#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MoonBounce - это сложный имплант прошивки UEFI, связанный с APT41, позволяющий ему работать на низком уровне и выдерживать переустановку ОС, избегая обнаружения традиционным антивирусом. Он манипулирует прошивкой для выполнения вредоносных полезных нагрузок во время процесса загрузки, обеспечивая постоянный доступ к системе. Это представляет собой тревожную тенденцию в эволюции вредоносного ПО, когда злоумышленники используют имплантаты прошивки для создания устойчивых точек опоры в нацеленных сетях.
-----

Имплантат MoonBounce был идентифицирован как сложный имплантат с прошивкой UEFI, связанный с APT-группировкой APT41, также известной как Winnti. Это вредоносное ПО нацелено на Унифицированный расширяемый интерфейс прошивки (UEFI), что позволяет ему работать на низком уровне, по существу, в рамках системной прошивки. После внедрения MoonBounce способен пережить переустановку операционной системы и может оставаться незамеченным обычными антивирусными решениями.

Основной характеристикой MoonBounce является его способность манипулировать прошивкой устройства, позволяя ему выполнять вредоносную полезную нагрузку во время процесса загрузки, тем самым облегчая постоянный доступ к скомпрометированной системе. Этот UEFI-имплантат представляет значительную угрозу из-за его потенциальной возможности скомпрометировать устройства на уровне Аппаратного обеспечения.

APT41 известна своим разнообразием операций, включая шпионаж и киберпреступность, с использованием различных тактик и методов. Идентификация MoonBounce высвечивает тревожную тенденцию в эволюции вредоносного ПО, когда злоумышленники все чаще обращаются к имплантатам прошивки в качестве средства создания долгосрочных и устойчивых точек опоры в нацеленных сетях.

Исследование MoonBounce показывает его техническую сложность и необходимость для специалистов по кибербезопасности углубить свое понимание уязвимостей UEFI, поскольку традиционных мер безопасности может быть недостаточно для обнаружения этих глубоко внедренных угроз. Текущая оценка MoonBounce продолжает подчеркивать критическую важность защиты прошивки от потенциальных эксплойтов и эволюционирующей тактики, используемой при сложных целенаправленных угрозах.

#ParsedReport #CompletenessMedium
29-01-2026

Dissecting UAT-8099: New persistence mechanisms and regional focus

https://blog.talosintelligence.com/uat-8099-new-persistence-mechanisms-and-regional-focus/

Report completeness: Medium

Actors/Campaigns:
Uat-8099
Webjack

Threats:
Gotohttp_tool
Badiis
Easytier_tool
Blackseo_technique
Sharp4removelog_tool
Cncrypt_protect_tool
Seo_poisoning_technique

Victims:
Iis servers

Geo:
Vietnam, Pakistan, Chinese, China, Japan, India, Asia, Thailand

ChatGPT TTPs:
do not use without manual check
T1033, T1041, T1055, T1057, T1059.001, T1059.005, T1090, T1105, T1136.001, T1190, have more...

IOCs:
File: 5
Hash: 33
Url: 27
Domain: 2

Soft:
Linux, SoftEther, OpenArk64

Algorithms:
exhibit, xor

Languages:
javascript, powershell

Links:
https://github.com/c1earyy/OpenArk64
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco Talos сообщила о хакерской кАмпании UAT-8099, нацеленной на уязвимые серверы IIS в Азии, особенно в Таиланде и Вьетнаме, используя общую оперативную тактику, аналогичную предыдущей инициативе WEBJACK. UAT-8099 использует Веб-шеллы и скрипты PowerShell для развертывания инструмента удаленного доступа GotoHTTP, в то время как настроенные варианты вредоносного ПО BadIIS, включая BadIIS IISHijack и BadIIS asdSearchEngine, ориентированы на мошенничество с SEO с расширенным таргетингом. и возможности генерации контента. Атаки включают в себя разведку, закрепление через скрытые учетные записи и загрузку вредоносных скриптов для облегчения удаленного доступа и эксфильтрации данных.
-----

