CTT Report Hub
#ParsedReport #CompletenessMedium 29-01-2026 LABYRINTH CHOLLIMA Evolves into Three Adversaries https://www.crowdstrike.com/en-us/blog/labyrinth-chollima-evolves-into-three-adversaries/ Report completeness: Medium Actors/Campaigns: Lazarus (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
LABYRINTH CHOLLIMA - северокорейский злоумышленник, развивающийся на основе фреймворка вредоносного ПО KorDLL, что приводит к расширенным операциям через специализированные группы: GOLDEN CHOLLIMA, специализирующуюся на мелкомасштабных кражах криптовалют, и PRESSURE CHOLLIMA, которая совершает крупномасштабные кражи, оцениваемые в сумму от 52 до 120 миллионов долларов. Недавно их внимание сместилось в сторону шпионажа с использованием вредоносного ПО из линейки Hoplight, при этом между подразделениями появились четкие оперативные роли, что указывает на стратегическую эволюцию их киберопераций.
-----
LABYRINTH CHOLLIMA, развивающийся злоумышленник, связанный с Северной Кореей, имеет корни в платформе вредоносного ПО KorDLL, которая действовала с 2009 по 2015 год. Этот фреймворк служил хранилищем исходного кода и привел к разработке нескольких известных семейств вредоносного ПО, таких как Dozer, Brambul, Joanap, KorDLL Bot и Koredos. В дальнейшем LABYRINTH CHOLLIMA перешла на более сложные платформы, а именно Hawup и TwoPence, что указывает на эволюцию в сторону специализированных киберопераций.
В рамках более широкого ландшафта LABYRINTH CHOLLIMA появились три различных противоборствующих подразделения: GOLDEN CHOLLIMA, PRESSURE CHOLLIMA и сама оригинальная группа LABYRINTH CHOLLIMA. GOLDEN CHOLLIMA обычно ориентирована на экономически развитые регионы со значительным участием в криптовалютной и финтех-деятельности, включая США, Канаду, Южную Корею, Индию и некоторые районы Западной Европы. Их деятельность определяется частыми кражами криптовалют небольшой стоимости, которые, вероятно, направлены на поддержание стабильного потока доходов Корейской Народно-Демократической Республики (КНДР).
Напротив, PRESSURE CHOLLIMA приобрела дурную славу за совершение громких краж криптовалют, которые могут похвастаться одними из крупнейших инцидентов в истории, с предполагаемыми потерями в размере от 52 до 120 миллионов долларов в зависимости от связанных с ними операций с криптовалютными кошельками. Эта группировка, по-видимому, специализируется на кражах значительных ценностей, а не на последовательных мелкомасштабных операциях.
Недавние события показывают, что LABYRINTH CHOLLIMA переключила свое внимание на шпионскую деятельность, используя вредоносное ПО, основанное на линейке Hoplight, начиная с 2020 года. Это изменение совпало с разделением их операционных ролей: GOLDEN и PRESSURE CHOLLIMA разделились на отдельные подразделения, вероятно, состоящие из экспертов по блокчейн-вредоносному ПО и специалистов по сбору разведывательной информации. Текущие наблюдения показывают, что эти группы действуют как независимые организационные единицы в рамках киберстратегии КНДР, опираясь на отличительные пути разработки вредоносных ПО и различные подходы к нацеливанию.
Чтобы снизить риски, связанные с этими злоумышленниками, организациям следует применять строгие протоколы проверки сообщений и обучать сотрудников быть бдительными в отношении подозрительных сообщений, особенно нежелательных сообщений о приеме на работу. Также должны существовать строгие политики безопасности для предотвращения запуска ненадежного программного обеспечения, включая проверку соответствия требованиям и проверку на наличие зависимостей с открытым исходным кодом. Кроме того, использование надежных систем мониторинга облачных сред, таких как наблюдение за журналами CloudTrail и GuardDuty, имеет важное значение для выявления действий после компрометации. Внедрение принципа наименьших привилегий для управления доступом и принудительная многофакторная аутентификация для Облачных учетных записей являются критически важными практиками для минимизации воздействия потенциальной компрометации учетных данных. Этот многогранный подход направлен на укрепление защиты от развивающихся угроз, исходящих от LABYRINTH CHOLLIMA и ее ответвлений.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
LABYRINTH CHOLLIMA - северокорейский злоумышленник, развивающийся на основе фреймворка вредоносного ПО KorDLL, что приводит к расширенным операциям через специализированные группы: GOLDEN CHOLLIMA, специализирующуюся на мелкомасштабных кражах криптовалют, и PRESSURE CHOLLIMA, которая совершает крупномасштабные кражи, оцениваемые в сумму от 52 до 120 миллионов долларов. Недавно их внимание сместилось в сторону шпионажа с использованием вредоносного ПО из линейки Hoplight, при этом между подразделениями появились четкие оперативные роли, что указывает на стратегическую эволюцию их киберопераций.
