#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака Reprompt нацелена на уязвимости в инструментах искусственного интеллекта, таких как Microsoft Copilot, для облегчения необнаруженной эксфильтрации данных. Манипулируя "параметром q" в URL-адресах, связанных с запросами искусственного интеллекта, злоумышленники могут последовательно осуществлять утечку конфиденциальной информации с помощью динамически создаваемых запросов, которые адаптируются на основе предыдущих результатов. Такой скрытный подход позволяет злоумышленникам собирать обширные данные, избегая обнаружения стандартными инструментами мониторинга.
-----

Атака Reprompt - это недавно выявленная угроза, которая использует уязвимости в инструментах на базе искусственного интеллекта, таких как Microsoft Copilot, для облегчения эксфильтрации данных без обнаружения. Этот метод позволяет злоумышленникам осуществлять скрытую кражу данных, используя технологию цепных запросов, которая приводит к последовательной утечке информации в обход мер безопасности предприятия.

Суть атаки заключается в манипулировании "параметром q", который обычно используется в платформах искусственного интеллекта для передачи пользовательских запросов через URL-адреса. Внедряя вредоносные запросы в этот параметр, злоумышленники могут обманом заставить системы искусственного интеллекта выполнять вредоносные инструкции одним щелчком мыши. Это создает сценарий, при котором искусственный интеллект продолжает реагировать постепенно, используя предыдущие выходные данные для формулирования дальнейших вредоносных запросов, эффективно скрывая природу утечки данных.

Одной из ключевых уязвимостей этой атаки является ее динамический характер. Сервер может адаптировать свои запросы на основе ранее отфильтрованных данных, что позволяет ему искать все более конфиденциальную информацию, соответствующую отрасли или роли жертвы. В результате глубина и объем данных, которые могут быть собраны, практически безграничны, а поскольку вредоносные инструкции скрыты в последующих запросах, они остаются необнаружимыми стандартными средствами мониторинга на стороне клиента, которые анализируют только первоначальное приглашение.

Чтобы снизить риск, связанный с такими атаками, поставщикам рекомендуется рассматривать все вводимые URL-адреса как ненадежные и внедрять надежные средства проверки и контроля безопасности. Меры безопасности должны соблюдаться на протяжении всего процесса выполнения, а не только во время первоначального взаимодействия. Кроме того, крайне важно разрабатывать системы с пониманием внутренних угроз, включая такие принципы, как доступ с наименьшими привилегиями, тщательный аудит и обнаружение аномалий для защиты от изощренных методов, используемых злоумышленниками.

Таким образом, атака Reprompt представляет собой продвинутую угрозу, использующую инструменты искусственного интеллекта для непосредственного доступа к данным. Ее зависимость от динамики пользовательских запросов и выполнения команд на стороне сервера делает ее особенно коварной тактикой, требующей тщательных мер безопасности для предотвращения использования.

#ParsedReport #CompletenessLow
14-01-2026

German Manufacturing UnderPhishingAttacks: Tracking a StealthyAsyncRAT Campaign

https://any.run/cybersecurity-blog/german-manufacture-attack/

Report completeness: Low

Threats:
Asyncrat
Xworm_rat

Victims:
Manufacturing companies, German industrial firms

Geo:
Germany, German

CVEs:
CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1210, T1566, T1566.001

IOCs:
Email: 1
File: 2
Hash: 1

Soft:
Dropbox

Algorithms:
sha256, zip

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние расследования указывают на значительный рост киберугроз производственному сектору Германии, с повышенным уровнем атак, особенно со стороны программ-вымогателей и продвинутых кампаний, использующих приманки, специфичные для региона. Примечательный пример связан с развертыванием AsyncRAT, выделяющей тактику, использующую названия компаний и уязвимости, такие как WebDAV и CVE-2024-43451. Анализ вредоносных действий с помощью инструментов анализа угроз выявил критические поведенческие индикаторы и сеть подозрительных доменов, связанных с производством, что свидетельствует о настоятельной необходимости расширения возможностей обнаружения угроз.
-----

Последние исследования подчеркивают заметное увеличение кибер-угроз, ориентированных на производственный сектор, в частности в Германии. Данные, собранные с помощью любых.Запуск показывает, что компании-производители испытывают всплеск нападений, с тарифами, превысив средний видел в других отраслях. Это делает сектор главной мишенью для программ-вымогателей и других продвинутых кампаний, часто использующих приманки, специфичные для региона, для использования уязвимостей этих организаций.