Cisco Talos раскрыла новую хакерскую кАмпанию, атрибутированную с злоумышленником UAT-8099, которая была активна с конца 2025 по начало 2026 года, в первую очередь нацелена на уязвимые серверы информационных служб Интернета (IIS) в Азии, с особым акцентом на Таиланд и Вьетнам. Кампания демонстрирует операционное сходство с предыдущей инициативой WEBJACK, отмеченной общими показателями компрометации, такими как хэши вредоносного ПО, инфраструктуры командования и контроля (C2) и профили жертв. Примечательно, что UAT-8099 использует Веб-шеллы и скрипты PowerShell для развертывания средства удаленного доступа GotoHTTP, предоставляя злоумышленникам широкий контроль над скомпрометированными серверами IIS. Последние версии вредоносного ПО BadIIS были адаптированы специально для нацеленных региональных жертв, включив такие функции, как жестко закодированные расширения файлов, соответствующие динамические конфигурации страниц и уникальные HTML-шаблоны.

Анализ показывает, что активность UAT-8099's достигла своего пика в период с августа 2025 года по начало 2026 года, воздействие на ряд стран за пределами Таиланда и Вьетнама, включая Индию, Пакистан и Японию. Процесс заражения, описанный Talos, начинается с команд разведки для сбора системных данных и быстро переходит к закреплению путем создания скрытой учетной записи пользователя, известной как "admin$". Впоследствии злоумышленник использует Веб-шелл для выполнения команд PowerShell, которые служат для загрузки и запуска вредоносного VBScript, предназначенного для установки инструмента GotoHTTP. Эта установка облегчает эксфильтрацию конфигурационного файла "GotoHTTP.ini", который необходим злоумышленнику для получения удаленного доступа.

Кроме того, Talos выявила два новых варианта вредоносного ПО BadIIS, нацеленных на мошенничество с SEO, известных как BadIIS IISHijack и BadIIS asdSearchEngine, оба демонстрируют передовые методы таргетинга, адаптированные для конкретных регионов. Функциональный дизайн этих вариантов включает механизмы фильтрации для определенных расширений файлов, прогнозирование пути запроса и поддержание динамического потока обработки вредоносных полезных данных. Кроме того, один вариант оснащен системой генерации контента, которая может динамически создавать веб-контент путем включения заполнителей, заполненных случайными данными, и соответствующих URL-адресов.

Также был отмечен вариант BadIIS в исполняемом формате Linux и связываемом формате (ELF), обладающий функциональностью, сходной с предыдущими версиями этого вредоносного ПО, включая режимы прокси, инжектора и SEO-мошенничества. Этот конкретный вариант был задокументирован на VirusTotal, что подтверждает гипотезу о том, что эти атаки последовательно атрибутированы с UAT-8099 из-за перекрывающихся доменов серверов C2 и других характерных признаков. Продолжающаяся эволюция вредоносного ПО BadIIS демонстрирует возможности и адаптивность UAT-8099, подчеркивая необходимость усиленных мер безопасности для смягчения этих угроз.

#ParsedReport #CompletenessMedium
29-01-2026

LABYRINTH CHOLLIMA Evolves into Three Adversaries

https://www.crowdstrike.com/en-us/blog/labyrinth-chollima-evolves-into-three-adversaries/

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage, financially_motivated)
Golden_chollima (motivation: cyber_espionage, financially_motivated)
Pressure_chollima (motivation: cyber_espionage, financially_motivated)
Bluenoroff

Threats:
Kordll_tool
Hawup_tool
Wannacry
Dozer
Brambul
Joanap
Koredos
Nachocheese
Jeus
Pipedown
Devobrat
Anycon
Snakebaker
Nodalbaker
Tradertraitor_downloader
Scuzzyfuss
Hoplight
Fudmodule_rootkit
Hawup_rat
Volgmer
Httphoplight_tool
Undergroundrat
Neddnloader
Hiberrat
Winwebdown
Matanet
Magikcookie
Ghostship
Citriloader

Victims:
Cryptocurrency, Fintech

Industry:
Transport, Military, Financial, Logistic, Aerospace, Energy, Critical_infrastructure

Geo:
Dprk, Italian, Japanese, Korean, India, Korea, Canada, North korea, Russia

ChatGPT TTPs:
do not use without manual check
T1027, T1078, T1087, T1098, T1189, T1195, T1199, T1204, T1526, T1530, have more...

