#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года, нацелен шпионской кампании, используя сложный бэкдор, MpGear.dll было определено, прежде всего в интересах лица, в Индию через спам-писем, представляясь налоговых уведомлений. Самое вредоносное ПО использует методы уклонения например, проверки, отладки и стратегий сроки, чтобы избежать обнаружения, в то время как дальнейшие этапы предполагают загрузки дополнительных вредоносных исполняемых файлов, как 180.exe, под видом легального программного обеспечения. Дополнительные элементы включают в себя вредоносный DLL-файл, игру-с плавающей точкой-ядром.dll и неправильное использование системы управления безопасностью терминала Syncfuture, что подчеркивает сложные операции по запутыванию и телеметрии в рамках кампании.
-----

В декабре 2025 года была выявлена нацеленная шпионская кампания, в ходе которой был задействован сложный многоэтапный бэкдор, нацеленный на долгосрочный сбор разведывательных данных, в первую очередь против жителей Индии. Метод первоначального доступа включал использование спам-писем, отправляемых через Sendgrid, с различными доменами отправителей, выдающими себя за государственные учреждения, в частности, под видом уведомлений о подоходном налоге в Индии. Темы электронных писем были разработаны таким образом, чтобы привлечь внимание к вопросам соблюдения налогового законодательства.

Вредоносное ПО использует бэкдор, идентифицированный как MpGear.dll , который использует множество методов, чтобы избежать обнаружения. К ним относятся отладочные проверки, такие как IsDebuggerPresent и CheckRemoteDebuggerPresent, запрос порта отладки процесса и обнаружение точки останова Аппаратного обеспечения с помощью GetThreadContext. Он также реализует стратегии синхронизации, позволяющие отличать нормальное выполнение от задержек, вызванных отладчиком. Если эти проверки завершатся неудачей, вредоносное ПО может продолжить выполнение, чтобы избежать остановки средствами отладки.

При переходе ко второму этапу полезная нагрузка обрабатывает строку для вычисления хэшей имен API с использованием определенного алгоритма, выполняя поиск по загруженным библиотекам DLL для разрешения Нативных API. На этом этапе загружается 64-разрядный исполняемый файл с хэшем SHA256, указывающим конкретную дату компиляции и путь отладки, предлагающий модификации для разработки.

Третий этап состоит из полезной нагрузки с именем 180.exe , замаскированный под законный установщик, поставляемый с Inno Setup, распространенным методом, используемым акторами вредоносного ПО для маскировки вредоносного контента.

Еще один элемент кампании включает в себя наличие игрового флоат-ядра.библиотека dll, установленная как вредоносная библиотека DLL с хэшем SHA256 и упаковкой UPX. Инфраструктура вредоносного ПО указывает на высокий уровень ведения журнала, при этом в системе создается множество файлов. C:\log \ directory, предлагающий широкие возможности телеметрии.

Кроме того, во время анализа исполняемого файла с именем mysetup.exe , были обнаружены признаки злоупотребления системой управления безопасностью терминала Syncfuture. Это программное обеспечение, разработанное китайской технологической компанией, вероятно, способствовало проведению Вредоносной Кампании, демонстрируя значительный вектор угрозы, который сочетает в себе различные методы запутывания, закрепления и эксфильтрации данных.

#ParsedReport #CompletenessHigh
22-01-2026

Organized Traffer Gang on the Rise Targeting Web3 Employees and Crypto Holders

https://hybrid-analysis.blogspot.com/2026/01/organized-traffer-gang-on-rise.html

Report completeness: High

Actors/Campaigns:
Markopolo (motivation: financially_motivated)
Crazy_evil
Wagmi
Nexvoo
Mp-2

Threats:
Traffer_technique
Opulous
Amos_stealer
Rhadamanthys
Lumma_stealer
Meeten
Hijackloader

Victims:
Cryptocurrency users, Web3 employees, Web3 developers, Project teams

Industry:
Entertainment

Geo:
Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1059.007, T1105, T1119, T1189, T1204, T1205, T1497, have more...