Приводится конкретный пример рассмотрен сложный вредоносная кампания использования AsyncRAT, троян удаленного Trojan. Анализ использования опасная охота методов, с помощью любой.Опасный поиска ведении разведки, что позволяет аналитикам определять и изучать реальные теракты против немецких промышленных фирм. Такой подход допускается для более полного понимания происхождения и методы атаки.

Расследование также выявило сеть связанных с этим вредоносных действий. Анализируя закономерности в электронных письмах и содержимом, относящемся к конкретным компаниям, исследователи смогли отследить вредоносные документы и распознать поведенческие индикаторы, связанные с атаками. Поиск информации об угрозах оказался бесценным, выявив более сотни анализов и несколько подозрительных доменов, связанных с производственными процессами. Поисковые запросы, специально нацеленные на домены с такими фрагментами, как "manufacturer", связанными с известными вредоносными действиями, продемонстрировали четкую корреляцию между этими доменами и стратегиями атак.

Основные выводы указывают на то, что тактика, использующая названия компаний, наряду с использованием уязвимостей, таких как WebDAV и CVE-2024-43451, является распространенным методом привлечения фирм-производителей. Эта тенденция подчеркивает необходимость принятия организациями производственного сектора более активных мер по выявлению угроз. Учитывая уникальные операционные риски отрасли, включая сложные ландшафты ИТ и операционных технологий (OT) и высокую терпимость к простоям, производители становятся все более привлекательными объектами для киберпреступников, стремящихся быстро получить выгоду.

Меняющийся ландшафт угроз требует более строгих мер безопасности на производстве, что подчеркивает важность постоянной бдительности и адаптивных стратегий против возникающих киберугроз.

#ParsedReport #CompletenessLow
14-01-2026

Gamaredon: Now Downloading via Windows Updates Best Friend "BITS"

https://blog.synapticsystems.de/gamaredon-now-downloading-via-windows-updates-best-friend/

Report completeness: Low

Actors/Campaigns:
Gamaredon

Threats:
Gamaload
Litterdrifter
Lolbin_technique
Bitsadmin_tool

ChatGPT TTPs:
do not use without manual check
T1105, T1218.005

IOCs:
Hash: 1
File: 3

Win Services:
BITS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon изменил свои скрипты GamaLoad, теперь в основном используя фоновую службу интеллектуальной передачи (BITS) для загрузки полезных данных, отказавшись от предыдущих методов, которые основывались на двоичных файлах Living-off-the-Land (LOLbins), таких как mshta.exe . Этот метод облегчает скрытный поиск вредоносных полезных данных, позволяя им обходить существующие средства защиты от традиционных методов доставки. Эта эволюция указывает на адаптивную стратегию Gamaredon's, направленную на противодействие усилиям по обнаружению, продолжая при этом использовать уязвимости в ландшафте угроз.
-----

Gamaredon внесла заметные изменения в свои скрипты GamaLoad, теперь используя фоновую интеллектуальную службу передачи данных (BITS) в качестве основного метода загрузки полезных данных. Этот переход знаменует собой отход от ранее предпочитаемых Living-off-the-Land двоичных файлов (LOLbins), таких как mshta.exe и MSXML2.XMLHTTP. BITS - это утилита для Windows, предназначенная для надежной фоновой загрузки, которую злоумышленники используют для скрытного извлечения вредоносных полезных файлов без необходимости использования дополнительных инструментов на диске.

