#ParsedReport #CompletenessMedium
19-01-2026

Proxyware being distributed under the guise of Notepad++ tool.

https://asec.ahnlab.com/ko/92163/

Report completeness: Medium

Actors/Campaigns:
Larva-25012

Threats:
Proxyjacking_technique
Digitalpulse
Autoclicker_tool
Dploader
Dll_sideloading_technique

Victims:
General consumers

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1036.005, T1053.005, T1059.001, T1059.006, T1059.007, T1102, T1140, T1218.011, T1562.001, T1574.002, have more...

IOCs:
File: 12
Path: 2
Coin: 1
Hash: 5
Url: 5
Domain: 4

Soft:
SteamCleaner, Task Scheduler, dot net, WIndows Defender

Algorithms:
md5

Languages:
powershell, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атаки Proxyjacking, приписываемые злоумышленнику Larva-25012, связаны с распространением прокси-программ, таких как DigitalPulse и Infatica, с помощью вредоносного ПО, замаскированного под Notepad++. Вредоносное ПО использует различные методы обхода, включая Внедрение кода в процесс в проводник Windows и использование разработанных на C++ установщиков "Setup.msi", которые встраивают вредоносные библиотеки DLL, зарегистрированные в планировщике задач. Кроме того, актор использует загрузчики, такие как "TextShaping.dll ," и DPLoader, который отключает меры безопасности и выполняет загруженные полезные файлы через Rundll32.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщил о продолжающихся атаках Proxyjacking, связанных с злоумышленником, известным как Larva-25012. Эта группа в основном распространяет прокси-программы, в том числе DigitalPulse, Honeygain и Infatica, путем Маскировки своего вредоносного ПО под законный инструмент Notepad++. Злоумышленник использует разнообразные приемы уклонения от обнаружения, такие как инъекции proxyware в Проводнике процесс и используя Python для командования и управления (C&C) о сообщениях.

Методы распределения часто связаны с рекламой на веб-сайтах, рекламирующих бесплатные загрузки видео с YouTube и нелегального программного обеспечения, в том числе трещины и кейгенов. Самое вредоносное ПО поставляется в различных формах, в частности путем "установки.КГУ" инсталлятор написан на С++, которая внедряет вредоносные программы в виде динамически подключаемой библиотеки (вредоносное ПО). Это особенно вредоносное ПО регистрирует себя с помощью планировщика задач с надписью "обновление" Блокнота "планировщик" и выполнен с использованием процесса rundll32.exe .

Другой метод включает в себя "Setup.zip " архив, содержащий законную версию Notepad++ вместе с загрузчиком вредоносного ПО, идентифицированным как "TextShaping.dll ." После выполнения "Setup.exe , " загрузчик использует методы DLL side-loading для запуска вредоносного ПО. Этот вариант содержит зашифрованный шеллкод, который расшифровывается и запускается во время выполнения, в конечном счете выполняя дроппер в памяти.

Дополнительная информация свидетельствует о том, что злоумышленник использует как обфусцированный JavaScript и Python версии загрузчика называется DPLoader. JavaScript как вариант напрямую связывается с C&C-сервер, в то время как Python версия использует упрощенные методы для отправки команд и данных скачать.

Действие DPLoader's включает в себя регистрацию задач, связанных с установкой прокси-программ. Например, установка Infatica Proxyware включает в себя создание таких задач, как "MicrosoftAntiMalwareTool.exe ," который отключает защитник Windows, среди прочих функций. Аналогично, для установки DigitalPulse DPLoader создает задачу под названием "SyncTaskUpdatescheduler", ответственную за выполнение загруженного "syncupdates.dll " через Rundll32, демонстрирующий прямую связь с вредоносным ПО Notepad++.

В заключение статьи пользователям рекомендуется проявлять осторожность при загрузке исполняемых файлов из неофициальных источников, а также рекомендуется установить защитное программное обеспечение, такое как продукты версии 3, для защиты от потенциальных заражений.

