CTT Report Hub
#ParsedReport #CompletenessLow 16-09-2025 Self-replicating Shai-hulud worm spreads token-stealing malware on npm https://www.reversinglabs.com/blog/shai-hulud-worm-npm Report completeness: Low Actors/Campaigns: S1ngularity Threats: Shai-hulud Sobig Wannacry…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ReversingLabs выявила нового самовоспроизводящегося червя под названием "Shai-hulud", который нацелен на пакеты npm, используя скомпрометированные учетные записи для внедрения вредоносных полезных нагрузок JavaScript. Этот червь, обнаруженный 15 сентября 2023 года, включает в себя функцию обновления пакетов с помощью своего вредоносного кода, что позволяет ему распространяться автономно. В первую очередь он извлекает конфиденциальную информацию, включая токены облачных сервисов, и имеет возможность преобразовывать частные репозитории GitHub в общедоступные, потенциально выявляя уязвимости в исходном коде.
-----
Исследователи из ReversingLabs обнаружили червя "Shai-hulud", первое самовоспроизводящееся вредоносное ПО, нацеленное на пакеты npm. Обнаруженный 15 сентября 2023 года червь использует скомпрометированные учетные записи npm, внедряя вредоносный код как в общедоступные, так и в частные пакеты. Несмотря на то, что истоки кампании "Шаи-хулуд" или ее акторов до конца не установлены, были проведены параллели с предыдущим компромиссом, известным как атака Nx. Обе кампании сосредоточены на популярных пакетах с открытым исходным кодом и направлены на сбор конфиденциальной информации из зараженных сред, используя учетные записи пользователей на GitHub для эксфильтрации данных.
Shai-hulud - это большая полезная нагрузка JavaScript, превышающая 3 МБ, состоящая в основном из вредоносного "bundle.js - файл. Он реализует поведение, подобное червю, автономно обновляя скомпрометированный пакет npm этим Вредоносным файлом с помощью функции, называемой updatePackage. Эта функция изменяет файл package.json, добавляя сценарий постустановки, который включает в себя bundle.js в упаковке, повышающей способность червя к размножению.
Помимо простого распространения, Shai-hulud обладает значительными возможностями для извлечения конфиденциальной информации разработчиков. В первую очередь он ориентирован на токены облачных сервисов, ориентируясь на токены npm, GitHub, AWS и Google Cloud Platform. Кроме того, он устанавливает Trufflehog, инструмент с открытым исходным кодом, предназначенный для обнаружения более 800 типов секретов, что значительно увеличивает его потенциал для кражи данных.
Еще одной тревожной особенностью этого червя является его способность "переносить" частные репозитории GitHub в общедоступные. Эта функция направлена на извлечение жестко закодированных секретов и исходного кода из частных хранилищ, что потенциально позволяет злоумышленникам анализировать код на наличие уязвимостей, которые могут быть использованы в будущих атаках. Первоначальный взлом был связан с пакетом npm "rxnt-аутентификация", а именно с версией 0.0.3, опубликованной незадолго до обнаружения Worm.
Существуют сходства с другими недавними кампаниями npm, в которых использовались методы фишинга и социальной инженерии для получения контроля над учетными записями разработчиков с открытым исходным кодом. Примечательно, что пострадали высокопоставленные разработчики npm, что подчеркивает тревожную тенденцию автоматического распространения вредоносного ПО в экосистемах с открытым исходным кодом.
В конечном счете, червь Shai-hulud поднимает важные вопросы о безопасности реестров с открытым исходным кодом. В отличие от традиционного вредоносного ПО, которое распространяется через взаимодействие с человеком или системные уязвимости, этот самовоспроизводящийся червь использует непрерывные процессы интеграции и доставки, что приводит к быстрому распространению. Необходимость в превентивных мерах, таких как механизм временной остановки публикации пакетов, может оказаться существенной для смягчения будущих угроз в таких средах. Для разработчиков и пользователей бдительность является ключевым фактором; они должны искать признаки заражения, такие как репозитории с описанием "Миграции Шаи-Хулуд" или ветви с именем "шаи-хулуд", чтобы выявить потенциальные компромиссы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ReversingLabs выявила нового самовоспроизводящегося червя под названием "Shai-hulud", который нацелен на пакеты npm, используя скомпрометированные учетные записи для внедрения вредоносных полезных нагрузок JavaScript. Этот червь, обнаруженный 15 сентября 2023 года, включает в себя функцию обновления пакетов с помощью своего вредоносного кода, что позволяет ему распространяться автономно. В первую очередь он извлекает конфиденциальную информацию, включая токены облачных сервисов, и имеет возможность преобразовывать частные репозитории GitHub в общедоступные, потенциально выявляя уязвимости в исходном коде.
-----
Исследователи из ReversingLabs обнаружили червя "Shai-hulud", первое самовоспроизводящееся вредоносное ПО, нацеленное на пакеты npm. Обнаруженный 15 сентября 2023 года червь использует скомпрометированные учетные записи npm, внедряя вредоносный код как в общедоступные, так и в частные пакеты. Несмотря на то, что истоки кампании "Шаи-хулуд" или ее акторов до конца не установлены, были проведены параллели с предыдущим компромиссом, известным как атака Nx. Обе кампании сосредоточены на популярных пакетах с открытым исходным кодом и направлены на сбор конфиденциальной информации из зараженных сред, используя учетные записи пользователей на GitHub для эксфильтрации данных.
Shai-hulud - это большая полезная нагрузка JavaScript, превышающая 3 МБ, состоящая в основном из вредоносного "bundle.js - файл. Он реализует поведение, подобное червю, автономно обновляя скомпрометированный пакет npm этим Вредоносным файлом с помощью функции, называемой updatePackage. Эта функция изменяет файл package.json, добавляя сценарий постустановки, который включает в себя bundle.js в упаковке, повышающей способность червя к размножению.
Помимо простого распространения, Shai-hulud обладает значительными возможностями для извлечения конфиденциальной информации разработчиков. В первую очередь он ориентирован на токены облачных сервисов, ориентируясь на токены npm, GitHub, AWS и Google Cloud Platform. Кроме того, он устанавливает Trufflehog, инструмент с открытым исходным кодом, предназначенный для обнаружения более 800 типов секретов, что значительно увеличивает его потенциал для кражи данных.
Еще одной тревожной особенностью этого червя является его способность "переносить" частные репозитории GitHub в общедоступные. Эта функция направлена на извлечение жестко закодированных секретов и исходного кода из частных хранилищ, что потенциально позволяет злоумышленникам анализировать код на наличие уязвимостей, которые могут быть использованы в будущих атаках. Первоначальный взлом был связан с пакетом npm "rxnt-аутентификация", а именно с версией 0.0.3, опубликованной незадолго до обнаружения Worm.