IOCs:
Hash: 33

Soft:
Outlook, macOS, Chromium, Node.js, Chrome, WhatsApp, SumatraPDF, TightVNC, GuardDuty, OpenSSL, have more...

Algorithms:
sha256, zip

Languages:
python

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LABYRINTH CHOLLIMA - северокорейский злоумышленник, развивающийся на основе фреймворка вредоносного ПО KorDLL, что приводит к расширенным операциям через специализированные группы: GOLDEN CHOLLIMA, специализирующуюся на мелкомасштабных кражах криптовалют, и PRESSURE CHOLLIMA, которая совершает крупномасштабные кражи, оцениваемые в сумму от 52 до 120 миллионов долларов. Недавно их внимание сместилось в сторону шпионажа с использованием вредоносного ПО из линейки Hoplight, при этом между подразделениями появились четкие оперативные роли, что указывает на стратегическую эволюцию их киберопераций.
-----

LABYRINTH CHOLLIMA, развивающийся злоумышленник, связанный с Северной Кореей, имеет корни в платформе вредоносного ПО KorDLL, которая действовала с 2009 по 2015 год. Этот фреймворк служил хранилищем исходного кода и привел к разработке нескольких известных семейств вредоносного ПО, таких как Dozer, Brambul, Joanap, KorDLL Bot и Koredos. В дальнейшем LABYRINTH CHOLLIMA перешла на более сложные платформы, а именно Hawup и TwoPence, что указывает на эволюцию в сторону специализированных киберопераций.

В рамках более широкого ландшафта LABYRINTH CHOLLIMA появились три различных противоборствующих подразделения: GOLDEN CHOLLIMA, PRESSURE CHOLLIMA и сама оригинальная группа LABYRINTH CHOLLIMA. GOLDEN CHOLLIMA обычно ориентирована на экономически развитые регионы со значительным участием в криптовалютной и финтех-деятельности, включая США, Канаду, Южную Корею, Индию и некоторые районы Западной Европы. Их деятельность определяется частыми кражами криптовалют небольшой стоимости, которые, вероятно, направлены на поддержание стабильного потока доходов Корейской Народно-Демократической Республики (КНДР).

Напротив, PRESSURE CHOLLIMA приобрела дурную славу за совершение громких краж криптовалют, которые могут похвастаться одними из крупнейших инцидентов в истории, с предполагаемыми потерями в размере от 52 до 120 миллионов долларов в зависимости от связанных с ними операций с криптовалютными кошельками. Эта группировка, по-видимому, специализируется на кражах значительных ценностей, а не на последовательных мелкомасштабных операциях.

Недавние события показывают, что LABYRINTH CHOLLIMA переключила свое внимание на шпионскую деятельность, используя вредоносное ПО, основанное на линейке Hoplight, начиная с 2020 года. Это изменение совпало с разделением их операционных ролей: GOLDEN и PRESSURE CHOLLIMA разделились на отдельные подразделения, вероятно, состоящие из экспертов по блокчейн-вредоносному ПО и специалистов по сбору разведывательной информации. Текущие наблюдения показывают, что эти группы действуют как независимые организационные единицы в рамках киберстратегии КНДР, опираясь на отличительные пути разработки вредоносных ПО и различные подходы к нацеливанию.