#ParsedReport #CompletenessLow
19-01-2026

From Extension to Infection: An In-Depth Analysis of the Evelyn Stealer Campaign Targeting Software Developers

https://www.trendmicro.com/en_us/research/26/a/analysis-of-the-evelyn-stealer-campaign.html

Report completeness: Low

Threats:
Evelyn_stealer
Dll_injection_technique
Process_hollowing_technique
Process_injection_technique
Trojan.win32.downloader.cm
Trojan.win64.malinjector.a
Trojan.win64.badbrowser.a

Victims:
Software developers, Organizations with software development teams

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1055.012, T1059.001, T1105, T1106, T1195, T1497, T1574.002

IOCs:
File: 6
Hash: 4

Soft:
Visual Studio Code, Hyper-V, VirtualBox, QEMU, Linux

Algorithms:
zip, aes-256-cbc, aes, sha256

Win API:
CreateProcessA

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 14

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Evelyn Stealer нацелена на разработчиков программного обеспечения через экосистему расширений кода Visual Studio, используя многоступенчатую атаку для развертывания вредоносного ПО, похищающего информацию. Первоначально замаскированный под законную библиотеку Lightshot DLL, он использует Внедрение в пустой процесс для ввода конечной полезной нагрузки в процесс Windows, используя шифрование AES-256-CBC для сокрытия. Вредоносное ПО использует передовые методы уклонения для обхода мер безопасности, что отражает изощренный подход к использованию надежных сред разработки.
-----

Кампания Evelyn Stealer - это изощренная киберугроза, которая специально нацелена на разработчиков программного обеспечения, используя экосистему расширений Visual Studio Code (VSC). Злоумышленники используют многоступенчатый подход к установке вредоносного ПО для кражи информации, которое разработано для извлечения конфиденциальных данных, таких как учетные данные разработчика и информация о криптовалюте. Это создает риск не только для отдельных сред разработчиков, но и для более широких организационных систем, которые полагаются на VSC и сторонние расширения, а также на доступ к облачным ресурсам и производственным системам.

Начальная точка входа этой атаки через загрузчик, замаскированный под легитимный компонент Lightshot файлов. Как только это вредоносное расширение ВСК установлен, оно вызывается аутентичные Lightshot.exe. Самое вредоносное ПО выполняется тогда, когда DLL загружается, имитирующих законные функции, чтобы избежать обнаружения. Впоследствии он запускает скрытые PowerShell PowerShell, чтобы загрузить второго этапа грузоподъемностью, который был сохранен в "runtime.exe" в локальный каталог Temp.

Компонент второго этапа - это инжектор Внедрения в пустой процесс, который расшифровывает и вводит конечную полезную нагрузку, известную как Evelyn Stealer, в законный процесс Windows".grpconv.exe ". При расшифровке используется шифрование AES-256-CBC, гарантирующее, что полезная нагрузка остается скрытой до выполнения.

После запуска Evelyn Stealer динамически разрешает необходимые API Windows для своих операций, включая Внедрение кода в процесс, манипулирование файлами, доступ к реестру и сетевое взаимодействие. Он включает в себя множество методов уклонения, предназначенных для обмана решений безопасности, автоматизированных инструментов анализа и изолированных сред. Эти меры обхода включают методы обнаружения виртуальных машин, отладчиков и специальные проверки для сред анализа, таких как сеансы Протокола удаленного рабочего стола (RDP) и Hyper-V, что отражает тщательный уровень операционной безопасности.

Кампания иллюстрирует растущую тенденцию использования доверенных сообществ разработчиков в качестве важных целей в сфере разработки программного обеспечения. Внедряясь в экосистему расширений VSC и используя передовые тактики, такие как шифрование и многоуровневые механизмы антианализа, операция Evelyn Stealer демонстрирует высокий уровень сложности и намерение избежать обнаружения, используя при этом присущее разработчикам доверие к своим инструментам.

#ParsedReport #CompletenessHigh
19-01-2026

Hunting Lazarus: Inside the Contagious Interview C2 Infrastructure

https://redasgard.com/blog/hunting-lazarus-contagious-interview-c2-infrastructure

Report completeness: High

Actors/Campaigns:
Contagious_interview
Lazarus
Blocknovas

Threats:
Winrm_tool
Tsunami_botnet
Xmrig_miner
Dead_drop_technique
Beavertail
Tsunami_framework
Supply_chain_technique