Существуют сходства с другими недавними кампаниями npm, в которых использовались методы фишинга и социальной инженерии для получения контроля над учетными записями разработчиков с открытым исходным кодом. Примечательно, что пострадали высокопоставленные разработчики npm, что подчеркивает тревожную тенденцию автоматического распространения вредоносного ПО в экосистемах с открытым исходным кодом.
В конечном счете, червь Shai-hulud поднимает важные вопросы о безопасности реестров с открытым исходным кодом. В отличие от традиционного вредоносного ПО, которое распространяется через взаимодействие с человеком или системные уязвимости, этот самовоспроизводящийся червь использует непрерывные процессы интеграции и доставки, что приводит к быстрому распространению. Необходимость в превентивных мерах, таких как механизм временной остановки публикации пакетов, может оказаться существенной для смягчения будущих угроз в таких средах. Для разработчиков и пользователей бдительность является ключевым фактором; они должны искать признаки заражения, такие как репозитории с описанием "Миграции Шаи-Хулуд" или ветви с именем "шаи-хулуд", чтобы выявить потенциальные компромиссы.
#ParsedReport #CompletenessHigh
17-09-2025
NGC6061: a series of phishing attacks on authorities
https://rt-solar.ru/solar-4rays/blog/6064/
Report completeness: High
Actors/Campaigns:
Ngc6061
Obstinate_mogwai
Red_delta
Threats:
Metasploit_tool
Dll_sideloading_technique
Darkgate
Victims:
Public sector
Geo:
Asian, Spanish, Russia, Russian, Russian federation
TTPs:
Tactics: 1
Technics: 1
ChatGPT TTPs:
T1566
IOCs:
Command: 3
File: 23
Path: 17
Url: 6
IP: 7
Domain: 4
Coin: 1
Email: 7
Hash: 31
Soft:
Microsoft Word, OLLVM
Algorithms:
aes-128-ecb, xor, base64, sha1, sha256, md5
Functions:
Get-ChildItem
Languages:
powershell
Platforms:
intel
17-09-2025
NGC6061: a series of phishing attacks on authorities
https://rt-solar.ru/solar-4rays/blog/6064/
Report completeness: High
Actors/Campaigns:
Ngc6061
Obstinate_mogwai
Red_delta
Threats:
Metasploit_tool
Dll_sideloading_technique
Darkgate
Victims:
Public sector
Geo:
Asian, Spanish, Russia, Russian, Russian federation
TTPs:
Tactics: 1
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1566
IOCs:
Command: 3
File: 23
Path: 17
Url: 6
IP: 7
Domain: 4
Coin: 1
Email: 7
Hash: 31
Soft:
Microsoft Word, OLLVM
Algorithms:
aes-128-ecb, xor, base64, sha1, sha256, md5
Functions:
Get-ChildItem
Languages:
powershell
Platforms:
intel
rt-solar.ru
NGC6061: Фишинговая атака на госорганы России в 2024-2025 годах
Технический анализ фишинговой кампании NGC6061 против госсектора. Рассматриваем самораспаковывающиеся LNK-файлы, Powershell-скрипты и уникальный пакер для Metasploit. Подробный разбор угрозы
CTT Report Hub
#ParsedReport #CompletenessHigh 17-09-2025 NGC6061: a series of phishing attacks on authorities https://rt-solar.ru/solar-4rays/blog/6064/ Report completeness: High Actors/Campaigns: Ngc6061 Obstinate_mogwai Red_delta Threats: Metasploit_tool Dll_sid…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
С сентября 2024 года целенаправленные атаки фишинга, приписываемые злоумышленнику NGC6061, связанному с кластером Cybercrown, были сосредоточены на российских организациях государственного сектора. Эти попытки фишинга обычно связаны с вводящими в заблуждение электронными письмами, которые выдают себя за законных лиц, с целью обманом заставить получателей перейти по Вредоносным ссылкам или загрузить вредоносные вложения для компрометации конфиденциальных систем. Проводимые мероприятия подчеркивают, что фишинг является постоянной тактикой получения конфиденциальной информации и несанкционированного доступа к сети.
-----
С сентября 2024 года на российские организации государственного сектора была направлена серия целенаправленных атак с использованием фишинга, приписываемых злоумышленнику, который, как полагают, является частью кластера Cybercrown, обозначенного как NGC6061. Эта кампания демонстрирует устойчивый характер фишинга как тактики, используемой киберпреступниками для компрометации чувствительных правительственных систем.
Электронные письма с фишингом, используемые в этих атаках, обычно выдают себя за законных лиц, пытаясь обманом заставить получателей либо перейти по Вредоносным ссылкам, либо загрузить вредоносные вложения. Точная тактика и методы, используемые NGC6061, хотя и не детализированы полностью, предполагают стратегическое нацеливание на государственные органы с намерением получить конфиденциальную информацию или получить несанкционированный доступ к сетям.
Поскольку деятельность кластера NGC6061 продолжает разворачиваться, понимание методологий, лежащих в основе таких кампаний по фишингу, имеет решающее значение для усиления защитных механизмов в затронутых секторах. Организациям настоятельно рекомендуется сохранять бдительность и применять надежные стратегии обнаружения фишинга в рамках своей политики кибербезопасности, чтобы снизить риски, связанные с этими типами атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
С сентября 2024 года целенаправленные атаки фишинга, приписываемые злоумышленнику NGC6061, связанному с кластером Cybercrown, были сосредоточены на российских организациях государственного сектора. Эти попытки фишинга обычно связаны с вводящими в заблуждение электронными письмами, которые выдают себя за законных лиц, с целью обманом заставить получателей перейти по Вредоносным ссылкам или загрузить вредоносные вложения для компрометации конфиденциальных систем. Проводимые мероприятия подчеркивают, что фишинг является постоянной тактикой получения конфиденциальной информации и несанкционированного доступа к сети.
-----
С сентября 2024 года на российские организации государственного сектора была направлена серия целенаправленных атак с использованием фишинга, приписываемых злоумышленнику, который, как полагают, является частью кластера Cybercrown, обозначенного как NGC6061. Эта кампания демонстрирует устойчивый характер фишинга как тактики, используемой киберпреступниками для компрометации чувствительных правительственных систем.