-----
LABYRINTH CHOLLIMA, развивающийся злоумышленник, связанный с Северной Кореей, имеет корни в платформе вредоносного ПО KorDLL, которая действовала с 2009 по 2015 год. Этот фреймворк служил хранилищем исходного кода и привел к разработке нескольких известных семейств вредоносного ПО, таких как Dozer, Brambul, Joanap, KorDLL Bot и Koredos. В дальнейшем LABYRINTH CHOLLIMA перешла на более сложные платформы, а именно Hawup и TwoPence, что указывает на эволюцию в сторону специализированных киберопераций.
В рамках более широкого ландшафта LABYRINTH CHOLLIMA появились три различных противоборствующих подразделения: GOLDEN CHOLLIMA, PRESSURE CHOLLIMA и сама оригинальная группа LABYRINTH CHOLLIMA. GOLDEN CHOLLIMA обычно ориентирована на экономически развитые регионы со значительным участием в криптовалютной и финтех-деятельности, включая США, Канаду, Южную Корею, Индию и некоторые районы Западной Европы. Их деятельность определяется частыми кражами криптовалют небольшой стоимости, которые, вероятно, направлены на поддержание стабильного потока доходов Корейской Народно-Демократической Республики (КНДР).
Напротив, PRESSURE CHOLLIMA приобрела дурную славу за совершение громких краж криптовалют, которые могут похвастаться одними из крупнейших инцидентов в истории, с предполагаемыми потерями в размере от 52 до 120 миллионов долларов в зависимости от связанных с ними операций с криптовалютными кошельками. Эта группировка, по-видимому, специализируется на кражах значительных ценностей, а не на последовательных мелкомасштабных операциях.
Недавние события показывают, что LABYRINTH CHOLLIMA переключила свое внимание на шпионскую деятельность, используя вредоносное ПО, основанное на линейке Hoplight, начиная с 2020 года. Это изменение совпало с разделением их операционных ролей: GOLDEN и PRESSURE CHOLLIMA разделились на отдельные подразделения, вероятно, состоящие из экспертов по блокчейн-вредоносному ПО и специалистов по сбору разведывательной информации. Текущие наблюдения показывают, что эти группы действуют как независимые организационные единицы в рамках киберстратегии КНДР, опираясь на отличительные пути разработки вредоносных ПО и различные подходы к нацеливанию.
Чтобы снизить риски, связанные с этими злоумышленниками, организациям следует применять строгие протоколы проверки сообщений и обучать сотрудников быть бдительными в отношении подозрительных сообщений, особенно нежелательных сообщений о приеме на работу. Также должны существовать строгие политики безопасности для предотвращения запуска ненадежного программного обеспечения, включая проверку соответствия требованиям и проверку на наличие зависимостей с открытым исходным кодом. Кроме того, использование надежных систем мониторинга облачных сред, таких как наблюдение за журналами CloudTrail и GuardDuty, имеет важное значение для выявления действий после компрометации. Внедрение принципа наименьших привилегий для управления доступом и принудительная многофакторная аутентификация для Облачных учетных записей являются критически важными практиками для минимизации воздействия потенциальной компрометации учетных данных. Этот многогранный подход направлен на укрепление защиты от развивающихся угроз, исходящих от LABYRINTH CHOLLIMA и ее ответвлений.
#ParsedReport #CompletenessHigh
29-01-2026
TAMECAT - Analysis of an Iranian PowerShell-Based Backdoor
https://blog.pulsedive.com/tamecat-analysis-of-an-iranian-powershell-based-backdoor/
Report completeness: High
Actors/Campaigns:
Apt42 (motivation: cyber_espionage)
Threats:
Tamecat
Powerstar
Victims:
Defense sector, Government sector, Senior officials
Industry:
Government
Geo:
Israel, Iranian
TTPs:
Tactics: 5
Technics: 13
IOCs:
Url: 3
File: 4
Domain: 1
Hash: 2
Soft:
Discord, Telegram, Microsoft Edge, Chrome, curl
Algorithms:
aes, sha1, md5, base64, sha256
Functions:
Get-Command, xs
Languages:
powershell, visual_basic
Platforms:
x64
YARA: Found
Links:
have more...