Эволюция методов Gamaredon's подчеркивает постепенную, но эффективную стратегию развития, при которой их зависимость от известной резервной структуры остается неизменной, несмотря на используемые ими инструменты. Интеграция BITS позволяет им обходить средства защиты, которые были установлены против более традиционных методов доставки полезной нагрузки. Такая адаптивность предполагает, что злоумышленник способен эволюционировать в ответ на усилия по обнаружению и смягчению последствий, демонстрируя продуманный подход к поддержанию своей деятельности.

Переход к использованию BITS указывает на то, что Gamaredon работает над усовершенствованием своего подхода, оставаясь в тени. В то время как их предыдущие методы, возможно, стали менее эффективными из-за повышенной осведомленности и защитных мер, их постепенное развитие предполагает приверженность выявлению и использованию любых имеющихся уязвимостей. По мере развития ландшафта угроз растет и необходимость в адаптивных защитных стратегиях для противодействия новым методам, используемым злоумышленниками, такими как Gamaredon.

#ParsedReport #CompletenessMedium
14-01-2026

Free Converter Software - Convert Any System from Clean to Infected in Seconds

https://www.nextron-systems.com/2026/01/14/free-converter-software-convert-any-system-from-clean-to-infected-in-seconds/

Report completeness: Medium

Actors/Campaigns:
Convertmate

Threats:
Timestomp_technique

Victims:
General users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1041, T1053.005, T1105, T1553.002, T1583.001, T1608.006

IOCs:
Domain: 17
File: 7
Hash: 154
Path: 5
Url: 3
Registry: 1

Soft:
Google Chrome, Task Scheduler

Algorithms:
zip, sha256, md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье исследуются Вредоносные Кампании с использованием троянов удаленного доступа (RAT), распространяемых с помощью вредоносной рекламы, которые приводят к появлению поддельных приложений-конвертеров, таких как ConvertMate.exe . Эти приложения используют отозванные Сертификаты подписи кода, чтобы казаться легитимными, и работают как дропперы, развертывая полезные нагрузки, которые подключаются к серверам управления, оставаясь скрытыми. Метод заражения включает в себя создание запланированных задач для вредоносных исполняемых файлов в каталогах, доступных для записи пользователем, подчеркивая необходимость мониторинга связанных событий Windows для обнаружения.
-----

В статье рассматриваются различные Вредоносные Кампании, обычно включающие трояны удаленного доступа (RAT), и методы их распространения, в первую очередь с помощью вредоносной рекламы. В нем описано, как пользователи могут непреднамеренно загружать вредоносное ПО, нажимая на рекламу, которая ведет к поддельным приложениям-конвертерам. Эти приложения часто маскируются под законное программное обеспечение, используя Сертификаты подписи кода, чтобы казаться заслуживающими доверия, даже несмотря на то, что многие из этих сертификатов были отозваны.

Вредоносное ПО, после загрузки, обычно функционирует как дроппер, развертывая дополнительные полезные нагрузки, которые устанавливают связь с сервером управления, оставаясь незаметным для пользователя. В статье приводится конкретный пример, ConvertMate.exe , указывающий на то, что он распространяется через conmateapp.com домен и в конечном счете попадает в данные локального приложения пользователя. Выделена природа задействованных файлов и операционная структура цепочки заражения, при этом многие компоненты закодированы на C#, которые могут быть декомпилированы для дальнейшего анализа.

Ключевым аспектом метода заражения является создание запланированных задач, которые указывают на вредоносные исполняемые файлы в каталогах, доступных для записи пользователем, что делает важным для организаций отслеживать события Windows, связанные с созданием задачи, такие как идентификатор события 4698, и применять решения безопасности, такие как Sysmon, для более подробного ведения журнала событий. Меры контроля приложений, такие как внесение в разрешенный список с помощью таких технологий, как AppLocker или Windows Defender Application Control (WDAC), подчеркиваются в качестве превентивных стратегий против запуска такого вредоносного ПО, особенно из каталогов профилей пользователей.