Электронные письма с фишингом, используемые в этих атаках, обычно выдают себя за законных лиц, пытаясь обманом заставить получателей либо перейти по Вредоносным ссылкам, либо загрузить вредоносные вложения. Точная тактика и методы, используемые NGC6061, хотя и не детализированы полностью, предполагают стратегическое нацеливание на государственные органы с намерением получить конфиденциальную информацию или получить несанкционированный доступ к сетям.
Поскольку деятельность кластера NGC6061 продолжает разворачиваться, понимание методологий, лежащих в основе таких кампаний по фишингу, имеет решающее значение для усиления защитных механизмов в затронутых секторах. Организациям настоятельно рекомендуется сохранять бдительность и применять надежные стратегии обнаружения фишинга в рамках своей политики кибербезопасности, чтобы снизить риски, связанные с этими типами атак.
#ParsedReport #CompletenessHigh
17-09-2025
From the Depths: Analyzing the Cthulhu Stealer Malware for macOS
https://www.darktrace.com/blog/from-the-depths-analyzing-the-cthulhu-stealer-malware-for-macos
Report completeness: High
Actors/Campaigns:
Rhysida
Vice_society
Threats:
Cthulhu_stealer
Amos_stealer
Silversparrow
Keranger
Chainbreak_tool
Seo_poisoning_technique
Putty_tool
Oyster
Typosquatting_technique
Rhysida
Dll_sideloading_technique
Spear-phishing_technique
Victims:
Macos users, It administrators
Industry:
E-commerce, Government
TTPs:
Tactics: 2
Technics: 18
IOCs:
File: 12
Hash: 6
IP: 4
Url: 4
Domain: 4
Soft:
macOS, Chrome, Telegram, Firefox, Gatekeeper, acOS St, Windows Scheduled Task, WordPress, curl
Wallets:
metamask, coinbase, wassabi, daedalus, electrum, atomicwallet, harmony_wallet, coinomi
Crypto:
enjin
Algorithms:
zip, md5
Languages:
golang, applescript, javascript
Platforms:
apple, arm
YARA: Found
Links:
17-09-2025
From the Depths: Analyzing the Cthulhu Stealer Malware for macOS
https://www.darktrace.com/blog/from-the-depths-analyzing-the-cthulhu-stealer-malware-for-macos
Report completeness: High
Actors/Campaigns:
Rhysida
Vice_society
Threats:
Cthulhu_stealer
Amos_stealer
Silversparrow
Keranger
Chainbreak_tool
Seo_poisoning_technique
Putty_tool
Oyster
Typosquatting_technique
Rhysida
Dll_sideloading_technique
Spear-phishing_technique
Victims:
Macos users, It administrators
Industry:
E-commerce, Government
TTPs:
Tactics: 2
Technics: 18
IOCs:
File: 12
Hash: 6
IP: 4
Url: 4
Domain: 4
Soft:
macOS, Chrome, Telegram, Firefox, Gatekeeper, acOS St, Windows Scheduled Task, WordPress, curl
Wallets:
metamask, coinbase, wassabi, daedalus, electrum, atomicwallet, harmony_wallet, coinomi
Crypto:
enjin
Algorithms:
zip, md5
Languages:
golang, applescript, javascript
Platforms:
apple, arm
YARA: Found
Links:
https://github.com/n0fate/chainbreakerDarktrace
Cthulhu Malware Stealer for macOS
Cado Security (now part of Darktrace) analyzed "Cthulhu Stealer," a macOS malware-as-a-service written in Go.
CTT Report Hub
#ParsedReport #CompletenessHigh 17-09-2025 From the Depths: Analyzing the Cthulhu Stealer Malware for macOS https://www.darktrace.com/blog/from-the-depths-analyzing-the-cthulhu-stealer-malware-for-macos Report completeness: High Actors/Campaigns: Rhysida…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Cthulhu Stealer - это вредоносное ПО для macOS, написанное на Go, предназначенное для кражи учетных данных и информации о криптовалюте путем Маскировки под законное программное обеспечение и использования инструмента "osascript" для запроса пароля пользователя. Он поддерживает как архитектуру x86_64, так и ARM и распространяется через подпольные рынки с партнерскими соглашениями. Бэкдор Oyster, обнаруженный в 2023 году, обеспечивает удаленный доступ и использует управление из командной строки; его доставка включает в себя Отравление поисковой оптимизации (SEO), маскировку полезной нагрузки под законное программное обеспечение и демонстрацию изощренной тактики уклонения.
-----
Cthulhu Stealer - это вредоносное ПО для macOS "как услуга", которое крадет учетные данные и информацию о криптовалюте.
Он написан на Go и маскируется под легальное программное обеспечение для сбора конфиденциальных пользовательских данных.
Вредоносное ПО распространяется путем аренды доступа через подпольные торговые площадки за 500 долларов в месяц.
Cthulhu Stealer поддерживает как архитектуру x86_64, так и ARM и поставляется в виде Apple DMG, содержащего два двоичных файла.
Вредоносное ПО использует "osascript" для запроса паролей пользователей, что указывает на потенциальную связь с Atomic Stealer.
В Cthulhu Stealer реализована партнерская модель распределения прибыли, основанная на успешных внедрениях.
Бэкдор Oyster, обнаруженный в середине 2023 года, представляет собой вредоносное ПО на C++, обеспечивающее удаленный доступ и управление из командной строки.
Oyster использует поисковую систему SEO poisoning (izesoizes) для доставки полезных данных, замаскированных под легальное программное обеспечение, такое как PuTTY.
Активность RDP была замечена после обмена данными с серверами Oyster C2, что указывает на перемещение внутри компании в сетях.
Зашифрованные строки пользовательского агента в сетевом трафике предполагают методы обфускации для лучшего сокрытия атрибуции.
Очевидна тенденция использования вредоносного ПО как услуги (MaaS), когда вредоносное ПО адаптируется для достижения целей операторов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Cthulhu Stealer - это вредоносное ПО для macOS, написанное на Go, предназначенное для кражи учетных данных и информации о криптовалюте путем Маскировки под законное программное обеспечение и использования инструмента "osascript" для запроса пароля пользователя. Он поддерживает как архитектуру x86_64, так и ARM и распространяется через подпольные рынки с партнерскими соглашениями. Бэкдор Oyster, обнаруженный в 2023 году, обеспечивает удаленный доступ и использует управление из командной строки; его доставка включает в себя Отравление поисковой оптимизации (SEO), маскировку полезной нагрузки под законное программное обеспечение и демонстрацию изощренной тактики уклонения.
-----
Cthulhu Stealer - это вредоносное ПО для macOS "как услуга", которое крадет учетные данные и информацию о криптовалюте.
Он написан на Go и маскируется под легальное программное обеспечение для сбора конфиденциальных пользовательских данных.