IOCs:
File: 3
Domain: 101
Url: 1
IP: 1
Hash: 68

Soft:
Electron, Linux, tradingview, MacOS, NSIS installer, Telegram, QEMU, Twitter

Algorithms:
sha256, aes-256

Functions:
sendClientName

Languages:
javascript, python

Platforms:
cross-platform

Links:
https://github.com/6nz/virustotal-vm-blacklist

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Организованная банда Traffer действует как изощренная киберпреступная организация, нацеленная на пользователей криптовалют, используя передовые методы социальной инженерии и доставки вредоносного ПО с помощью поддельных приложений, таких как "Opulous". Их инфраструктура охватывает более 80 доменов, используя подписанные исполняемые файлы, чтобы избежать обнаружения при проведении обширного профилирования данных о жертвах. Тактика банды эволюционировала от обычных атак до нацеленных мошенничеств на разных платформах, включая macOS и браузерную эксплуатацию крипто-кошельков, что подчеркивает их оперативную эффективность и уровень угрозы в пространстве Web3.
-----

Организованная банда Traffer возникла как сложная киберпреступная операция, нацеленная на пользователей криптовалют и сотрудников в пространстве Web3. В этой операции используются передовые методы социальной инженерии, с использованием поддельных Electron-приложений, которые имитируют законные инструменты для доставки вредоносного ПО. Группа работает через значительную инфраструктуру, которая охватывает более 80 доменов в рамках различных кампаний, и, как утверждается, они получили доход, превышающий 2,4 миллиона долларов от кражи криптовалюты.

Одним из важнейших компонентов их подход предполагает создание, казалось бы, законных приложений, таких как вредоносных электронно-программное обеспечение под названием "Opulous", которая предлагает пользователям зарегистрируйтесь или авторизуйтесь. Исследователи подтверждают развитие их тактики от простой загрузки вредоносного программного обеспечения с использованием современных подписанные исполняемые файлы от различных справок до обнаружения уклонения. Вредоносные исполняемые файлы могут выполнять предварительное снятие отпечатков пальцев и система профилирования, собрав обширные данные, включая логины, модели процессора, оперативной памяти детали, и многое другое. Они также используют анти-анализ приемов, чтобы помешать виртуальной машины или обнаружения песочницы, повышению скрытности их действий.

С середины 2024 по середину 2025 года кампании банды, включая такие известные операции, как "Marko Polo", "Meeten" и "NexVoo", использовали множество мошеннических действий в Социальных сетях и поддельные экосистемы для заманивания жертв. Они использовали смесь АИ-контент и расширенные методы профилирования, чтобы настроить свои атаки, переходя из универсальных инструментов для повышения производительности для сильно нацелен манипулятивных стратегий, направленных на крипто энтузиастов. Их атаки эволюционировали, включив в себя поддельные презентации на конференциях и автоматизированные инструменты идентификации жертв, такие как "Wagmiscapper", которые собирают адреса криптовалютных кошельков из Twitter, чтобы сосредоточиться на нацеленных на высокие цели.

Инфраструктура The gang поддерживает множество traffers и демонстрирует общую методологию для различных операций, включая повторное использование шаблонов и API. Такая взаимосвязанность свидетельствует о сложном уровне планирования и операционной эффективности этих киберпреступных элементов. Кроме того, тактика расширилась от атак только для Windows до кроссплатформенных угроз, теперь включающих специфичное для macOS вредоносное ПО и браузерные атаки, нацеленные на крипто-кошельки. Благодаря этим многогранным стратегиям и постоянной адаптации организованная банда Traffer представляет значительную угрозу в доменах Web3 и криптовалюты.

#ParsedReport #CompletenessHigh
26-01-2026

APT Attacks Target Indian Government Using GOGITTER, GITSHELLPAD, and GOSHELL \| Part 1

https://www.zscaler.com/blogs/security-research/apt-attacks-target-indian-government-using-gogitter-gitshellpad-and-goshell

Report completeness: High

Actors/Campaigns:
Gopher_strike
Sheet_attack
Transparenttribe

Threats:
Gogitter
Gitshellpad
Goshell
Cobalt_strike_tool
Process_injection_technique
Motw_bypass_technique
Spear-phishing_technique