Чтобы снизить риски, связанные с этими злоумышленниками, организациям следует применять строгие протоколы проверки сообщений и обучать сотрудников быть бдительными в отношении подозрительных сообщений, особенно нежелательных сообщений о приеме на работу. Также должны существовать строгие политики безопасности для предотвращения запуска ненадежного программного обеспечения, включая проверку соответствия требованиям и проверку на наличие зависимостей с открытым исходным кодом. Кроме того, использование надежных систем мониторинга облачных сред, таких как наблюдение за журналами CloudTrail и GuardDuty, имеет важное значение для выявления действий после компрометации. Внедрение принципа наименьших привилегий для управления доступом и принудительная многофакторная аутентификация для Облачных учетных записей являются критически важными практиками для минимизации воздействия потенциальной компрометации учетных данных. Этот многогранный подход направлен на укрепление защиты от развивающихся угроз, исходящих от LABYRINTH CHOLLIMA и ее ответвлений.

#ParsedReport #CompletenessHigh
29-01-2026

TAMECAT - Analysis of an Iranian PowerShell-Based Backdoor

https://blog.pulsedive.com/tamecat-analysis-of-an-iranian-powershell-based-backdoor/

Report completeness: High

Actors/Campaigns:
Apt42 (motivation: cyber_espionage)

Threats:
Tamecat
Powerstar

Victims:
Defense sector, Government sector, Senior officials

Industry:
Government

Geo:
Israel, Iranian

TTPs:
Tactics: 5
Technics: 13

IOCs:
Url: 3
File: 4
Domain: 1
Hash: 2

Soft:
Discord, Telegram, Microsoft Edge, Chrome, curl

Algorithms:
aes, sha1, md5, base64, sha256

Functions:
Get-Command, xs

Languages:
powershell, visual_basic

Platforms:
x64

YARA: Found

Links:
have more...
https://github.com/pulsedive-research/resources/tree/main/TAMECAT
https://github.com/volexity/threat-intel/blob/main/2023/2023-06-28%20POWERSTAR/indicators/rules.yar

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 5, windows: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TAMECAT является PowerShell основе бэкдор связаны с иранской злоумышленник APT42, главным образом используемая для шпионажа. К услугам кодировке base64 строки, возлагается на управление коммуникаций через платформы, такие как раздор и Телеграмма, и использует методы, такие как протоколы прикладного уровня С2, эвакуация эксфильтрация через зашифрованные каналы, и тактику уклонения, как обфускация. Самое вредоносное ПО инициирует через VBScript, который оценивает антивирусное присутствие, чтобы выполнить дальнейшие действия и цели отдельных лиц с использованием социальной инженерии.
-----

TAMECAT - это сложный бэкдор на базе PowerShell, приписываемый спонсируемой государством иранской хакерской группировке APT42, используемый главным образом для шпионских операций. Вредоносное ПО претерпело несколько итераций, с заметными сходствами между его вариантами, такими как использование строк в кодировке Base64 и фрагментация массива, которые генерируют исполняемый код. Вредоносное ПО TAMECAT использует различные методы управления (C2), в частности, использует такие платформы, как Discord и Telegram, для установления связи со взломанными системами.

С точки зрения техники, TAMECAT соответствует нескольким тактикам, описанным в рамках MITRE ATT&CK. Он использует Протоколы прикладного уровня для командования и контроля (T1071.001) и использует методы Стандартного кодирования для запутывания своих коммуникаций (T1132.001). Вредоносное ПО способно передавать инструменты в среду жертвы (T1105) и устанавливает симметричные Зашифрованные каналы для эксфильтрации данных (T1573.001). Он обходит защиту с помощью таких методов, как декодирование информации (T1140) и использование запутанных файлов или закодированных данных (T1027.013). Кроме того, TAMECAT выполняет как программное обеспечение, так и Изучение системы (T1518.001, T1082), что позволяет оценить уровень безопасности системы жертвы перед выполнением команд.

Первоначальное вторжение TAMECAT часто инициируется с помощью VBScript, который проверяет наличие запущенного антивирусного программного обеспечения, чтобы определить наилучший способ загрузки полезной нагрузки вредоносного ПО. Этот скрипт может либо использовать среду PowerShell через conhost, либо полагаться на cmd.exe и свернитесь для дальнейших действий. Загрузчик, идентифицированный как Nconf.txt , включает в себя различные функции и переменные, содержащиеся в массивах, которые облегчают декодирование данных и последующее выполнение дополнительного кода. Образцы этого вредоносного ПО были занесены в каталог и доступны для анализа в таких сервисах, как VirusTotal.