29-01-2026
TAMECAT - Analysis of an Iranian PowerShell-Based Backdoor
https://blog.pulsedive.com/tamecat-analysis-of-an-iranian-powershell-based-backdoor/
Report completeness: High
Actors/Campaigns:
Apt42 (motivation: cyber_espionage)
Threats:
Tamecat
Powerstar
Victims:
Defense sector, Government sector, Senior officials
Industry:
Government
Geo:
Israel, Iranian
TTPs:
Tactics: 5
Technics: 13
IOCs:
Url: 3
File: 4
Domain: 1
Hash: 2
Soft:
Discord, Telegram, Microsoft Edge, Chrome, curl
Algorithms:
aes, sha1, md5, base64, sha256
Functions:
Get-Command, xs
Languages:
powershell, visual_basic
Platforms:
x64
YARA: Found
Links:
have more...
https://github.com/pulsedive-research/resources/tree/main/TAMECAThttps://github.com/volexity/threat-intel/blob/main/2023/2023-06-28%20POWERSTAR/indicators/rules.yarPulsedive Blog
TAMECAT - Analysis of an Iranian PowerShell-Based Backdoor
A detailed technical analysis of TAMECAT, a PowerShell-based backdoor used by the Iranian state-sponsored APT42 in espionage operations.
CTT Report Hub
#ParsedReport #CompletenessHigh 29-01-2026 TAMECAT - Analysis of an Iranian PowerShell-Based Backdoor https://blog.pulsedive.com/tamecat-analysis-of-an-iranian-powershell-based-backdoor/ Report completeness: High Actors/Campaigns: Apt42 (motivation: cyber_espionage)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TAMECAT является PowerShell основе бэкдор связаны с иранской злоумышленник APT42, главным образом используемая для шпионажа. К услугам кодировке base64 строки, возлагается на управление коммуникаций через платформы, такие как раздор и Телеграмма, и использует методы, такие как протоколы прикладного уровня С2, эвакуация эксфильтрация через зашифрованные каналы, и тактику уклонения, как обфускация. Самое вредоносное ПО инициирует через VBScript, который оценивает антивирусное присутствие, чтобы выполнить дальнейшие действия и цели отдельных лиц с использованием социальной инженерии.
-----
TAMECAT - это сложный бэкдор на базе PowerShell, приписываемый спонсируемой государством иранской хакерской группировке APT42, используемый главным образом для шпионских операций. Вредоносное ПО претерпело несколько итераций, с заметными сходствами между его вариантами, такими как использование строк в кодировке Base64 и фрагментация массива, которые генерируют исполняемый код. Вредоносное ПО TAMECAT использует различные методы управления (C2), в частности, использует такие платформы, как Discord и Telegram, для установления связи со взломанными системами.
С точки зрения техники, TAMECAT соответствует нескольким тактикам, описанным в рамках MITRE ATT&CK. Он использует Протоколы прикладного уровня для командования и контроля (T1071.001) и использует методы Стандартного кодирования для запутывания своих коммуникаций (T1132.001). Вредоносное ПО способно передавать инструменты в среду жертвы (T1105) и устанавливает симметричные Зашифрованные каналы для эксфильтрации данных (T1573.001). Он обходит защиту с помощью таких методов, как декодирование информации (T1140) и использование запутанных файлов или закодированных данных (T1027.013). Кроме того, TAMECAT выполняет как программное обеспечение, так и Изучение системы (T1518.001, T1082), что позволяет оценить уровень безопасности системы жертвы перед выполнением команд.
Первоначальное вторжение TAMECAT часто инициируется с помощью VBScript, который проверяет наличие запущенного антивирусного программного обеспечения, чтобы определить наилучший способ загрузки полезной нагрузки вредоносного ПО. Этот скрипт может либо использовать среду PowerShell через conhost, либо полагаться на cmd.exe и свернитесь для дальнейших действий. Загрузчик, идентифицированный как Nconf.txt , включает в себя различные функции и переменные, содержащиеся в массивах, которые облегчают декодирование данных и последующее выполнение дополнительного кода. Образцы этого вредоносного ПО были занесены в каталог и доступны для анализа в таких сервисах, как VirusTotal.