Victims:
Indian government

Industry:
Government

Geo:
India, Indian, Pakistan

TTPs:
Tactics: 8
Technics: 39

IOCs:
File: 43
Path: 4
Url: 27
Command: 3
Domain: 8
Registry: 1
Hash: 11

Soft:
curl, Microsoft Edge update

Algorithms:
gzip, xor, zip, base64, deflate

Functions:
GetResponse

Win API:
QueueUserAPC, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread, NtMapViewOfSection

Languages:
golang, visual_basic

Platforms:
x64

Links:
https://github.com/threatexpress/malleable-c2/blob/master/jquery-c2.4.2.profile
https://github.com/ThreatLabz/iocs/blob/main/gopherstrike/commands.txt
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года Zscaler ThreatLabZ обнаружил две кампании, Gopher Strike и Sheet Attack, приписываемые базирующейся в Пакистане APT, нацеленной на правительство Индии, возможно, из новой подгруппы. Gopher Strike использует сложную тактику фишинга, используя PDF-файлы с Вредоносными ссылками для доставки ISO-файла, замаскированного под обновление Adobe, в основном ориентируясь на пользователей Windows с помощью электронных писем с Целевым фишингом. Ключевые инструменты включают загрузчик GOGITTER, бэкдор GITSHELLPAD и загрузчик шелл-кода GOSHELL, использующий GitHub для управления и использующий различные методы уклонения для длительного доступа и сокрытия.
-----

В сентябре 2025 года Zscaler ThreatLabZ идентифицировал две киберкампании под названием Gopher Strike и Sheet Attack, связанные с базирующейся в Пакистане сложной целенаправленной угрозой (APT), нацеленной на правительство Индии. В этих кампаниях используются новые инструменты и методы, которые предполагают, что они могут исходить от новой подгруппы, связанной с пакистанскими акторами, потенциально работающими бок о бок или независимо от известных групп, таких как APT36.

В Gopher Strike Суслик использует сложную фишинг стратегии, использование PDF-файлов, встроенных с вредоносных ссылок и обманчивых подсказки, чтобы обмануть жертв в загрузке вредоносного файла ISO. Этот ISO-файл доставляется с помощью диалоговое окно, предназначенное для посторонних законным обновление Adobe акробат, тем самым обеспечивая доставка ограничивается конкретными жертвами операционных систем Windows в Индии. Начальный вектор заражения, в основном, через целевой фишинг-писем, содержащих эти PDF-файлы.

Центральное место в Gopher Strike Суслик три специально разработанные инструменты: GOGITTER загрузчик, GITSHELLPAD бэкдор, и GOSHELL шеллкода погрузчик. В GOGITTER загрузчик, написанный на Golang, извлекает содержимое из репозитория GitHub подконтрольные субъекты угрозы. GITSHELLPAD также написан на Golang, действует как легкий бэкдор, который использует в GitHub API-интерфейс REST для Управление (С2) коммуникации, позволяющие зарегистрировать вашу систему и опрос для команд. Он создает каталоги на GitHub, что затрудняет обнаружение канала связи. GOSHELL служит шеллкода загрузчик, который развертывает Cobalt Strike о нацелен устройств, выполнения команд и кражи данных.

Выполнение включает в себя загрузку архивов RAR, содержащих дополнительные инструменты после компрометации. Загрузчик GOSHELL специально выполняет полезную нагрузку второго этапа в рамках своего собственного процесса с помощью вызова Нативного API, гарантируя, что атака является скрытой и постоянной. Злоумышленники используют различные методы уклонения, такие как создание вводящих в заблуждение имен файлов и запланированных задач для имитации законных процессов, обеспечивая постоянный доступ к системе жертвы.

Кампании были связаны с несколькими методами, описанными в платформе MITRE ATT&CK, включая первоначальный доступ посредством фишинга, развитие ресурсов путем получения инфраструктуры и возможностей, командование и контроль с использованием репозиториев GitHub и эксфильтрацию данных в контролируемые репозитории. Комбинация этих методов демонстрирует сложную и адаптируемую угрозу, использующую законные Веб-сервисы для злонамеренных намерений при одновременном использовании передовых методов коммуникации и уклонения от обнаружения.