Более того, TAMECAT был известен своей стратегической ориентацией на высокопоставленных лиц, таких как высокопоставленные военные и правительственные чиновники. APT42 использует тактику социальной инженерии для установления взаимопонимания с целями с течением времени, впоследствии используя это доверие для получения несанкционированного доступа к их системам. Возможность эксфильтрации конфиденциальных данных по каналам C2 (T1041) еще раз подчеркивает оперативные возможности TAMECAT как инструмента кибершпионажа. В целом, TAMECAT представляет собой многогранную угрозу, используя как техническую изощренность, так и социальные манипуляции для достижения своих шпионских целей.

#ParsedReport #CompletenessMedium
29-01-2026

MoonPeak and the Growing Sophistication of DPRK Intrusions

https://cybersecsentinel.com/moonpeak-and-the-growing-sophistication-of-dprk-intrusions/

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Moonpeak
Xenorat
Lolbin_technique
Quasar_rat
Spear-phishing_technique

Victims:
Diplomatic sector, Government sector, Academic sector, Financial sector

Industry:
Government

Geo:
North korean, Dprk

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1033, T1036.005, T1053.005, T1059, T1059.001, T1071.001, T1082, T1105, T1112, have more...

IOCs:
Hash: 8
Registry: 2
IP: 5

Algorithms:
gzip, md5, sha1, sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MoonPeak - это троян удаленного доступа (RAT), созданный северокорейской группой UAT-5394, использующий модифицированный код XenoRAT с открытым исходным кодом для изощренной шпионской деятельности против различных целей, включая правительственные и финансовые организации. Доставляемый по электронной почте с помощью spear phishing, он выполняет запутанные команды PowerShell из замаскированных файлов LNK для сбора полных системных данных, которые затем передаются на пользовательские серверы командования и контроля злоумышленников. Вредоносное ПО демонстрирует эволюцию UAT-5394's в области кибернетических возможностей и переход к управлению собственной инфраструктурой для повышения операционной устойчивости.
-----

MoonPeak - это троян удаленного доступа (RAT), созданный северокорейской группой UAT-5394, специализирующейся на долгосрочном сборе разведывательной информации. Он основан на платформе XenoRAT с пользовательскими протоколами командования и управления и передовыми методами запутывания. Вредоносное ПО нацелено на дипломатические, правительственные, академические и финансовые учреждения.

Доставка осуществляется в основном с помощью электронных писем с spear phishing, содержащих вредоносные файлы Windows LNK, которые выдаются за законные документы. Выполнение этих файлов запускает скрытую запутанную команду PowerShell при отображении документа-приманки.

После выполнения MoonPeak собирает системные метаданные, информацию об учетной записи пользователя, установленных средствах безопасности и сведения об операционной системе, передавая эти данные на свои серверы управления. Вредоносное ПО содержит признаки компрометации, такие как вредоносные LNK-файлы, замаскированные под PDF-файлы, и запутанные скрипты PowerShell в таких каталогах, как C:\ProgramData или %TEMP%.

Постоянные заражения достигаются путем внесения изменений в ключи запуска реестра или установки служб. Переход UAT-5394's к владению собственной инфраструктурой повышает эксплуатационную устойчивость. Организации, занимающиеся дипломатией, политическими исследованиями или финансовыми инвестициями, являются объектами повышенного риска для MoonPeak.

Стратегии смягчения включают ограничение выполнения скриптов из файлов LNK, внедрение языкового режима с ограничениями в PowerShell и обеспечение обязательной подписи скриптов, наряду с приоритезацией поведенческого обнаружения и видимости для перемещения внутри компании с помощью EDR-решений.