Более того, TAMECAT был известен своей стратегической ориентацией на высокопоставленных лиц, таких как высокопоставленные военные и правительственные чиновники. APT42 использует тактику социальной инженерии для установления взаимопонимания с целями с течением времени, впоследствии используя это доверие для получения несанкционированного доступа к их системам. Возможность эксфильтрации конфиденциальных данных по каналам C2 (T1041) еще раз подчеркивает оперативные возможности TAMECAT как инструмента кибершпионажа. В целом, TAMECAT представляет собой многогранную угрозу, используя как техническую изощренность, так и социальные манипуляции для достижения своих шпионских целей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TAMECAT является PowerShell основе бэкдор связаны с иранской злоумышленник APT42, главным образом используемая для шпионажа. К услугам кодировке base64 строки, возлагается на управление коммуникаций через платформы, такие как раздор и Телеграмма, и использует методы, такие как протоколы прикладного уровня С2, эвакуация эксфильтрация через зашифрованные каналы, и тактику уклонения, как обфускация. Самое вредоносное ПО инициирует через VBScript, который оценивает антивирусное присутствие, чтобы выполнить дальнейшие действия и цели отдельных лиц с использованием социальной инженерии.
-----
TAMECAT - это сложный бэкдор на базе PowerShell, приписываемый спонсируемой государством иранской хакерской группировке APT42, используемый главным образом для шпионских операций. Вредоносное ПО претерпело несколько итераций, с заметными сходствами между его вариантами, такими как использование строк в кодировке Base64 и фрагментация массива, которые генерируют исполняемый код. Вредоносное ПО TAMECAT использует различные методы управления (C2), в частности, использует такие платформы, как Discord и Telegram, для установления связи со взломанными системами.
С точки зрения техники, TAMECAT соответствует нескольким тактикам, описанным в рамках MITRE ATT&CK. Он использует Протоколы прикладного уровня для командования и контроля (T1071.001) и использует методы Стандартного кодирования для запутывания своих коммуникаций (T1132.001). Вредоносное ПО способно передавать инструменты в среду жертвы (T1105) и устанавливает симметричные Зашифрованные каналы для эксфильтрации данных (T1573.001). Он обходит защиту с помощью таких методов, как декодирование информации (T1140) и использование запутанных файлов или закодированных данных (T1027.013). Кроме того, TAMECAT выполняет как программное обеспечение, так и Изучение системы (T1518.001, T1082), что позволяет оценить уровень безопасности системы жертвы перед выполнением команд.
Первоначальное вторжение TAMECAT часто инициируется с помощью VBScript, который проверяет наличие запущенного антивирусного программного обеспечения, чтобы определить наилучший способ загрузки полезной нагрузки вредоносного ПО. Этот скрипт может либо использовать среду PowerShell через conhost, либо полагаться на cmd.exe и свернитесь для дальнейших действий. Загрузчик, идентифицированный как Nconf.txt , включает в себя различные функции и переменные, содержащиеся в массивах, которые облегчают декодирование данных и последующее выполнение дополнительного кода. Образцы этого вредоносного ПО были занесены в каталог и доступны для анализа в таких сервисах, как VirusTotal.
Более того, TAMECAT был известен своей стратегической ориентацией на высокопоставленных лиц, таких как высокопоставленные военные и правительственные чиновники. APT42 использует тактику социальной инженерии для установления взаимопонимания с целями с течением времени, впоследствии используя это доверие для получения несанкционированного доступа к их системам. Возможность эксфильтрации конфиденциальных данных по каналам C2 (T1041) еще раз подчеркивает оперативные возможности TAMECAT как инструмента кибершпионажа. В целом, TAMECAT представляет собой многогранную угрозу, используя как техническую изощренность, так и социальные манипуляции для достижения своих шпионских целей.
#ParsedReport #CompletenessMedium
29-01-2026
MoonPeak and the Growing Sophistication of DPRK Intrusions
https://cybersecsentinel.com/moonpeak-and-the-growing-sophistication-of-dprk-intrusions/
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Threats:
Moonpeak
Xenorat
Lolbin_technique
Quasar_rat
Spear-phishing_technique
Victims:
Diplomatic sector, Government sector, Academic sector, Financial sector
Industry:
Government
Geo:
North korean, Dprk
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1033, T1036.005, T1053.005, T1059, T1059.001, T1071.001, T1082, T1105, T1112, have more...
IOCs:
Hash: 8
Registry: 2
IP: 5
Algorithms:
gzip, md5, sha1, sha256
Languages:
powershell
29-01-2026
MoonPeak and the Growing Sophistication of DPRK Intrusions
https://cybersecsentinel.com/moonpeak-and-the-growing-sophistication-of-dprk-intrusions/
Report completeness: Medium
Actors/Campaigns:
Kimsuky
Threats:
Moonpeak
Xenorat
Lolbin_technique
Quasar_rat
Spear-phishing_technique
Victims:
Diplomatic sector, Government sector, Academic sector, Financial sector
Industry:
Government
Geo:
North korean, Dprk
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1033, T1036.005, T1053.005, T1059, T1059.001, T1071.001, T1082, T1105, T1112, have more...