Вредоносное ПО распространяется путем аренды доступа через подпольные торговые площадки за 500 долларов в месяц.
Cthulhu Stealer поддерживает как архитектуру x86_64, так и ARM и поставляется в виде Apple DMG, содержащего два двоичных файла.
Вредоносное ПО использует "osascript" для запроса паролей пользователей, что указывает на потенциальную связь с Atomic Stealer.
В Cthulhu Stealer реализована партнерская модель распределения прибыли, основанная на успешных внедрениях.
Бэкдор Oyster, обнаруженный в середине 2023 года, представляет собой вредоносное ПО на C++, обеспечивающее удаленный доступ и управление из командной строки.
Oyster использует поисковую систему SEO poisoning (izesoizes) для доставки полезных данных, замаскированных под легальное программное обеспечение, такое как PuTTY.
Активность RDP была замечена после обмена данными с серверами Oyster C2, что указывает на перемещение внутри компании в сетях.
Зашифрованные строки пользовательского агента в сетевом трафике предполагают методы обфускации для лучшего сокрытия атрибуции.
Очевидна тенденция использования вредоносного ПО как услуги (MaaS), когда вредоносное ПО адаптируется для достижения целей операторов.
#ParsedReport #CompletenessMedium
17-09-2025
Going Underground: China-aligned TA415 Conducts U.S.-China Economic Relations Targeting Using VS Code Remote Tunnels
https://www.proofpoint.com/us/blog/threat-insight/going-underground-china-aligned-ta415-conducts-us-china-economic-relations
Report completeness: Medium
Actors/Campaigns:
Ta415 (motivation: cyber_espionage)
Winnti
Chengdu_404_leak (motivation: cyber_espionage)
I-soon_leak (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Voldemort
Whirlcoil
Victims:
United states government, Think tanks, Academic organizations, Aerospace sector, Chemicals sector, Insurance sector, Manufacturing sector
Industry:
Chemical, Government, Aerospace
Geo:
China, Chinese
ChatGPT TTPs:
T1027, T1105, T1204, T1219, T1566, T1566.002
IOCs:
File: 4
Path: 1
Coin: 1
Domain: 1
Email: 3
Url: 8
Hash: 11
Soft:
Visual Studio, Dropbox, OpenDrive, VSCode
Algorithms:
sha256, base64, zip
Languages:
python
17-09-2025
Going Underground: China-aligned TA415 Conducts U.S.-China Economic Relations Targeting Using VS Code Remote Tunnels
https://www.proofpoint.com/us/blog/threat-insight/going-underground-china-aligned-ta415-conducts-us-china-economic-relations
Report completeness: Medium
Actors/Campaigns:
Ta415 (motivation: cyber_espionage)
Winnti
Chengdu_404_leak (motivation: cyber_espionage)
I-soon_leak (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Voldemort
Whirlcoil
Victims:
United states government, Think tanks, Academic organizations, Aerospace sector, Chemicals sector, Insurance sector, Manufacturing sector
Industry:
Chemical, Government, Aerospace
Geo:
China, Chinese
ChatGPT TTPs:
do not use without manual checkT1027, T1105, T1204, T1219, T1566, T1566.002
IOCs:
File: 4
Path: 1
Coin: 1
Domain: 1
Email: 3
Url: 8
Hash: 11
Soft:
Visual Studio, Dropbox, OpenDrive, VSCode
Algorithms:
sha256, base64, zip
Languages:
python
Proofpoint
Going Underground: China-aligned TA415 Conducts U.S.-China Economic Relations Targeting Using VS Code Remote Tunnels | Proofpoint…
What happened Throughout July and August 2025, TA415 conducted spearphishing campaigns targeting United States government, think tank, and academic organizations utilizing U.S.-China
CTT Report Hub
#ParsedReport #CompletenessMedium 17-09-2025 Going Underground: China-aligned TA415 Conducts U.S.-China Economic Relations Targeting Using VS Code Remote Tunnels https://www.proofpoint.com/us/blog/threat-insight/going-underground-china-aligned-ta415-conducts…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В середине 2025 года китайская хакерская группировка TA415 провела кампании spearphishing, нацеленные на правительственные учреждения США и академические институты, используя тактику Имперсонации, сосредоточенную вокруг американо-китайских экономических тем. Они перешли от использования бэкдора Voldemort к использованию запутанного загрузчика Python WhirlCoil, облегчающего заражение через удаленные туннели VS Code. TA415 связан с сетевой технологией Chengdu 404 и имеет связи с Министерством государственной безопасности Китая, что указывает на его причастность к спонсируемым государством усилиям по кибершпионажу в условиях меняющейся геополитической динамики.
-----
В июле и августе 2025 года хакерская группировка TA415, связанная с Китаем, проводила кампании spearphishing, направленные против правительственных структур США, аналитических центров и академических институтов. Тактика группы заключалась в том, чтобы выдавать себя за узнаваемых деятелей и организации, связанные с американо-китайскими отношениями, в частности, используя темы, связанные с экономической политикой и торговлей, для получения конфиденциальной информации от своих целей.
Следуя более ранним кампаниям, в которых использовался бэкдор Voldemort, который они поставили в августе 2024 года, TA415 адаптировала свои методы, интегрировав использование удаленных туннелей VS Code. К сентябрю 2024 года они изменили свою методологию заражения, внедрив запутанный загрузчик Python, известный как WhirlCoil, для облегчения удаленного туннелирования VS Code.
инфекции. В число объектов, подвергшихся атаке на этом этапе, входили организации из аэрокосмического, химического, страхового и производственного секторов, параллельно с деятельностью, о которой сообщила другая компания, Cyble, в октябре 2024 года.
Атрибуция этих кампаний связывает TA415 с частным подрядчиком под названием Chengdu 404 Network Technology, базирующимся в Чэнду, Китай. Исторические ассоциации предполагают, что эта группа сотрудничает с другими частными подрядчиками в рамках китайской системы кибершпионажа. Примечательно, что некоторые обвиняемые члены этой группы заявили о своей принадлежности к гражданской службе внешней разведки Китая, Министерству государственной безопасности (МГБ). Proofpoint с высокой степенью достоверности относит описанные действия к TA415, основываясь на установленных корреляциях с известной инфраструктурой, последовательных схемах таргетинга и используемых TTP, соответствующих интересам Китая.