#ParsedReport #CompletenessLow
26-01-2026

Okta Vishing Campaign Allegedly Linked to ShinyHunters: What You Need to Know

https://socradar.io/blog/okta-vishing-campaign-shinyhunters/

Report completeness: Low

Actors/Campaigns:
Shinyhunters

Threats:
Aitm_technique
Bec_technique

Victims:
Technology sector, Music streaming sector, Financial services sector

Industry:
Energy, E-commerce

ChatGPT TTPs:
do not use without manual check
T1111, T1566.004, T1589, T1598

Soft:
Telegram

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появилась изощренная Кампания по Вымогательству, связанная с хакерской группировкой ShinyHunters, нацеленной на пользователей Okta с помощью пользовательских наборов для фишинга, которые облегчают взаимодействие в режиме реального времени. Злоумышленники выдают себя за ИТ-сотрудников, чтобы направлять жертв на поддельные страницы входа в систему, захватывая учетные данные и используя проблемы MFA для доступа к учетной записи. Этот переход от фишинга на основе электронной почты к динамичной тактике социальной инженерии означает критическую эволюцию в области киберугроз, требующую усиленных мер обнаружения таких атак, основанных на идентификационных данных.
-----

Недавние события в области киберугроз свидетельствуют об изощренной Кампании по Вымогательству, связанной с хакерской группировкой ShinyHunters и затрагивающей пользователей Okta. В этой кампании используются пользовательские наборы для фишинга, которые позволяют взаимодействовать в режиме реального времени с помощью телефонной социальной инженерии. Злоумышленники маскируются под внутренних ИТ-специалистов или сотрудников службы безопасности, направляя жертв на посещение вредоносных сайтов, предназначенных для имитации законных страниц входа в такие сервисы, как Okta, Microsoft и Google. Такая эволюция тактики фишинга представляет собой значительный переход от традиционных методов, основанных на электронной почте, к более динамичным и интерактивным подходам.

Основным механизмом, с помощью которого функционируют эти наборы для фишинга, является организация сеанса в режиме реального времени. Когда жертва предоставляет свои учетные данные для входа на мошеннический сайт, злоумышленник незамедлительно получает эту информацию и пытается получить доступ к законной учетной записи. Во время этого процесса злоумышленник наблюдает, какие вызовы Многофакторной аутентификации (MFA) запускаются, что затем может послужить информацией для его последующих попыток обойти эти меры безопасности. Такой подход эффективно обходит типичные средства защиты, которые могут полагаться только на учетные данные для фишинга, иллюстрируя тревожную эволюцию методов фишинга.

ShinyHunters открыто взяли на себя ответственность за усилия Okta по поиску единомышленников. После неудачных попыток вымогательства группа допустила утечку данных предполагаемых жертв на платформу, которой они управляют, что оказало воздействие на такие организации, как Crunchbase, SoundCloud и Betterment. Этот инцидент подчеркивает растущую целенаправленность действий поставщиков идентификационных данных и острую необходимость усиления защиты от изощренных атак социальной инженерии.

В ответ на эти развивающиеся угрозы Okta призывает организации пересмотреть свою зависимость от определенных типов MFA, отмечая, что не все методы устойчивы к атакам фишинга. Компания подчеркивает, что простое использование push-уведомлений или одноразовых паролей (OTP) может не обеспечить достаточной защиты от современных методов голосового фишинга, подчеркивая важность внедрения более безопасных методов аутентификации.

Последствия этой Кампании по Вымогательству свидетельствуют о настоятельной необходимости повышения бдительности и усиления мер безопасности, поскольку атаки, основанные на идентификационных данных, становятся все более интерактивными и их сложнее обнаруживать. Заинтересованные стороны должны признать, что традиционные средства защиты от фишинга могут больше не быть адекватными, и для снижения рисков, связанных с кражей учетных данных и скомпрометированными рабочими процессами аутентификации, необходимы упреждающие стратегии.

#ParsedReport #CompletenessHigh
26-01-2026

PeckBirdy: A Versatile Script Framework for LOLBins Exploitation Used by China-aligned Threat Groups

https://www.trendmicro.com/en_us/research/26/a/peckbirdy-script-framework.html

Report completeness: High

Actors/Campaigns:
Unc3569
Earth_minotaur
Earth_lusca
Earth_baxia

Threats:
Peckbirdy_tool
Lolbin_technique
Holodonut
Mkdoor
Cobalt_strike_tool
Watering_hole_technique
Credential_harvesting_technique
Nexload
Donut
Grayrabbit
Dll_sideloading_technique
Wizardnet
Darknimbus
Biopass_rat

Victims:
Gambling industry, Government entities, Private organizations

Industry:
Government, Entertainment

Geo:
China, Korean, African, Chinese, Asian, Philippine

CVEs:
CVE-2020-16040 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<87.0.4280.88)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.007, T1106, T1189, T1204.002, T1216.001, T1218.005, T1218.005, T1553.002, have more...