В статье представлен THOR, инструмент, который можно использовать для оптимизации обнаружения и анализа этих типов инфекций. Это иллюстрирует, как этот инструмент упрощает рабочий процесс расследования, помогая аналитикам быстро выявлять первоначальные признаки компрометации без тщательной ручной проверки журнала. В целом, основное внимание уделяется распознаванию моделей заражения вредоносным ПО с помощью приложений на основе конверторов и внедрению надежных средств защиты для снижения рисков.

#ParsedReport #CompletenessMedium
12-01-2026

"Unsafe Fund": UAC-0190 targeted cyberattacks against CMAs using PLUGGYAPE (CERT-UA#19092)

https://cert.gov.ua/article/6286942

Report completeness: Medium

Actors/Campaigns:
Void_blizzard

Threats:
Pluggyape

Victims:
Ukrainian defense forces

Industry:
Military

Geo:
Ukrainian, Ukraine

IOCs:
Hash: 46
File: 13
IP: 8
Url: 14
Domain: 7
Path: 1
Registry: 1

Soft:
PyInstaller

Algorithms:
base64, sha256

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Период с октября по декабрь 2025, серия нацелен кибератак, помечены UAC-0190, были казнены против украинских Сил обороны, используя вредоносное ПО вредоносных программ, известный как PLUGGYAPE, маскировались под благотворительные фонды. Нападения указывают на стратегическое использование обман, чтобы завоевать доверие и проникнуть военных структур, отражающих геополитические мотивации к срыву операций и сбора разведданных. Операции кибер выделить постоянные угрозы, с которыми сталкиваются военные организации в условиях региональных конфликтов.
-----

В период с октября по декабрь 2025 года сообщалось о серии нацеленных кибератак, обозначенных как UAC-0190, против украинских сил обороны. Эти атаки проводились под предлогом благотворительных фондов и использовали вариант вредоносного ПО, известный как PLUGGYAPE. Национальная группа реагирования на киберинциденты (CERT-UA) и Группа реагирования на киберинциденты Вооруженных сил Украины (воинская часть A0334) сотрудничали в расследовании этих инцидентов.

Вредоносное ПО PLUGGYAPE использовалось для облегчения этих киберопераций, используя прикрытие гуманитарной и благотворительной деятельности в качестве мишени для военнослужащих. Эта тактика отражает стратегический выбор, направленный на завоевание доверия потенциальных жертв, позволяя злоумышленникам проникать в сети, не вызывая немедленных подозрений. Конкретные возможности и функционал вредоносного ПО PLUGGYAPE не были подробно описаны в отчетах, но его использование указывает на сложный уровень оперативного планирования злоумышленниками.

Фокус на украинские силы противовоздушной обороны предполагает, что нападавшие, скорее всего, продиктовано геополитической напряженности или конфликтов, прежде всего в интересах военной инфраструктуры и персонала. Характер нападений, указывает на более широких усилий, чтобы сорвать или скомпрометировать военных операций через обманным путем, возможно с целью сбора разведданных или вызвать функциональные нарушения в украинской оборонной сфере.

Расследование этих атак высвечивает сохраняющиеся киберугрозы, с которыми сталкиваются военные структуры, особенно в регионах конфликтов, и подчеркивает необходимость повышенной бдительности и усовершенствованных мер кибербезопасности для противодействия такой изощренной тактике.

#ParsedReport #CompletenessHigh
12-01-2026

ValleyRAT_S2 Chinese campaign

https://apophis133.medium.com/valleyrat-s2-chinese-campaign-4504b890f416

Report completeness: High

Threats:
Valleyrat
Dll_sideloading_technique
Shadow_copies_delete_technique
Api_obfuscation_technique
Credential_harvesting_technique
Spear-phishing_technique
Supply_chain_technique
Process_injection_technique
Process_hollowing_technique

Victims:
Chinese speaking regions

Industry:
Entertainment, Education

Geo:
China, Chinese, Hong kong, Taiwan, Asia

TTPs:
Tactics: 12
Technics: 22

IOCs:
File: 6
IP: 2
Hash: 2
Path: 4

Soft:
Task Scheduler, csgo, Steam, Telegram, WhatsApp

Algorithms:
sha256

Functions:
SetWindowsHookEx, FindFirstFileEx, GetLocaleInfo

Win API:
GetProcAddress, LoadLibrary, SetThreadContext, WriteProcessMemory, CreateRemoteThread, OpenFileMappingW, OpenEventW, SetEvent, QueryPerformanceFrequency, ShellExecuteExA, have more...