Victims:
Software development, Cryptocurrency users, Blockchain sector

Industry:
Education, Financial

Geo:
Australia, North korean, Dprk, Ukrainian, Japan

TTPs:
Tactics: 3
Technics: 16

IOCs:
File: 7
IP: 7
Coin: 1
Hash: 1

Soft:
VSCode, Node.js, Chrome

Wallets:
metamask, exodus_wallet

Crypto:
monero

Algorithms:
xor, base64, sha256

Functions:
getCookie

Win API:
decompress

Languages:
powershell, javascript, python

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование северокорейской Вредоносной Кампании, получившей название "Contagious Interview", выявило атаку, инициированную с помощью вредоносной конфигурации VSCode в проекте Upwork, позволяющей выполнять код при доступе к проекту. В угрозе использовалась многоуровневая инфраструктура управления, с основными и резервными серверами, обеспечивающими расширенную защиту от обфускации и модульную доставку полезной нагрузки. Примечательно, что вредоносное ПО включало в себя сложный бэкдор, интегрированный с майнером криптовалюты XMRig, использующий различные тактики уклонения, разделение учетных данных и вводящие в заблуждение конечные точки, что характеризует его как сложную и постоянную угрозу.
-----

Расследование выявило северокорейское вредоносное ПО из кампании "Contagious Interview", использующее механизм автоматического выполнения VSCode с помощью вредоносного файла ".vscode/tasks.json". Многоуровневая инфраструктура управления включала в себя основной сервер по адресу 147.124.213.232 и несколько резервных серверов, способных обслуживать модульные полезные нагрузки через конечные точки с аутентификацией по токенам с высокой степенью запутывания. Аналитики обнаружили бэкдор с использованием майнера криптовалюты XMRig, замаскированного под msedge.exe , указывающие цели кражи учетных данных и Несанкционированного использования ресурсов. Вредоносное ПО идентифицировано как бэкдор Tsunami на базе Python, известный своими механизмами закрепления и стратегиями монетизации. Наблюдения выявили автоматизированные меры безопасности, включая растяжки и ограничение скорости, что привело к отключению служб C2 во время проверки. Злоумышленники использовали более 37 800 комбинаций учетных данных в своих усилиях по разделению и включали нефункциональные конечные точки, чтобы ввести в заблуждение исследователей безопасности. Жестко закодированные учетные данные MongoDB позволяли получить доступ к важным данным из скомпрометированной базы данных. Данные с высокой степенью достоверности связывают кампанию с северокорейскими акторами, а тактика соответствует предыдущим действиям. Рекомендуется специальное отслеживание IP-адресов C2 и характерных портов, таких как 1244 и 1249, для дальнейшего обнаружения и смягчения последствий. Вредоносное ПО соответствует различным методам в рамках MITRE ATT&CK, подчеркивая необходимость постоянной бдительности.

#ParsedReport #CompletenessHigh
19-01-2026

Operation Nomad Leopard: Targeted Spear-Phishing Campaign Against Government Entities in Afghanistan

https://www.seqrite.com/blog/operation-nomad-leopard-targeted-spear-phishing-campaign-against-government-entities-in-afghanistan/

Report completeness: High

Actors/Campaigns:
Nomad_leopard

Threats:
Spear-phishing_technique
Falsecub
Motw_bypass_technique

Victims:
Government entities, Ministries, Administrative offices

Industry:
Government

Geo:
Emirates, Pakistan, Afghanistan, Afghan

TTPs:
Tactics: 8
Technics: 16

IOCs:
File: 10
IP: 2
Domain: 1
Hash: 4
Url: 2

Soft:
curl

Algorithms:
sha256, base64

Functions:
GetUserNameWand

Win API:
GetTickCount64, GlobalMemoryStatusEx, IsDebuggerPresent, GetComputerNameW, GetDriveTypeW, CreateProcessW, closesocket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Nomad Leopard нацелена на афганских государственных служащих с помощью Целевого фишинга с использованием обманчивых ISO-файлов, имитирующих официальные документы. Атака начинается с ISO-файла, который при запуске открывает ярлык, ведущий к внедрению вредоносного ПО, известного как FALSECUB, двоичный исполняемый файл C++ с временной меткой 2025 года. Злоумышленники также используют такие платформы, как GitHub, для размещения Вредоносных файлов, что указывает на текущие оперативные стратегии по использованию правительственных контекстов в будущих кампаниях.
-----

Команда SEQRITE Labs APT отслеживала киберкампанию, получившую название Operation Nomad Leopard, которая направлена на Целевой фишинг афганских правительственных служащих с помощью обманчивой приманки, имитирующей официальный правительственный документ. В этой операции используется тщательно разработанный поддельный документ, нацеленный на министерства и административные учреждения, подчеркивающий важность оперативной безопасности и подчеркивающий внимание злоумышленников к деталям при представлении документов.