Последствия этих целенаправленных атак подчеркивают динамичный ландшафт угроз, на который влияют геополитические сдвиги. Изменение целей указывает на возможную корректировку приоритетов разведки, отражающую развитие американо-китайских экономических и внешнеполитических отношений. Поскольку эти действия соответствуют государственным интересам Китая, характер целевых организаций и сроки проведения операций предполагают обдуманный ответ на текущие геополитические условия. Это служит напоминанием о постоянной и эволюционирующей киберугрозе, исходящей от акторов, связанных с государством, в сфере международных отношений.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В середине 2025 года китайская хакерская группировка TA415 провела кампании spearphishing, нацеленные на правительственные учреждения США и академические институты, используя тактику Имперсонации, сосредоточенную вокруг американо-китайских экономических тем. Они перешли от использования бэкдора Voldemort к использованию запутанного загрузчика Python WhirlCoil, облегчающего заражение через удаленные туннели VS Code. TA415 связан с сетевой технологией Chengdu 404 и имеет связи с Министерством государственной безопасности Китая, что указывает на его причастность к спонсируемым государством усилиям по кибершпионажу в условиях меняющейся геополитической динамики.
-----
В июле и августе 2025 года хакерская группировка TA415, связанная с Китаем, проводила кампании spearphishing, направленные против правительственных структур США, аналитических центров и академических институтов. Тактика группы заключалась в том, чтобы выдавать себя за узнаваемых деятелей и организации, связанные с американо-китайскими отношениями, в частности, используя темы, связанные с экономической политикой и торговлей, для получения конфиденциальной информации от своих целей.
Следуя более ранним кампаниям, в которых использовался бэкдор Voldemort, который они поставили в августе 2024 года, TA415 адаптировала свои методы, интегрировав использование удаленных туннелей VS Code. К сентябрю 2024 года они изменили свою методологию заражения, внедрив запутанный загрузчик Python, известный как WhirlCoil, для облегчения удаленного туннелирования VS Code.
инфекции. В число объектов, подвергшихся атаке на этом этапе, входили организации из аэрокосмического, химического, страхового и производственного секторов, параллельно с деятельностью, о которой сообщила другая компания, Cyble, в октябре 2024 года.
Атрибуция этих кампаний связывает TA415 с частным подрядчиком под названием Chengdu 404 Network Technology, базирующимся в Чэнду, Китай. Исторические ассоциации предполагают, что эта группа сотрудничает с другими частными подрядчиками в рамках китайской системы кибершпионажа. Примечательно, что некоторые обвиняемые члены этой группы заявили о своей принадлежности к гражданской службе внешней разведки Китая, Министерству государственной безопасности (МГБ). Proofpoint с высокой степенью достоверности относит описанные действия к TA415, основываясь на установленных корреляциях с известной инфраструктурой, последовательных схемах таргетинга и используемых TTP, соответствующих интересам Китая.
Последствия этих целенаправленных атак подчеркивают динамичный ландшафт угроз, на который влияют геополитические сдвиги. Изменение целей указывает на возможную корректировку приоритетов разведки, отражающую развитие американо-китайских экономических и внешнеполитических отношений. Поскольку эти действия соответствуют государственным интересам Китая, характер целевых организаций и сроки проведения операций предполагают обдуманный ответ на текущие геополитические условия. Это служит напоминанием о постоянной и эволюционирующей киберугрозе, исходящей от акторов, связанных с государством, в сфере международных отношений.
#ParsedReport #CompletenessHigh
17-09-2025
Mapping the Infrastructure and Malware Ecosystem of MuddyWater
https://www.group-ib.com/blog/muddywater-infrastructure-malware/
Report completeness: High
Actors/Campaigns:
Muddywater (motivation: cyber_espionage)
Threats:
Muddyrot
Stealthcache
Phoenix_keylogger
Fooder
Spear-phishing_technique
Liteinject
Atera_tool
Simplehelp_tool
Ehorus_tool
N-able_tool
Screenconnect_tool
Syncro_tool
Dchspy
Dll_sideloading_technique
Cannonrat
Udpgangster
Hackbrowser
Go-socks5_tool
Victims:
Telecommunications, Government, Energy, Defense, Critical infrastructure
Industry:
Government, Critical_infrastructure, Energy, Telco
Geo:
Iran, Israel, Middle east, Israeli, Hungary, Turkey, Iranian, Azerbaijan, Tehran, Asian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1041, T1057, T1059.001, T1071.001, T1105, T1119, T1204.002, T1566.001, T1566.002, have more...
IOCs:
File: 17
Hash: 4
Domain: 2
Path: 5
Command: 1
Url: 9
IP: 12
Soft:
Dropbox, Android, macOS, Linux, Microsoft Office
Algorithms:
md5, exhibit, xor, aes, sha256
Functions:
DllEntryPoint
Win API:
setsockopt, CryptHashData, CryptDeriveKey, CryptDecrypt, GetLastError
Languages:
golang, powershell, python
Links:
have more...
17-09-2025
Mapping the Infrastructure and Malware Ecosystem of MuddyWater
https://www.group-ib.com/blog/muddywater-infrastructure-malware/
Report completeness: High
Actors/Campaigns:
Muddywater (motivation: cyber_espionage)
Threats:
Muddyrot
Stealthcache
Phoenix_keylogger
Fooder
Spear-phishing_technique
Liteinject
Atera_tool
Simplehelp_tool
Ehorus_tool
N-able_tool
Screenconnect_tool
Syncro_tool
Dchspy
Dll_sideloading_technique
Cannonrat
Udpgangster
Hackbrowser
Go-socks5_tool
Victims:
Telecommunications, Government, Energy, Defense, Critical infrastructure
Industry:
Government, Critical_infrastructure, Energy, Telco
Geo:
Iran, Israel, Middle east, Israeli, Hungary, Turkey, Iranian, Azerbaijan, Tehran, Asian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1041, T1057, T1059.001, T1071.001, T1105, T1119, T1204.002, T1566.001, T1566.002, have more...
IOCs:
File: 17
Hash: 4
Domain: 2
Path: 5
Command: 1
Url: 9
IP: 12
Soft:
Dropbox, Android, macOS, Linux, Microsoft Office
Algorithms:
md5, exhibit, xor, aes, sha256
Functions:
DllEntryPoint
Win API:
setsockopt, CryptHashData, CryptDeriveKey, CryptDecrypt, GetLastError
Languages:
golang, powershell, python
Links:
https://github.com/moonD4rk/HackBrowserDatahave more...
https://github.com/hashicorp/yamuxhttps://github.com/armon/go-socks5Group-IB
Tracking MuddyWater in Action: Infrastructure, Malware and Operations during 2025
This blog post offers an in-depth insight about MuddyWater, an Iranian state-sponsored APT group. It examines their recent tools and malware, network infrastructure, and changes in operational activity observed since early 2025.