IOCs:
IP: 9
Domain: 32
Hash: 15
File: 6

Soft:
Google Chrome, Electron, Microsoft Defender

Algorithms:
xor, base64, sha1, md5, aes, sha256

Win API:
EnumWindows, UuidFromStringA

Languages:
powershell, jscript, javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PeckBirdy - это платформа управления на основе JScript, используемая ориентированными на Китай APT-группировками с 2023 года, ориентированная на индустрию азартных игр и государственные структуры Азии. Это позволяет развертывать продвинутые бэкдоры HOLODONUT и MKDOOR, которые выполняют вредоносный JavaScript в различных средах и используют специальные методы для обхода и извлечения полезной нагрузки. Адаптивность фреймворка значительно усложняет усилия по обнаружению из-за его динамического выполнения и отсутствия постоянных артефактов.
-----

PeckBirdy - это сложная платформа управления на основе JScript (C&C), используемая ориентированными на Китай APT-группировками (advanced persistent threat groups) с 2023 года. В первую очередь он использовался для нацеливания на отрасли, связанные с азартными играми, и различные азиатские государственные структуры. Платформа поддерживает развертывание продвинутых бэкдоров, в частности двух модульных вариантов под названием HOLODONUT и MKDOOR, которые расширяют ее операционные возможности.

Фреймворк PeckBirdy демонстрирует универсальность, функционируя в различных средах, включая браузеры, MSHTA, WScript, классический ASP, Node.js , и .NET (ScriptControl). Такая адаптивность позволяет злоумышленникам эффективно доставлять и выполнять вредоносный JavaScript на разных платформах. Наблюдения показывают, что фреймворк изначально был развернут с помощью вредоносных скриптов, обнаруженных на нескольких китайских сайтах азартных игр. При посещении этих скомпрометированных сайтов пользователи непреднамеренно запускали загрузку основного скрипта PeckBirdy, облегчающего удаленное выполнение команд злоумышленников.

Среди выявленных бэкдоров HOLODONUT - это модуль на базе .NET, который использует специализированный загрузчик, получивший название NEXLOAD, для получения полезной нагрузки с удаленного сервера. Примечательным аспектом NEXLOAD является использование определенного формата токена при первом подключении, что позволяет ему выполнять свои операции скрытно. Полезная нагрузка шифруется с использованием алгоритма XOR и впоследствии выполняется с помощью функции обратного вызова, что повышает ее способность избегать обнаружения.

MKDOOR, второй бэкдор, был обнаружен на сайте фишинга, Маскировке под программу обновления Google Chrome. Этот модульный бэкдор оснащен загрузчиком, который подключается к серверу C & C для загрузки своего основного модуля. Что касается методов обхода защиты, MKDOOR стремится обойти Microsoft Defender, добавляя себя в список исключений и маскируя свои сообщения под законный трафик, связанный со службой поддержки Microsoft.

Анализ связывает две текущие кампании с фреймворком PeckBirdy: SHADOW-VOID-044 и SHADOW-EARTH-045. В этих кампаниях используются различные тактики, методы и процедуры (TTP), которые связывают их с различными акторами APT, ориентированными на Китай. Полученные данные свидетельствуют о тревожной тенденции в операционной сложности и адаптивности этих злоумышленников, которые используют двоичные файлы living-off-the-land для эффективного выполнения динамических фреймворков JavaScript.

Обнаруживать вредоносное ПО остается серьезной проблемой из-за их динамически во время выполнения и впрыском природы, не имея постоянных файлов артефакты, которые могут контролироваться традиционными решениями безопасности. Использование PeckBirdy иллюстрирует необходимость для современных средств обнаружения и оборонительных стратегий для защиты систем в меняющихся угроз преобладают адаптации и стратегическое кибер противники.