Атака начинается с ISO файл с названием "AfghanistanIslamiEmirates.iso," что было отмечено в команды телеметрии на 23 декабря и позднее нашли на VirusTotal. Этот файл ISO является первоначальный доступ доступ, используя поведение окон обрабатывать файлы ISO в качестве виртуальных дисков, тем самым обойти типичные электронной почты и меры по обеспечению безопасности конечных точек, которые могут ограничить выполнение вредоносного кода. Путем внедрения вредоносных компонентов в рамках этого формата, злоумышленники стремятся избежать обнаружения.

Как только ISO-файл запущен, второй этап включает в себя файл быстрого доступа с именем "Doc.pdf.lnk", который запускает загрузку и выполнение конечной полезной нагрузки - имплантата вредоносного ПО, называемого FALSECUB. В ходе анализа FALSECUB было определено, что это двоичный исполняемый файл на C++ с временной меткой, указывающей на то, что злоумышленник потенциально планирует будущие действия, учитывая его дату, установленную на 2025 год.

На протяжении всей кампании злоумышленники используют известные платформы, такие как GitHub, для размещения своих Вредоносных файлов, пользуясь доверием, которое обычно вызывают эти платформы. Вредоносное ПО пытается подключиться к различным IP-адресам и доменам, что указывает на более широкую инфраструктуру, используемую злоумышленниками, хотя общая изощренность злоумышленника представляется ограниченной. Вместо этого они полагаются на ряд шаблонов документов, связанных с правительством, что свидетельствует о стратегическом намерении провести аналогичные операции в других регионах за пределами Афганистана.

Таким образом, операция Nomad Leopard представляет собой наглядный пример использования социально сконструированных документов для распространения вредоносного ПО, иллюстрирующий как техническую методологию, включающую файлы ISO и LNK, так и оперативную стратегию, которая использует правительственный контекст для использования конкретных целей.

#ParsedReport #CompletenessHigh
19-01-2026

COMmand & Evade: Turla's Kazuar v3 Loader

https://r136a1.dev/2026/01/14/command-and-evade-turlas-kazuar-v3-loader/

Report completeness: High

Actors/Campaigns:
Turla
Gamaredon

Threats:
Kazuar
Amsi_bypass_technique
Native_loader
Dll_sideloading_technique

Victims:
Multiple sectors

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1027, T1056.001, T1059.005, T1106, T1218, T1559.001, T1562.001, T1574.002, T1620, T1622, have more...

IOCs:
Url: 5
File: 21
Registry: 10
Path: 12
IP: 1
Hash: 10
Domain: 1

Soft:
Component Object Model, Event Tracing for Windows, Windows COM, Windows Registry, NET Framework, Windows Defender, WordPress

Algorithms:
cbc, md5, sha256, aes, xor

Functions:
CreateObject, CreateFolder, SetRequestHeader, GetFolder, GetModuleHandle, GetDelegateForFunctionPointer

Win API:
GetObject, SymInitialize, SymCleanup, SafeArrayAccessData, SafeArrayUnaccessData, StringFromCLSID, CLSIDFromProgID, CLSIDFromString, CoUninitialize, EnumWindows, have more...

Languages:
php, python

Platforms:
x64

YARA: Found

Links:
https://github.com/TheEnergyStory/LoadLibraryControlFlowRedirection
https://github.com/TheEnergyStory/PatchlessEtwAndAmsiBypass
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Turla's Kazuar v3 loader использует сложный многоступенчатый процесс заражения, который повышает скрытность и позволяет уклоняться от решений безопасности. Первоначально он запускает законно подписанный установщик драйверов принтера для дополнительной загрузки native Loader, который расшифровывает и загружает основные полезные данные. Конструкция загрузчика позволяет ему приостанавливать незамерзающие потоки и использовать запутанные .Сетевые сборки, в то время как полезная нагрузка Kazuar, включая компоненты для выполнения задач и Регистрации нажатий клавиш, тщательно продумана, чтобы избежать обнаружения благодаря сложной архитектуре и манипулированию потоками управления.
-----