CTT Report Hub
#ParsedReport #CompletenessHigh 17-09-2025 Mapping the Infrastructure and Malware Ecosystem of MuddyWater https://www.group-ib.com/blog/muddywater-infrastructure-malware/ Report completeness: High Actors/Campaigns: Muddywater (motivation: cyber_espionage)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
MuddyWater, иранская группа по сложным целенаправленным атакам, с начала 2025 года активизировала свою деятельность, сосредоточившись на spear phishing и развертывании пользовательского вредоносного ПО против целей на Ближнем Востоке, в Европе и Соединенных Штатах. Ключевые варианты включают BugSleep, бэкдор C/C++ для выполнения команд и передачи файлов; StealthCache, который улучшает связь C2 через HTTP(ы); и Fooder, загрузчик, который выполняет полезные нагрузки в памяти. Группа использует разнообразную инфраструктуру, включая AWS и Cloudflare, для облегчения своей деятельности и поддержания операционной безопасности.
-----
MuddyWater, спонсируемая иранским государством группа по сложным целенаправленным атакам (Сложные целенаправленные атаки), с начала 2025 года проявляет все большую активность, в первую очередь нацеливаясь на организации по всему Ближнему Востоку, Европе и Соединенным Штатам. Операционная стратегия этой группы перешла от оппортунистических кампаний удаленного мониторинга и управления (RMM) к более целенаправленному spear phishing и внедрению пользовательского вредоносного ПО, что свидетельствует о более изощренном подходе.
Ключевые варианты вредоносного ПО, идентифицированные как часть арсенала MuddyWater's, включают BugSleep, StealthCache, Phoenix, Fooder и LiteInject. BugSleep, написанный на C/C++, служит пользовательским бэкдором, который облегчает выполнение команд и передачу файлов между скомпрометированными системами и серверами управления (C2). С середины 2024 года он был широко развернут, особенно на Ближнем Востоке и в Европе. StealthCache известен своими расширенными функциями и расширенными коммуникационными возможностями C2, использующими HTTP-запросы к конечной точке, где команды диктуют действия вредоносного ПО. Команды могут инициировать кражу файлов, проверку процессов на соответствие известным решениям безопасности и отправку сообщений обратно на сервер C2, что позволяет операторам сохранять осведомленность о мерах безопасности, применяемых в зараженных средах.
Phoenix - это еще один вариант вредоносного ПО, приписываемый MuddyWater, отличающийся минималистичной функциональностью бэкдора, в котором он расшифровывает встроенный PE-файл и запускает его. Fooder, функционирующий как загрузчик, предназначен для загрузки, расшифровки и выполнения полезных нагрузок вредоносного ПО, хранящихся в памяти, иногда используя методы DLL side-loading. Группа имеет большой опыт в использовании проектов Golang с открытым исходным кодом для улучшения своих операционных результатов.
Инфраструктура MuddyWater's разнообразна и использует такие сервисы, как AWS, Cloudflare и пуленепробиваемые хостинговые решения. Этот анализ инфраструктуры имеет решающее значение для понимания их методов работы и облегчает принятие упреждающих мер против их деятельности. Отслеживание регистраций доменов и действий хостинг-провайдера позволяет специалистам по кибербезопасности более эффективно выявлять атаки и отслеживать онлайн-присутствие MuddyWater's.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
MuddyWater, иранская группа по сложным целенаправленным атакам, с начала 2025 года активизировала свою деятельность, сосредоточившись на spear phishing и развертывании пользовательского вредоносного ПО против целей на Ближнем Востоке, в Европе и Соединенных Штатах. Ключевые варианты включают BugSleep, бэкдор C/C++ для выполнения команд и передачи файлов; StealthCache, который улучшает связь C2 через HTTP(ы); и Fooder, загрузчик, который выполняет полезные нагрузки в памяти. Группа использует разнообразную инфраструктуру, включая AWS и Cloudflare, для облегчения своей деятельности и поддержания операционной безопасности.
-----
MuddyWater, спонсируемая иранским государством группа по сложным целенаправленным атакам (Сложные целенаправленные атаки), с начала 2025 года проявляет все большую активность, в первую очередь нацеливаясь на организации по всему Ближнему Востоку, Европе и Соединенным Штатам. Операционная стратегия этой группы перешла от оппортунистических кампаний удаленного мониторинга и управления (RMM) к более целенаправленному spear phishing и внедрению пользовательского вредоносного ПО, что свидетельствует о более изощренном подходе.
Ключевые варианты вредоносного ПО, идентифицированные как часть арсенала MuddyWater's, включают BugSleep, StealthCache, Phoenix, Fooder и LiteInject. BugSleep, написанный на C/C++, служит пользовательским бэкдором, который облегчает выполнение команд и передачу файлов между скомпрометированными системами и серверами управления (C2). С середины 2024 года он был широко развернут, особенно на Ближнем Востоке и в Европе. StealthCache известен своими расширенными функциями и расширенными коммуникационными возможностями C2, использующими HTTP-запросы к конечной точке, где команды диктуют действия вредоносного ПО. Команды могут инициировать кражу файлов, проверку процессов на соответствие известным решениям безопасности и отправку сообщений обратно на сервер C2, что позволяет операторам сохранять осведомленность о мерах безопасности, применяемых в зараженных средах.
Phoenix - это еще один вариант вредоносного ПО, приписываемый MuddyWater, отличающийся минималистичной функциональностью бэкдора, в котором он расшифровывает встроенный PE-файл и запускает его. Fooder, функционирующий как загрузчик, предназначен для загрузки, расшифровки и выполнения полезных нагрузок вредоносного ПО, хранящихся в памяти, иногда используя методы DLL side-loading. Группа имеет большой опыт в использовании проектов Golang с открытым исходным кодом для улучшения своих операционных результатов.
Инфраструктура MuddyWater's разнообразна и использует такие сервисы, как AWS, Cloudflare и пуленепробиваемые хостинговые решения. Этот анализ инфраструктуры имеет решающее значение для понимания их методов работы и облегчает принятие упреждающих мер против их деятельности. Отслеживание регистраций доменов и действий хостинг-провайдера позволяет специалистам по кибербезопасности более эффективно выявлять атаки и отслеживать онлайн-присутствие MuddyWater's.