Languages:
cscript, visual_basic, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ValleyRAT_S2 - это сложный троян удаленного доступа (RAT), нацеленный на китайскоязычные регионы и предназначенный для кибершпионажа и финансовых целей. Он имеет модульную структуру C++ и использует различные тактики, такие как Windows Task Scheduler для закрепления, SEH для уклонения и DLL side-loading для скрытности. Вредоносное ПО использует методы MITRE ATT&CK, включая Целевой фишинг, Компрометацию цепочки поставок программного обеспечения и пользовательские протоколы TCP для командования и контроля, обеспечивающие эффективную эксфильтрацию данных и уклонение от обнаружения.
-----

ValleyRAT_S2 - это сложный троян удаленного доступа (RAT), относящийся к семейству вредоносных ПО ValleyRAT, предназначенный в первую очередь для регионов, где говорят на китайском языке. Вредоносное ПО предназначено как для кибершпионажа, так и для финансово мотивированных кампаний. Написанный на C++, он имеет модульную конструкцию и использует различные тактики для разведки системы, закрепления и уклонения.

Вредоносное ПО проводит тщательный анализ системы, выявляя свою способность собирать исчерпывающую информацию о зараженной среде. Чтобы обеспечить закрепление, он использует планировщик задач Windows с использованием COM API для автоматического запуска после перезагрузки системы. Это позволяет вредоносному ПО сохранять свое присутствие в зараженной системе, даже если оно завершено. Кроме того, он сам перезапускается с помощью скрипта Visual Basic, если он отключен, демонстрируя надежный механизм обеспечения устойчивости.

Один из примечательных методов уклонения, используемых ValleyRAT_S2, включает настройку пользовательской обработки структурированных исключений (SEH), чтобы избежать сбоев при анализе в изолированной среде, - обычная тактика, используемая продвинутым вредоносным ПО для обхода механизмов обнаружения. Вредоносное ПО уклоняется от проверки, выдавая себя за файлы законных приложений, в частности, Маскировку под игровые файлы Counter-Strike: Global Offensive (CS:GO), и манипулируя известными библиотеками, такими как steam_api64.dll для Обхода контроля учетных записей (UAC). Это также включает в себя DLL side-loading для обеспечения скрытности работы.

ValleyRAT_S2 использует различные методы атаки из фреймворка MITRE ATT&CK. Он использует тактику Целевого фишинга, доставляя вредоносные вложения в документы, которые могут содержать замаскированные исполняемые файлы. Кроме того, это ставит под угрозу Цепочки поставок программного обеспечения, используя механизмы обновления в популярном местном программном обеспечении, облегчая проникновение с помощью, казалось бы, законных процессов. Вредоносное ПО создано для генерации динамических имен файлов во временном каталоге системы, что еще больше усложняет обнаружение.

Связь между командами и контролем (C2) устанавливается посредством разрешения DNS, используя вызовы getaddrinfo для определенного IP-адреса и порта. Эксфильтрация данных происходит по пользовательскому протоколу TCP, что позволяет передавать собранную информацию злоумышленникам без предупреждения. Вредоносное ПО создает в памяти доброкачественные именованные процессы (например, Telegra.exe , WhatsApp.exe ) для введения в заблуждение пользователей и аналитиков безопасности, повышая его способность оставаться незамеченным.