IOCs:
Hash: 8
Registry: 2
IP: 5
Algorithms:
gzip, md5, sha1, sha256
Languages:
powershell
Cybersec Sentinel
MoonPeak and the Growing Sophistication of DPRK Intrusions
Threat Group UAT-5394 with strong tactical overlap to Kimsuky
Threat Type Remote Access Trojan derived from XenoRAT delivered via weaponised LNK files and PowerShell droppers
Exploited Vulnerabilities Windows LNK execution trust abuse, PowerShell execution…
Threat Type Remote Access Trojan derived from XenoRAT delivered via weaponised LNK files and PowerShell droppers
Exploited Vulnerabilities Windows LNK execution trust abuse, PowerShell execution…
CTT Report Hub
#ParsedReport #CompletenessMedium 29-01-2026 MoonPeak and the Growing Sophistication of DPRK Intrusions https://cybersecsentinel.com/moonpeak-and-the-growing-sophistication-of-dprk-intrusions/ Report completeness: Medium Actors/Campaigns: Kimsuky Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
MoonPeak - это троян удаленного доступа (RAT), созданный северокорейской группой UAT-5394, использующий модифицированный код XenoRAT с открытым исходным кодом для изощренной шпионской деятельности против различных целей, включая правительственные и финансовые организации. Доставляемый по электронной почте с помощью spear phishing, он выполняет запутанные команды PowerShell из замаскированных файлов LNK для сбора полных системных данных, которые затем передаются на пользовательские серверы командования и контроля злоумышленников. Вредоносное ПО демонстрирует эволюцию UAT-5394's в области кибернетических возможностей и переход к управлению собственной инфраструктурой для повышения операционной устойчивости.
-----
MoonPeak - это троян удаленного доступа (RAT), созданный северокорейской группой UAT-5394, специализирующейся на долгосрочном сборе разведывательной информации. Он основан на платформе XenoRAT с пользовательскими протоколами командования и управления и передовыми методами запутывания. Вредоносное ПО нацелено на дипломатические, правительственные, академические и финансовые учреждения.
Доставка осуществляется в основном с помощью электронных писем с spear phishing, содержащих вредоносные файлы Windows LNK, которые выдаются за законные документы. Выполнение этих файлов запускает скрытую запутанную команду PowerShell при отображении документа-приманки.
После выполнения MoonPeak собирает системные метаданные, информацию об учетной записи пользователя, установленных средствах безопасности и сведения об операционной системе, передавая эти данные на свои серверы управления. Вредоносное ПО содержит признаки компрометации, такие как вредоносные LNK-файлы, замаскированные под PDF-файлы, и запутанные скрипты PowerShell в таких каталогах, как C:\ProgramData или %TEMP%.
Постоянные заражения достигаются путем внесения изменений в ключи запуска реестра или установки служб. Переход UAT-5394's к владению собственной инфраструктурой повышает эксплуатационную устойчивость. Организации, занимающиеся дипломатией, политическими исследованиями или финансовыми инвестициями, являются объектами повышенного риска для MoonPeak.
Стратегии смягчения включают ограничение выполнения скриптов из файлов LNK, внедрение языкового режима с ограничениями в PowerShell и обеспечение обязательной подписи скриптов, наряду с приоритезацией поведенческого обнаружения и видимости для перемещения внутри компании с помощью EDR-решений.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
MoonPeak - это троян удаленного доступа (RAT), созданный северокорейской группой UAT-5394, использующий модифицированный код XenoRAT с открытым исходным кодом для изощренной шпионской деятельности против различных целей, включая правительственные и финансовые организации. Доставляемый по электронной почте с помощью spear phishing, он выполняет запутанные команды PowerShell из замаскированных файлов LNK для сбора полных системных данных, которые затем передаются на пользовательские серверы командования и контроля злоумышленников. Вредоносное ПО демонстрирует эволюцию UAT-5394's в области кибернетических возможностей и переход к управлению собственной инфраструктурой для повышения операционной устойчивости.
-----
MoonPeak - это троян удаленного доступа (RAT), созданный северокорейской группой UAT-5394, специализирующейся на долгосрочном сборе разведывательной информации. Он основан на платформе XenoRAT с пользовательскими протоколами командования и управления и передовыми методами запутывания. Вредоносное ПО нацелено на дипломатические, правительственные, академические и финансовые учреждения.
Доставка осуществляется в основном с помощью электронных писем с spear phishing, содержащих вредоносные файлы Windows LNK, которые выдаются за законные документы. Выполнение этих файлов запускает скрытую запутанную команду PowerShell при отображении документа-приманки.