Turla's Kazuar v3 loader представляет усовершенствованный многоступенчатый процесс заражения, разработанный для скрытности и обхода современных мер безопасности. Эта версия, которая впервые была представлена в начале 2024 года, использует COM-модель объектов (COM) наряду со сложными методами обхода для отслеживания событий для Windows (ETW) и интерфейсом проверки на наличие вредоносных программ (AMSI). Загрузчик использует метод перенаправления потока управления и различные другие тактики уклонения, чтобы максимально повысить свою устойчивость к обнаружению и анализу, что потенциально связывает его с предыдущими кампаниями с участием Turla и Gamaredon.

Начальный этап начинается с запуска законно подписанного установщика драйвера принтера, hpbprndi.exe . Этот исполняемый файл дополнительно загружает native loader, hpbprndiLOC.dll , который выполняет задачи дешифрования для полезных нагрузок Kazuar. Native Loader расшифровывает и загружает в память несколько зашифрованных компонентов, ориентируясь, в частности, на полезные нагрузки, называемые KERNEL, WORKER и BRIDGE, которые имеют решающее значение для работы вредоносного ПО.

Примечательной характеристикой загрузчика Kazuar v3 является его способность приостанавливать все потоки, кроме одного, выполняющего вредоносный код. Этот метод помогает избежать механизмов обнаружения, которые могут отслеживать другие процессы, а также сводит к минимуму конкуренцию между процессорами, что приводит к снижению вероятности прерывания законными процессами. Он использует ряд функций, которые управляют потоком управления, включая получение ближайших адресов для перенаправления, сохранение состояния и выполнение своего основного кода с помощью специальных перехватчиков в последовательности загрузки библиотек Windows.

На втором этапе загрузчик передает управление командной строке.NET assembly, jtjdypzmb.yqg, который действует как посредник, соединяющий native loader и полезные нагрузки Kazuar. Эта сборка сильно запутана, что затрудняет анализ и разведку аналитиками безопасности.

На третьем этапе вводится модульная полезная нагрузка Kazuar, состоящая из различных компонентов, которые выполняют различные функции, сохраняя при этом единую функциональность. Компонент ЯДРА управляет основными действиями вредоносного ПО, которые включают выполнение задач и Регистрацию нажатий клавиш, сконфигурированный для хранения данных в определенном каталоге. Все полезные нагрузки сконструированы таким образом, чтобы противостоять обнаружению с помощью обфускации и сложной архитектуры, которая позволяет им работать слаженно, одновременно усложняя усилия по идентификации и смягчению последствий со стороны средств защиты от кибербезопасности. Наличие определенной метки агента —AGN-RR-01 — указывает на текущие угрозы, исходящие от этого продвинутого вредоносного ПО.

#ParsedReport #CompletenessHigh
19-01-2026

Dissecting CrashFix: KongTuke's New Toy

https://www.huntress.com/blog/malicious-browser-extention-crashfix-kongtuke

Report completeness: High

Threats:
Crashfix
Kongtuke
Modelorat
Mintsloader
Clickfix_technique
Typosquatting_technique
Socgholish_loader
Process_hacker_tool
Junk_code_technique
Amsi_bypass_technique
Credential_harvesting_technique
Lolbin_technique

Victims:
Browser users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1105, T1112, T1140, T1204, T1218, T1574.002

IOCs:
Email: 1
File: 12
Domain: 1
Url: 7
IP: 3
Command: 1
Path: 1
Registry: 2
Hash: 4

Soft:
GateKeeper, Chrome, Active Directory, VirtualBox, QEMU, Windows Remote Access, Windows Registry, Discord, curl, Dropbox, have more...

