она может шифровать не только локальные файлы, но и сетевые общие папки SMB, что значительно увеличивает ущерб. Возможности группы распространяются на системы Linux и платформы VMware ESXi, расширяя область их атак и делая их серьезной угрозой для различных секторов. Поскольку BlackLock продолжает действовать, он остается одной из самых активных групп вымогателей, что требует от защитников повышенной бдительности в отношении таких изощренных угроз.

#ParsedReport #CompletenessMedium
16-09-2025

DIGITAL FRONTLINES : INDIA UNDER MULTI-NATION HACKTIVIST ATTACK

https://www.cyfirma.com/research/digital-frontlines-india-under-multi-nation-hacktivist-attack/

Report completeness: Medium

Actors/Campaigns:
Insane_pakistan (motivation: hacktivism)
Sylhetgang (motivation: hacktivism)
Vasudev_strike (motivation: hacktivism)
Ruskinet (motivation: hacktivism)
Trinetara (motivation: hacktivism)

Threats:
Spear-phishing_technique
Process_injection_technique

Victims:
Judicial sector, Defense ministry, Transport sector, Echallan portal users, Income tax department users, Ibn e sina university

Industry:
Education, Government

Geo:
Pakistani, China, Bangladesh, Indonesia, India, Turkey, Pakistan, Palestine, Russian, Chinese, Russia, Indian, Indonesian

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1078, T1190, T1204, T1204.002, T1491, T1498, T1499, T1565, have more...

IOCs:
IP: 2
File: 9
Path: 1
Url: 5
Hash: 2

Soft:
Windows file explorer

Algorithms:
sha256, zip

Functions:
CreateFile, CloseFile

Win API:
TerminateProcess, GetCurrentProcess, WaitForSingleObject, SendDlgItemMessageA, UpdateWindow, GetSystemDirectoryA, FindResourceA, GetModuleFileNameA, GetPrivateProfileStringA, WriteFile, have more...

#ParsedReport #ExtractedSchema

Classified images:
chats: 2, windows: 5, schema: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В период с июля по август 2025 года Индия столкнулась с волной кибератак со стороны различных групп хактивистов, нацеленных на ее цифровую инфраструктуру, включая взлом серверов Верховного суда командой Insane Pakistan, в результате которого произошла утечка конфиденциальных данных. DDoS-атака Sylhet Gang-SG на сайт Министерства обороны Индии выявила уязвимости. Одновременно в кампании по фишингу использовалось вредоносное ПО с китайских ресурсов, что указывает на потенциальную причастность китайских злоумышленников и стирает границы между хактивизмом и киберпреступностью.
-----

С июля по август 2025 года в Индии произошел заметный рост числа кибератак, характеризующихся сочетанием тактик, применяемых различными многонациональными группами хактивистов. Эти атаки были нацелены на критически важные компоненты цифровой инфраструктуры Индии, включая правительственные веб-сайты и судебные серверы. Пакистанская группировка Team Insane Pakistan взяла на себя ответственность за взлом серверов Верховного суда, получив конфиденциальные данные, такие как записи дел и учетные данные пользователей. Кроме того, Sylhet Gang-SG провела DDoS-атаку на веб-сайт Министерства обороны Индии, продемонстрировав уязвимости в жизненно важных правительственных порталах.

В рамках ответного шага, известного как "Операция "Удар Васудева"", индийские хакерские группировки, включая Shadow Phantom и Team Red Eagle, провели контратаки, такие как взлом пакистанского университета Ибн-э-Сина. Индонезийская группа Raizo также участвовала в этих операциях, повредив индийский транспортный узел. Одновременно кампания по фишингу, имитирующая работу Департамента подоходного налога Индии, распространяла вредоносное ПО, примечательное тем, что включало упрощенные китайские ресурсы, что наводит на мысль о причастности китайских злоумышленников.

Эти инциденты свидетельствуют о многовекторной среде угроз, в которой стираются границы между хактивизмом и киберпреступностью. Скоординированный характер атак, включающий утечку данных, дефейс веб-сайтов и распространение вредоносного ПО, отражает стратегический подход, направленный на подрыв национальной безопасности Индии и общественного доверия. Эта растущая тенденция подчеркивает необходимость усиления сбора информации об угрозах и координации между службами безопасности для эффективного снижения рисков, связанных с многонациональными киберугрозами. Эскалация, наблюдаемая в ходе этих событий, знаменует значительный сдвиг в сторону организованных киберопераций, направленных на критически важную цифровую инфраструктуру Индии, что требует срочного внимания и действий в рамках системы кибербезопасности.