После выполнения MoonPeak собирает системные метаданные, информацию об учетной записи пользователя, установленных средствах безопасности и сведения об операционной системе, передавая эти данные на свои серверы управления. Вредоносное ПО содержит признаки компрометации, такие как вредоносные LNK-файлы, замаскированные под PDF-файлы, и запутанные скрипты PowerShell в таких каталогах, как C:\ProgramData или %TEMP%.
Постоянные заражения достигаются путем внесения изменений в ключи запуска реестра или установки служб. Переход UAT-5394's к владению собственной инфраструктурой повышает эксплуатационную устойчивость. Организации, занимающиеся дипломатией, политическими исследованиями или финансовыми инвестициями, являются объектами повышенного риска для MoonPeak.
Стратегии смягчения включают ограничение выполнения скриптов из файлов LNK, внедрение языкового режима с ограничениями в PowerShell и обеспечение обязательной подписи скриптов, наряду с приоритезацией поведенческого обнаружения и видимости для перемещения внутри компании с помощью EDR-решений.
#ParsedReport #CompletenessLow
29-01-2026
Clawdbots rename to Moltbot sparks impersonation campaign
https://www.malwarebytes.com/blog/threat-intel/2026/01/clawdbots-rename-to-moltbot-sparks-impersonation-campaign
Report completeness: Low
Threats:
Clawbot_tool
Typosquatting_technique
Supply_chain_technique
Lolbin_technique
Victims:
Open source software ecosystem, Software developers, Moltbot users
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1036.003, T1195, T1566.002, T1583.001, T1656
IOCs:
Domain: 3
Url: 1
Soft:
Clawdbots, Clawdbot, Claude, WhatsApp, Telegram, Discord, Twitter, OpenAI, Slack, Microsoft Office, have more...
Platforms:
intel
29-01-2026
Clawdbots rename to Moltbot sparks impersonation campaign
https://www.malwarebytes.com/blog/threat-intel/2026/01/clawdbots-rename-to-moltbot-sparks-impersonation-campaign
Report completeness: Low
Threats:
Clawbot_tool
Typosquatting_technique
Supply_chain_technique
Lolbin_technique
Victims:
Open source software ecosystem, Software developers, Moltbot users
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036.003, T1195, T1566.002, T1583.001, T1656
IOCs:
Domain: 3
Url: 1
Soft:
Clawdbots, Clawdbot, Claude, WhatsApp, Telegram, Discord, Twitter, OpenAI, Slack, Microsoft Office, have more...
Platforms:
intel
Malwarebytes
Clawdbot’s rename to Moltbot sparks impersonation campaign
This Moltbot impersonation campaign is a case study in supply-chain risk, brand hijacking, and what happens when open source goes viral.
CTT Report Hub
#ParsedReport #CompletenessLow 29-01-2026 Clawdbots rename to Moltbot sparks impersonation campaign https://www.malwarebytes.com/blog/threat-intel/2026/01/clawdbots-rename-to-moltbot-sparks-impersonation-campaign Report completeness: Low Threats: Clawbot_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Переименование Clawdbot в Moltbot привело к кампаниям по Имперсонации, включающим typosquatting доменов и клонированный репозиторий, направленный на облегчение потенциальных атак на supply-chain. Сайт-имитатор исказил авторство, используя вводящие в заблуждение метаданные, связанные с первоначальным создателем, что вызвало опасения по поводу искажения личности. Хотя в клонированном репозитории в настоящее время отсутствует явное вредоносное ПО, оно намекает на стратегическую установку для будущих атак, подчеркивая риски, связанные с доверием проектам с открытым исходным кодом без тщательной проверки.
-----
Недавнее переименование проекта Clawdbot с открытым исходным кодом в Moltbot, вызванное спором о товарном знаке, вызвало волну кампаний по Имперсонации со стороны оппортунистических акторов. Вскоре после переименования появилось несколько доменов typosquatting и клонированный репозиторий GitHub, выдающий себя за создателя оригинального проекта Питера Стейнбергера, с намерением позиционировать себя для потенциальной атаки на supply-chain.
Расследование клонированного репозитория показали скоординированную установки, направленные на олицетворении Moltbot. Олицетворения сайте используются обманные schema.org метаданные, чтобы лживо приписать авторство Штейнбергер, создавая прямую связь с его законной GitHub и Х профилей, что создает четкую идентичность в заблуждение. Такое поведение согласуется с общепризнанным картина наблюдается в открытых источниках Supply-Chain атак, где противники пытаются проникнуть интересных проектов и распространения вредоносного обновления.