#ParsedReport #CompletenessHigh
17-09-2025
Tech Note - BeaverTail variant distributed via malicious repositories and ClickFix lure
https://gitlab-com.gitlab.io/gl-security/security-tech-notes/threat-intelligence-tech-notes/north-korean-malware-sept-2025/
Report completeness: High
Actors/Campaigns:
Contagious_interview
Famous_chollima
Threats:
Beavertail
Clickfix_technique
Invisibleferret
Fakecaptcha_technique
Golangghost
Flexibleferret
Ottercookie
Residential_proxy_technique
Victims:
Cryptocurrency sector, Retail sector, Marketing roles, Trader roles
Industry:
Retail, Education, E-commerce, Software_development
Geo:
North korean, Russian, Polish
ChatGPT TTPs:
T1027, T1036, T1059.004, T1059.006, T1059.007, T1105, T1140, T1204, T1548.003, T1555.003, have more...
IOCs:
Domain: 2
Url: 2
File: 3
IP: 15
Email: 2
Hash: 11
Soft:
curl, sudo, macOS, Linux, PyInstaller, payuniversal2, e, Chrome
Wallets:
tronlink, exodus_wallet, binancechain, enkrypt, unisat
Crypto:
ethereum
Algorithms:
sha256, 7zip, base64, exhibit
Languages:
visual_basic, javascript, golang, python
Links:
have more...
17-09-2025
Tech Note - BeaverTail variant distributed via malicious repositories and ClickFix lure
https://gitlab-com.gitlab.io/gl-security/security-tech-notes/threat-intelligence-tech-notes/north-korean-malware-sept-2025/
Report completeness: High
Actors/Campaigns:
Contagious_interview
Famous_chollima
Threats:
Beavertail
Clickfix_technique
Invisibleferret
Fakecaptcha_technique
Golangghost
Flexibleferret
Ottercookie
Residential_proxy_technique
Victims:
Cryptocurrency sector, Retail sector, Marketing roles, Trader roles
Industry:
Retail, Education, E-commerce, Software_development
Geo:
North korean, Russian, Polish
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1059.004, T1059.006, T1059.007, T1105, T1140, T1204, T1548.003, T1555.003, have more...
IOCs:
Domain: 2
Url: 2
File: 3
IP: 15
Email: 2
Hash: 11
Soft:
curl, sudo, macOS, Linux, PyInstaller, payuniversal2, e, Chrome
Wallets:
tronlink, exodus_wallet, binancechain, enkrypt, unisat
Crypto:
ethereum
Algorithms:
sha256, 7zip, base64, exhibit
Languages:
visual_basic, javascript, golang, python
Links:
https://github.com/vercel/pkghttps://github.com/nvm-sh/nvmhave more...
https://github.com/pyinstaller/pyinstaller
CTT Report Hub
#ParsedReport #CompletenessHigh 17-09-2025 Tech Note - BeaverTail variant distributed via malicious repositories and ClickFix lure https://gitlab-com.gitlab.io/gl-security/security-tech-notes/threat-intelligence-tech-notes/north-korean-malware-sept-2025/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В мае 2025 года исследователи обнаружили спонсируемых государством северокорейских акторов, распространяющих два варианта вредоносного ПО, BeaverTail и InvisibleFerret, нацеленных на криптовалютный сектор и розничную торговлю. BeaverTail, вредоносное ПО на JavaScript, которое крадет конфиденциальную информацию, было доставлено с помощью приманок ClickFix и использовало мошенническую платформу для найма персонала. Эта кампания ознаменовала собой изменение тактики, в ходе которой был применен конкретный таргетинг на определенные расширения браузера и продемонстрирован более простой масштаб операций при низких показателях обнаружения, наблюдаемых на ранних этапах развертывания.
-----
В мае 2025 года исследователи кибербезопасности выявили инфраструктуру, связанную с распространением двух вариантов вредоносного ПО, BeaverTail и InvisibleFerret, которые приписываются спонсируемым государством злоумышленникам из Северной Кореи, известным под такими идентификаторами, как Contagious Interview и Famous Chollima. Эти варианты вредоносного ПО были нацелены на роли маркетологов и трейдеров в секторах криптовалют и розничной торговли, отличаясь от предыдущих ролей разработчиков программного обеспечения. Эта кампания продемонстрировала изменение тактики злоумышленника, использующего приманки ClickFix для манипулирования соискателями, чтобы заставить их запускать вредоносное ПО BeaverTail, которое было скомпилировано в исполняемые файлы, а не доставлялось в виде сценариев, что указывает на меньший масштаб операции на данном этапе.
BeaverTail, признанный вредоносным ПО на JavaScript, ранее скрывался в Репозиториях кода вредоносных программ, предназначенных для разработчиков программного обеспечения, под видом возможностей трудоустройства. После проникновения он крадет конфиденциальные данные, включая информацию о кошельке криптовалюты, системные учетные данные и данные браузера, прежде чем развернуть вторичную полезную нагрузку, известную как InvisibleFerret, средство для кражи информации и удаленного доступа.
Приманка ClickFix направляла пользователей на мошенническую платформу для найма персонала, разработанную на хостинговом сервисе Vercel, которая предназначалась для поиска соискателей работы и запросов об инвестициях. Что касается механизмов доставки, кампании были дифференцированы на разных платформах. Для macOS команда ClickFix извлекает исправленный установочный пакет, который выполняет сценарий предварительной установки. Напротив, для Windows она загружала архивный файл, содержащий необходимые компоненты вредоносного ПО, в то время как для систем Linux команда использовала wget для получения сценария, передаваемого в bash для выполнения, что приводило к установке вредоносного ПО.
Вариант BeaverTail, запущенный в рамках этой кампании, демонстрирует заметное упрощение, ориентируясь только на восемь конкретных расширений браузера, в отличие от обычных двадцати двух. Его целевой подход отражает сужение фокуса на менее распространенных криптовалютных кошельках при одновременной интеграции минимальных методов запутывания. Злоумышленник, по-видимому, использовал IP-адреса, связанные с российскими телекоммуникационными компаниями, и, возможно, полагался на адреса, внесенные в список разрешенных, чтобы защитить себя от непреднамеренного заражения своей операционной среды.
Ранние наблюдения показывают, что разработка этой операции началась в начале 2025 года, а первые тестовые развертывания состоялись в мае. Показатели указывают на то, что кампания еще не достигла широкомасштабного распространения, о чем свидетельствуют минимальное присутствие в "песочницах" вредоносного ПО и низкие показатели обнаружения, наряду с остатками разработки, обнаруженными в коде вредоносного ПО, и заметными недостатками в используемой тактике социальной инженерии.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В мае 2025 года исследователи обнаружили спонсируемых государством северокорейских акторов, распространяющих два варианта вредоносного ПО, BeaverTail и InvisibleFerret, нацеленных на криптовалютный сектор и розничную торговлю. BeaverTail, вредоносное ПО на JavaScript, которое крадет конфиденциальную информацию, было доставлено с помощью приманок ClickFix и использовало мошенническую платформу для найма персонала. Эта кампания ознаменовала собой изменение тактики, в ходе которой был применен конкретный таргетинг на определенные расширения браузера и продемонстрирован более простой масштаб операций при низких показателях обнаружения, наблюдаемых на ранних этапах развертывания.