Algorithms:
rc4, base64, md5, aes-256, gzip, cbc, aes, sha256, aes-256-cbc, pbkdf2, xor

Functions:
makeBatch, Remove-Item, GetTypes, GetMethod, Get-MpComputerStatus, GetModuleHandle, GetGroups, GetPermissions, Main

Win API:
Decompress, GetProcAddress, VirtualProtectEx, AmsiScanBuffer, IsWindowVisible

Languages:
powershell, php, python

Platforms:
x64, intel

YARA: Found

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/KongTuke/gatekeeper\_payload.yar
have more...
https://github.com/uBlockOrigin/uBOL-home

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года хакерская группировка KongTuke выпустила вредоносное расширение для браузера под названием "CrashFix", которое использует социальную инженерию, чтобы обманом заставить пользователей выполнять вредоносные команды PowerShell. Расширение задерживает свои вредоносные действия на 60 минут и проводит атаку типа "отказ в обслуживании" на браузер пользователя каждые 10 минут. Кроме того, KongTuke использует бэкдор под названием ModeloRAT, использующий методы уклонения, такие как запутывание и уникальную систему снятия отпечатков пальцев, чтобы избежать обнаружения и обеспечить закрепление в зараженной системе.
-----

В январе 2026 года была обнаружена новая киберугроза, связанная с вредоносным расширением для браузера, получившим название "CrashFix", которое было разработано хакерской группировкой KongTuke. Это расширение отображало вводящее в заблуждение предупреждение системы безопасности, указывающее на то, что браузер "аварийно остановился", тем самым побуждая пользователей инициировать поддельный процесс сканирования якобы для устранения обнаруженных проблем. Следуя инструкциям, пользователи непреднамеренно выполняют команду PowerShell, которую расширение ранее скопировало в их буфер обмена, используя тактику социальной инженерии для первоначального выполнения.

Чтобы скрыть свои действия и избежать обнаружения, расширение использует механизм отложенного выполнения через API-интерфейс Chrome Alarms, инициирующий вредоносные операции после 60-минутной задержки. Эта стратегия позволяет злоумышленникам свести к минимуму непосредственную связь между установкой расширения и его вредоносной полезной нагрузкой, которая включает атаку типа "отказ в обслуживании", нацеленную на ресурсы собственного браузера жертвы. Вредоносное поведение срабатывает каждые 10 минут после первоначального выполнения.

KongTuke также использовал законную утилиту Windows, finger.exe , чтобы продвинуть их вектор атаки. Переименовав эту утилиту в ct.exe и, развернув его из системного каталога, они устанавливают соединение с удаленным сервером (199.217.98.108) для выполнения возвращаемых команд. Эта тактика иллюстрирует метод извлечения данных с удаленных серверов, который может обойти механизмы обнаружения.

Кампания представляет собой сложный бэкдор, названный ModeloRAT, созданный в Python. Этот троян удаленного доступа включает различные методы ухода, такие как запутывание благодаря сообщают классов и переменных и алгоритм шифрования RC4 для Управление связи. Он обеспечивает закрепление в реестре Windows и может предоставлять несколько типов полезной нагрузки, что еще больше усложняет анализ с помощью функций junk code, предназначенных для запутывания усилий по статическому анализу.

Дополнительные уровни сложности добавляются благодаря уникальной системе снятия отпечатков пальцев, используемой вредоносным ПО, которая выполняет серию проверок антианализа, прежде чем сгенерировать большое количество данных, однозначно идентифицирующих компьютер жертвы. Эта функциональность помогает предотвратить обнаружение в виртуальных средах.

Подход KongTuke демонстрирует непрерывную эволюцию тактики борьбы с киберугрозами, демонстрируя, как они используют разочарование пользователей в разработанных решениях, которые кажутся заслуживающими доверия. Выдавая Маскировку за законный сервис и используя самоподдерживающийся цикл заражения, они извлекают выгоду из обычного поведения пользователей для достижения своих вредоносных целей.

#ParsedReport #CompletenessLow
19-01-2026

Planned failure: Gootloaders malformed ZIP actually works perfectly

https://expel.com/blog/gootloaders-malformed-zip/

Report completeness: Low

Actors/Campaigns:
Vice_society

Threats:
Gootkit
Rhysida

Victims:
General users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.007, T1204.002, T1547.009

IOCs:
File: 4
Hash: 1

Algorithms:
7zip, zip, xor, crc-32

Languages:
jscript, cscript, powershell

Platforms:
intel

Links:
https://github.com/expel-io/expel-intel/blob/main/2026/01/gootloader\_zip\_archive\_2025\_11\_17
have more...
https://github.com/WerWolv/ImHex