Несмотря на тревожный контекст этой Имперсонации, статический аудит клонированного репозитория показал, что его текущая структура лишена какого-либо явного вредоносного ПО. Это отсутствие вредоносного кода указывает не на непосредственную оппортунистическую Вредоносную Кампанию, а скорее на стратегическую основу для возможной будущей атаки на supply-chain. Хотя на данный момент хранилище выглядит чистым, перенаправление на несанкционированные ресурсы и искусственное завышение показателей популярности указывают на злой умысел, стоящий за его созданием.
Инфраструктура Имперсонации была разработана таким образом, чтобы казаться законной, что представляет значительную угрозу, поскольку пользователи могут неосознанно доверять программному обеспечению и устанавливать его до появления каких-либо вредоносных обновлений. Осведомленность о кибербезопасности и бдительность необходимы для снижения рисков, связанных с такой тактикой Имперсонации, особенно в сфере программного обеспечения с открытым исходным кодом, где даже законные проекты могут стать нацелены противниками, стремящимися использовать их популярность по скрытым мотивам. Таким образом, заинтересованные стороны должны сохранять осторожность и внимательно изучать обновления, особенно из источников с сомнительной атрибуцией.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Переименование Clawdbot в Moltbot привело к кампаниям по Имперсонации, включающим typosquatting доменов и клонированный репозиторий, направленный на облегчение потенциальных атак на supply-chain. Сайт-имитатор исказил авторство, используя вводящие в заблуждение метаданные, связанные с первоначальным создателем, что вызвало опасения по поводу искажения личности. Хотя в клонированном репозитории в настоящее время отсутствует явное вредоносное ПО, оно намекает на стратегическую установку для будущих атак, подчеркивая риски, связанные с доверием проектам с открытым исходным кодом без тщательной проверки.
-----
Недавнее переименование проекта Clawdbot с открытым исходным кодом в Moltbot, вызванное спором о товарном знаке, вызвало волну кампаний по Имперсонации со стороны оппортунистических акторов. Вскоре после переименования появилось несколько доменов typosquatting и клонированный репозиторий GitHub, выдающий себя за создателя оригинального проекта Питера Стейнбергера, с намерением позиционировать себя для потенциальной атаки на supply-chain.
Расследование клонированного репозитория показали скоординированную установки, направленные на олицетворении Moltbot. Олицетворения сайте используются обманные schema.org метаданные, чтобы лживо приписать авторство Штейнбергер, создавая прямую связь с его законной GitHub и Х профилей, что создает четкую идентичность в заблуждение. Такое поведение согласуется с общепризнанным картина наблюдается в открытых источниках Supply-Chain атак, где противники пытаются проникнуть интересных проектов и распространения вредоносного обновления.
Несмотря на тревожный контекст этой Имперсонации, статический аудит клонированного репозитория показал, что его текущая структура лишена какого-либо явного вредоносного ПО. Это отсутствие вредоносного кода указывает не на непосредственную оппортунистическую Вредоносную Кампанию, а скорее на стратегическую основу для возможной будущей атаки на supply-chain. Хотя на данный момент хранилище выглядит чистым, перенаправление на несанкционированные ресурсы и искусственное завышение показателей популярности указывают на злой умысел, стоящий за его созданием.
Инфраструктура Имперсонации была разработана таким образом, чтобы казаться законной, что представляет значительную угрозу, поскольку пользователи могут неосознанно доверять программному обеспечению и устанавливать его до появления каких-либо вредоносных обновлений. Осведомленность о кибербезопасности и бдительность необходимы для снижения рисков, связанных с такой тактикой Имперсонации, особенно в сфере программного обеспечения с открытым исходным кодом, где даже законные проекты могут стать нацелены противниками, стремящимися использовать их популярность по скрытым мотивам. Таким образом, заинтересованные стороны должны сохранять осторожность и внимательно изучать обновления, особенно из источников с сомнительной атрибуцией.
#ParsedReport #CompletenessMedium
29-01-2026
Worms lurking in code extensions
https://secureannex.com/blog/worms-lurking
Report completeness: Medium
Threats:
Etherhiding_technique
Supply_chain_technique
Dead_drop_technique
Glassworm
Victims:
Software development
Industry:
Financial, E-commerce
Geo:
Kaliningrad, Moscow, Russian, Asia
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1027, T1027.009, T1036, T1036.004, T1041, T1053.005, T1059.001, T1059.007, T1071.001, have more...