#ParsedReport #CompletenessLow
29-01-2026

Clawdbots rename to Moltbot sparks impersonation campaign

https://www.malwarebytes.com/blog/threat-intel/2026/01/clawdbots-rename-to-moltbot-sparks-impersonation-campaign

Report completeness: Low

Threats:
Clawbot_tool
Typosquatting_technique
Supply_chain_technique
Lolbin_technique

Victims:
Open source software ecosystem, Software developers, Moltbot users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1195, T1566.002, T1583.001, T1656

IOCs:
Domain: 3
Url: 1

Soft:
Clawdbots, Clawdbot, Claude, WhatsApp, Telegram, Discord, Twitter, OpenAI, Slack, Microsoft Office, have more...

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Переименование Clawdbot в Moltbot привело к кампаниям по Имперсонации, включающим typosquatting доменов и клонированный репозиторий, направленный на облегчение потенциальных атак на supply-chain. Сайт-имитатор исказил авторство, используя вводящие в заблуждение метаданные, связанные с первоначальным создателем, что вызвало опасения по поводу искажения личности. Хотя в клонированном репозитории в настоящее время отсутствует явное вредоносное ПО, оно намекает на стратегическую установку для будущих атак, подчеркивая риски, связанные с доверием проектам с открытым исходным кодом без тщательной проверки.
-----

Недавнее переименование проекта Clawdbot с открытым исходным кодом в Moltbot, вызванное спором о товарном знаке, вызвало волну кампаний по Имперсонации со стороны оппортунистических акторов. Вскоре после переименования появилось несколько доменов typosquatting и клонированный репозиторий GitHub, выдающий себя за создателя оригинального проекта Питера Стейнбергера, с намерением позиционировать себя для потенциальной атаки на supply-chain.

Расследование клонированного репозитория показали скоординированную установки, направленные на олицетворении Moltbot. Олицетворения сайте используются обманные schema.org метаданные, чтобы лживо приписать авторство Штейнбергер, создавая прямую связь с его законной GitHub и Х профилей, что создает четкую идентичность в заблуждение. Такое поведение согласуется с общепризнанным картина наблюдается в открытых источниках Supply-Chain атак, где противники пытаются проникнуть интересных проектов и распространения вредоносного обновления.

Несмотря на тревожный контекст этой Имперсонации, статический аудит клонированного репозитория показал, что его текущая структура лишена какого-либо явного вредоносного ПО. Это отсутствие вредоносного кода указывает не на непосредственную оппортунистическую Вредоносную Кампанию, а скорее на стратегическую основу для возможной будущей атаки на supply-chain. Хотя на данный момент хранилище выглядит чистым, перенаправление на несанкционированные ресурсы и искусственное завышение показателей популярности указывают на злой умысел, стоящий за его созданием.

Инфраструктура Имперсонации была разработана таким образом, чтобы казаться законной, что представляет значительную угрозу, поскольку пользователи могут неосознанно доверять программному обеспечению и устанавливать его до появления каких-либо вредоносных обновлений. Осведомленность о кибербезопасности и бдительность необходимы для снижения рисков, связанных с такой тактикой Имперсонации, особенно в сфере программного обеспечения с открытым исходным кодом, где даже законные проекты могут стать нацелены противниками, стремящимися использовать их популярность по скрытым мотивам. Таким образом, заинтересованные стороны должны сохранять осторожность и внимательно изучать обновления, особенно из источников с сомнительной атрибуцией.

#ParsedReport #CompletenessMedium
29-01-2026

Worms lurking in code extensions

https://secureannex.com/blog/worms-lurking

Report completeness: Medium

Threats:
Etherhiding_technique
Supply_chain_technique
Dead_drop_technique
Glassworm

Victims:
Software development

Industry:
Financial, E-commerce

Geo:
Kaliningrad, Moscow, Russian, Asia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.009, T1036, T1036.004, T1041, T1053.005, T1059.001, T1059.007, T1071.001, have more...

IOCs:
File: 16
Url: 1
IP: 2

Soft:
Node.js, macOS, Linux, VSCode, Ledger Live, Chrome, Firefox, Visual Studio

Wallets:
mainnet, metamask

Crypto:
solana

Algorithms:
base64, aes-256-cbc, zip, aes

Functions:
activate, eval, Date

Languages:
javascript, typescript, powershell