#ParsedReport #CompletenessLow
26-01-2026

Dark Web Profile: BravoX Ransomware

https://socradar.io/blog/dark-web-profile-bravox-ransomware/

Report completeness: Low

Threats:
Bravox

Victims:
Healthcare, Retail, United states

Industry:
Healthcare, Retail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BravoX - это недавно выявленная программа-вымогатель как услуга (RaaS), которая появилась в январе 2026 года и работает с небольшим количеством избранных жертв, в первую очередь ориентируясь на секторы здравоохранения и розничной торговли в США. Ее партнерская модель подчеркивает секретность и основанное на доказательствах вымогательство, избегая целей в странах СНГ, напоминая тактика известных русскоязычных групп вымогателей. Несмотря на то, что BravoX все еще находится на ранних стадиях своего развития, она использует ограниченное раскрытие данных о жертвах для повышения своей репутации и привлечения аффилированных лиц, что требует постоянного мониторинга ее деятельности.
-----

BravoX - это новая программа-вымогатель как услуга (RaaS), о которой стало известно публично в январе 2026 года, после запуска специального сайта по утечке данных в сети TOR. Эта группа была впервые выявлена на форуме RAMP underground, где она рекламировала партнерскую модель, направленную на расширение своей деятельности. По данным последнего анализа, BravoX работает в малом объеме, имея лишь несколько зарегистрированных жертв, что говорит о том, что он все еще находится на начальной стадии разработки.

Оперативный фокус BravoX включает в себя цели, в первую очередь в Соединенных Штатах, в частности, два учреждения здравоохранения и один розничный лица. Это соответствует наблюдаемой закономерности финансово мотивированных атак вымогателей, которые стремятся использовать секторах экономики, где нарушение нормального функционирования могут существенно обостриться вымогательство давления. Текущее значение счетчика жертва низкие, но выбор указывает на стратегическую направленность на максимальное воздействие путем выбора секторов, подверженных актуальность в ответ на угрозы вымогателей.

С точки зрения операционной структуры, BravoX функционирует как выборочный RaaS, делая упор на секретность и методы вымогательства, основанные на доказательствах, в своей партнерской модели. В нем излагаются определенные принципы, которые отражают осторожный подход, включая отказ от взаимодействия с целями, расположенными в странах Содружества Независимых Государств (СНГ). Этот язык сильно напоминает язык известных русскоязычных групп вымогателей, что свидетельствует о намерении создать репутацию и надежность в своей партнерской сети.

Несмотря на ограниченную осведомленность о деятельности BravoX's, ранние признаки указывают на то, что это скорее зарождающаяся угроза, чем полностью действующий актор-вымогатель. Операции RaaS на ранних стадиях часто используют ограниченное раскрытие данных о жертвах для подтверждения своей модели вымогательства и привлечения аффилированных лиц - тактику, которую, по-видимому, использует BravoX. Поскольку на сегодняшний день нет свидетельств проведения масштабных кампаний или агрессивного таргетинга, постоянный мониторинг деятельности BravoX's имеет решающее значение. Использование возможностей анализа угроз, включая мониторинг сайтов утечки программ-вымогателей и подпольных форумов, будет иметь важное значение для обнаружения любых признаков роста или взаимодействия с более устоявшимися сетями киберпреступников в будущем.

#ParsedReport #CompletenessHigh
26-01-2026

Impending cyclone: Vortex Werewolf attacks Russia

https://bi.zone/expertise/blog/nadvigayushchiysya-tsiklon-vortex-werewolf-atakuet-rossiyu/

Report completeness: High

Actors/Campaigns:
Skycloak (motivation: cyber_criminal)
Core_werewolf

Threats:
Spear-phishing_technique

Victims:
Government, Defense industry

Industry:
Government

Geo:
Russia, Russian, Belarusian

TTPs:
Tactics: 9
Technics: 0

IOCs:
Url: 7
File: 17
Path: 5
Domain: 22
Command: 1
Hash: 25
IP: 36

Soft:
Telegram, Windows Task Scheduler, curl, OpenSSH, Dropbox, OpenSSH for Windows, OpenSSL

Algorithms:
zip

Functions:
Remove-Item

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4