#ParsedReport #CompletenessLow
16-09-2025

SmokeLoader Rises From the Ashes

https://www.zscaler.com/blogs/security-research/smokeloader-rises-ashes

Report completeness: Low

Threats:
Smokeloader
Credential_harvesting_technique
Smokebuster

Victims:
Multiple sectors

Geo:
Russian, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1027, T1053.005, T1055, T1105, T1132, T1496, T1497.001, T1518.001, T1562.001, T1573, have more...

IOCs:
File: 3
Coin: 1
Hash: 5
Url: 13

Soft:
Firefox

Algorithms:
md5, crc-32, xor, rc4

Win API:
NtCreateSection

Languages:
python

Links:
https://github.com/ThreatLabz/smokebuster

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SmokeLoader, загрузчик вредоносного ПО, был обновлен до версий 2025 alpha и 2025, расширив возможности доставки полезной нагрузки, включая трояны, программы-вымогатели и похитители информации. Ключевые технические изменения включают в себя более эффективный этап, который предотвращает избыточные инъекции основного модуля и использует проверки мьютексов, наряду с измененными идентификаторами и сетевыми протоколами, которые используют шифрование XOR для запутывания и улучшенные методы обхода. Несмотря на усилия по смягчению последствий, SmokeLoader продолжает активно использоваться различными злоумышленниками, что подчеркивает его постоянную угрозу.
-----

SmokeLoader, загрузчик вредоносного ПО, впервые появившийся в 2011 году, был обновлен, чтобы расширить его возможности по доставке различных полезных нагрузок второго этапа, включая трояны, программы-вымогатели и похитители информации. Недавние наблюдения выявили две новые версии, называемые версией 2025 alpha и версией 2025, которые направлены на устранение проблем с производительностью и улучшение защиты от механизмов обнаружения. Вредоносное ПО использует модульную структуру, которая позволяет выполнять различные функции, такие как сбор учетных записей, перехват браузера и майнинг криптовалют.

Обе версии включают значительные технические изменения, особенно в их компонентах stager и основного модуля. Роль stager заключается в том, чтобы запутывать действия вредоносного ПО, обнаруживать виртуальные среды и внедрять основной модуль в легитимную среду. explorer.exe процесс. Предыдущие версии сталкивались со снижением производительности из-за запланированной задачи, которая запускала stager каждые десять минут без подтверждения того, активен ли основной модуль. Это привело к чрезмерному потреблению ресурсов и созданию новых потоков, что усугубило трудности анализа. Последние обновления включают проверку мьютекса в stager, которая предотвращает многократные инъекции основного модуля, завершая работу, если обнаруживает, что мьютекс уже существует, тем самым повышая эффективность.

Различные идентификаторы и строки в коде были изменены. Соглашение об именовании мьютексов изменилось с фиксированного формата на переменную длину, сгенерированную с помощью псевдослучайного алгоритма, заданного идентификатором бота. Это увеличивает сложность идентификации во время анализа. Кроме того, имя запланированной задачи, которая устанавливает закрепление вредоносного ПО, переключилось с идентификатора, связанного с Firefox, на имя, связанное с обновлениями Microsoft Edge, что еще больше запутывает ее присутствие.

Также был изменен протокол сетевой связи, при этом первоначальный формат ответа был скрыт с помощью XOR-шифрования с ключом RC4. Эти изменения не только оптимизируют производительность, но и усиливают защиту от статических и поведенческих методов обнаружения.

Несмотря на воздействие значительных операций, направленных на срыв его деятельности, SmokeLoader остается функциональным и используется различными злоумышленниками. Поскольку версия 2025 alpha активно внедряется и обратно совместима с более ранними системами командования и контроля (C2), само собой разумеется, что в предстоящей версии 2025 также может увеличиться использование. Усовершенствования SmokeLoader's подтверждают, что он продолжает развиваться как значительная угроза в среде вредоносного ПО.