-----
В мае 2025 года исследователи кибербезопасности выявили инфраструктуру, связанную с распространением двух вариантов вредоносного ПО, BeaverTail и InvisibleFerret, которые приписываются спонсируемым государством злоумышленникам из Северной Кореи, известным под такими идентификаторами, как Contagious Interview и Famous Chollima. Эти варианты вредоносного ПО были нацелены на роли маркетологов и трейдеров в секторах криптовалют и розничной торговли, отличаясь от предыдущих ролей разработчиков программного обеспечения. Эта кампания продемонстрировала изменение тактики злоумышленника, использующего приманки ClickFix для манипулирования соискателями, чтобы заставить их запускать вредоносное ПО BeaverTail, которое было скомпилировано в исполняемые файлы, а не доставлялось в виде сценариев, что указывает на меньший масштаб операции на данном этапе.
BeaverTail, признанный вредоносным ПО на JavaScript, ранее скрывался в Репозиториях кода вредоносных программ, предназначенных для разработчиков программного обеспечения, под видом возможностей трудоустройства. После проникновения он крадет конфиденциальные данные, включая информацию о кошельке криптовалюты, системные учетные данные и данные браузера, прежде чем развернуть вторичную полезную нагрузку, известную как InvisibleFerret, средство для кражи информации и удаленного доступа.
Приманка ClickFix направляла пользователей на мошенническую платформу для найма персонала, разработанную на хостинговом сервисе Vercel, которая предназначалась для поиска соискателей работы и запросов об инвестициях. Что касается механизмов доставки, кампании были дифференцированы на разных платформах. Для macOS команда ClickFix извлекает исправленный установочный пакет, который выполняет сценарий предварительной установки. Напротив, для Windows она загружала архивный файл, содержащий необходимые компоненты вредоносного ПО, в то время как для систем Linux команда использовала wget для получения сценария, передаваемого в bash для выполнения, что приводило к установке вредоносного ПО.
Вариант BeaverTail, запущенный в рамках этой кампании, демонстрирует заметное упрощение, ориентируясь только на восемь конкретных расширений браузера, в отличие от обычных двадцати двух. Его целевой подход отражает сужение фокуса на менее распространенных криптовалютных кошельках при одновременной интеграции минимальных методов запутывания. Злоумышленник, по-видимому, использовал IP-адреса, связанные с российскими телекоммуникационными компаниями, и, возможно, полагался на адреса, внесенные в список разрешенных, чтобы защитить себя от непреднамеренного заражения своей операционной среды.
Ранние наблюдения показывают, что разработка этой операции началась в начале 2025 года, а первые тестовые развертывания состоялись в мае. Показатели указывают на то, что кампания еще не достигла широкомасштабного распространения, о чем свидетельствуют минимальное присутствие в "песочницах" вредоносного ПО и низкие показатели обнаружения, наряду с остатками разработки, обнаруженными в коде вредоносного ПО, и заметными недостатками в используемой тактике социальной инженерии.
#ParsedReport #CompletenessHigh
17-09-2025
ShinyHunters Calling: Financially Motivated Data Extortion Group Targeting Enterprise Cloud Applications
https://blog.eclecticiq.com/shinyhunters-calling-financially-motivated-data-extortion-group-targeting-enterprise-cloud-applications
Report completeness: High
Actors/Campaigns:
Shinyhunters (motivation: financially_motivated, cyber_criminal, information_theft)
0ktapus (motivation: financially_motivated, cyber_criminal)
Shiny_spider
Lapsus
Yukari
Sp1d3r_hunters (motivation: cyber_criminal)
Dragonforce (motivation: financially_motivated)
Threats:
Supply_chain_technique
Sim_swapping_technique
Qtox_tool
Screenconnect_tool
Anydesk_tool
Mfa_bombing_technique
Spear-phishing_technique
Credential_dumping_technique
Evilginx_tool
Victims:
Enterprise cloud application users, Salesforce users, Okta users, National bank, Japanese car manufacturer, Enterprise development environments
Industry:
Entertainment, Financial, E-commerce, Energy, Transport, Aerospace, Telco, Retail
Geo:
French, Japanese, Brazil
CVEs:
CVE-2021-35587 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 1
Technics: 30
IOCs:
Domain: 22
IP: 8
Hash: 5
Coin: 2
Soft:
ESXi, Telegram, Salesforce, Slack, Unix
Wallets:
coinbase
Crypto:
bitcoin
Algorithms:
sha256
Languages:
php
Platforms:
apple
17-09-2025
ShinyHunters Calling: Financially Motivated Data Extortion Group Targeting Enterprise Cloud Applications
https://blog.eclecticiq.com/shinyhunters-calling-financially-motivated-data-extortion-group-targeting-enterprise-cloud-applications
Report completeness: High
Actors/Campaigns:
Shinyhunters (motivation: financially_motivated, cyber_criminal, information_theft)
0ktapus (motivation: financially_motivated, cyber_criminal)
Shiny_spider
Lapsus
Yukari
Sp1d3r_hunters (motivation: cyber_criminal)
Dragonforce (motivation: financially_motivated)
Threats:
Supply_chain_technique
Sim_swapping_technique
Qtox_tool
Screenconnect_tool
Anydesk_tool
Mfa_bombing_technique
Spear-phishing_technique
Credential_dumping_technique
Evilginx_tool
Victims:
Enterprise cloud application users, Salesforce users, Okta users, National bank, Japanese car manufacturer, Enterprise development environments
Industry:
Entertainment, Financial, E-commerce, Energy, Transport, Aerospace, Telco, Retail
Geo:
French, Japanese, Brazil
CVEs:
CVE-2021-35587 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 1
Technics: 30
IOCs:
Domain: 22
IP: 8
Hash: 5
Coin: 2
Soft:
ESXi, Telegram, Salesforce, Slack, Unix
Wallets:
coinbase
Crypto:
bitcoin
Algorithms:
sha256
Languages:
php
Platforms:
apple
Eclecticiq
ShinyHunters Calling: Financially Motivated Data Extortion Group Targeting Enterprise Cloud Applications
EclecticIQ analysts assess with high confidence that ShinyHunters is expanding its operations by combining AI-enabled voice phishing, supply chain compromises, and leveraging malicious insiders.