#ParsedReport #CompletenessLow
14-01-2026

Inside Chinas Hosting Ecosystem: 18,000+ Malware C2 Servers Mapped Across Major ISPs

https://hunt.io/blog/china-hosting-malware-c2-infrastructure

Report completeness: Low

Actors/Campaigns:
Darkspectre
Silver_fox (motivation: cyber_espionage)

Threats:
Cobalt_strike_tool
Mozi
Arl_tool
Mirai
Vshell
Gophish_tool
Acunetix_tool
Nanocore_rat
Asyncrat
React2shell_vuln
Xmrig_miner
L3mon_tool
Rondodox
Supershell
Valleyrat

Victims:
Chinese isps, Chinese cloud providers, Telecom networks, Academic networks, Iot infrastructure

Industry:
E-commerce, Education, Retail, Entertainment, Iot, Telco

Geo:
China, Indian, India, Asia-pacific, Chinese, Chinas, Asia pacific

ChatGPT TTPs:
do not use without manual check
T1071, T1102, T1583, T1584, T1585, T1587

IOCs:
IP: 19

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ выявил более 18 000 активных серверов управления (C2) у 48 китайских хостинг-провайдеров, причем почти половина из них приходится на China Unicom. Доминирующие семейства вредоносных ПО включают Mozi, ARL, Cobalt Strike, Mirai и Vshell, что подчеркивает предпочтение подходов, основанных на фреймворках. Инфраструктура поддерживает различные киберугрозы, включая трояны удаленного доступа, криптоминеры и вредоносное ПО, связанное с государством, в частности, использующее надежные сети, такие как China169 Backbone и CHINANET.
-----

Обширный анализ выявил более 18 000 активных серверов управления (C2), расположенных у 48 хостинг-провайдеров в Китае, которые в основном служат основой для различных вредоносных действий, на долю которых приходится примерно 84% от общего числа наблюдаемых действий. Примечательно, что China Unicom отвечает почти за половину идентифицированных серверов C2, при этом другие крупные провайдеры, такие как Alibaba Cloud и Tencent, также занимают видное место. Полученные данные свидетельствуют о том, что злоумышленники отдают значительное предпочтение развертыванию инфраструктуры в крупномасштабных облачных средах с хорошей репутацией.

Анализ показывает, что горстка вредоносное ПО—в том числе вредоносных программ, Mozi, ARL, Cobalt Strike, Mirai, и Vshell—доминируют в ландшафте С2, что отражает стремление злоумышленники используют рамках подходов, которые способствуют повторяющиеся эксплуатации. В исследованиях подчеркивается, что постоянное присутствие IoT-устройств бот-сеть ботнет, особенно выделяя роль Mozi Мози в крупномасштабных много операций С2. Кроме того, китайцы таких условиях одновременно поддержка различных типов кибер-угроз, таких как трояны удаленного доступа (крысы), cryptominers, и фишинг рамки, наряду с государственными, связанных вредоносное ПО, демонстрирует многогранный экосистема, в которой, как киберпреступники и сложная целенаправленная угроза (APT) группы может работать.

Полученные данные также проливают свет на адресность высоким уровнем доверия сетях, таких как позвоночник China169, Китай-нет, и CERNET, где злоумышленники успешно воспользовавшийся связи и академической инфраструктуры. Отслеживаемая телеметрия включала не только серверы C2, но и вредоносные открытые каталоги и сайты фишинга, в результате чего за период наблюдения было выявлено в общей сложности 21 629 вредоносных артефактов.

Для эффективного анализа этой вредоносной инфраструктуры была внедрена система под названием Host Radar, которая сопоставляет различные сигналы, такие как обнаружения C2, инциденты с фишингом и индикаторы компрометации (IOCs), с конкретными поставщиками и сетями. Эта модель позволяет ориентироваться на принимающую сторону, что помогает понять злоупотребления инфраструктурой в более широком масштабе, позволяя принимать нацеленные ответные меры, а не сосредотачиваться исключительно на эфемерных отдельных показателях.

Наблюдения за инфраструктурой вредоносного ПО у различных китайских поставщиков услуг подчеркивают объем и разнообразие вредоносных действий, демонстрируя тревожную тенденцию в операциях по борьбе с киберугрозами в обширной экосистеме хостинга Китая.