IOCs:
File: 16
Url: 1
IP: 2
Soft:
Node.js, macOS, Linux, VSCode, Ledger Live, Chrome, Firefox, Visual Studio
Wallets:
mainnet, metamask
Crypto:
solana
Algorithms:
base64, aes-256-cbc, zip, aes
Functions:
activate, eval, Date
Languages:
javascript, typescript, powershell
29-01-2026
Worms lurking in code extensions
https://secureannex.com/blog/worms-lurking
Report completeness: Medium
Threats:
Etherhiding_technique
Supply_chain_technique
Dead_drop_technique
Glassworm
Victims:
Software development
Industry:
Financial, E-commerce
Geo:
Kaliningrad, Moscow, Russian, Asia
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1027.009, T1036, T1036.004, T1041, T1053.005, T1059.001, T1059.007, T1071.001, have more...
IOCs:
File: 16
Url: 1
IP: 2
Soft:
Node.js, macOS, Linux, VSCode, Ledger Live, Chrome, Firefox, Visual Studio
Wallets:
mainnet, metamask
Crypto:
solana
Algorithms:
base64, aes-256-cbc, zip, aes
Functions:
activate, eval, Date
Languages:
javascript, typescript, powershell
Secure Annex
Worms lurking in code extensions
Worms are hiding discreetly in extension marketplaces waiting to trigger the next mass scale event.
CTT Report Hub
#ParsedReport #CompletenessMedium 29-01-2026 Worms lurking in code extensions https://secureannex.com/blog/worms-lurking Report completeness: Medium Threats: Etherhiding_technique Supply_chain_technique Dead_drop_technique Glassworm Victims: Software…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавно выявленное вредоносное расширение VS Code использует уязвимости в Open VSX с помощью расширенного вредоносного ПО, которое активируется при открытии файлов HTML или TypeScript. Он использует Node.js криптомодуль для расшифровки и выполнения JavaScript, предоставляющий доступ к API-интерфейсам VS Code и файловой системе, при этом используется инфраструктура C2, которая использует блокчейн Solana для извлечения полезной нагрузки. Нацеливаясь на разработчиков, вредоносное ПО запрашивает токены аутентификации у NPM и GitHub, крадет криптовалюту с различных кошельков, устанавливает закрепление с помощью запланированных задач и использует динамические обновления для поддержания своей работы.
-----
Недавнее открытие подчеркивает угрозу, исходящую от вредоносных расширений, скрывающихся на рынках кода, в частности в Open VSX, где недавно опубликованное расширение уже собрало более 5000 загрузок. Это расширение оснащено сложным вредоносным ПО, которое активируется при открытии любого файла HTML или TypeScript в Visual Studio Code (VS Code). Эксплойт основан на выполнении вредоносного загрузчика, встроенного в законную кодовую базу, специально клонированную из языковой службы Angular.
Вредоносный компонент использует Node.js криптомодуль для настройки процесса расшифровки AES-256-CBC, который позволяет выполнять расшифрованный JavaScript с помощью вызова eval(). Это предоставляет ему полный доступ к API-интерфейсам VS Code и базовой файловой системе, облегчая широкий спектр вредоносных действий. Инфраструктура командования и контроля (C2) использует блокчейн Solana, используя технологию, известную как Etherhiding. Поле "Памятка учетной записи" в блокчейне содержит URL-адрес в кодировке Base64 для загрузки дополнительных полезных данных. Примечательно, что поле памятки может динамически обновляться, обеспечивая непрерывную связь и извлечение полезной нагрузки.
Перед выполнением команд вредоносное ПО проверяет язык, чтобы убедиться, что оно работает в соответствующих средах, и создает скрытые файлы для мониторинга состояния его выполнения на разных платформах. Он специально ориентирован на разработчиков, стремящихся извлечь конфиденциальную информацию, такую как токены аутентификации, из NPM и GitHub. Это включает в себя сканирование конфигурационных файлов и кэшированных учетных данных, а также функциональность для проверки легитимности токена с помощью быстрых вызовов API.
Вредоносное ПО также включает в себя функции для кражи криптовалюты, нацелено на более чем 60 типов кошельков и использует агрессивную тактику для уничтожения процессов в Chrome и Firefox, тем самым получая доступ к базам данных браузера и сохраненным паролям. Он обеспечивает закрепление путем создания запланированных задач и записей реестра, обеспечивая восстановление после перезагрузки системы. Кроме того, он использует методы, позволяющие избежать обнаружения путем загрузки зашифрованных компонентов и выполнения расшифровки в памяти.
После успешной операции по краже вредоносное ПО объединяет украденную информацию и отправляет ее на указанный IP-адрес посредством скрытого запроса POST. Он также включает в себя механизм динамических обновлений, позволяющий искать новые адреса серверов по внешней ссылке Google Calendar, если его основные каналы связи нарушены.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавно выявленное вредоносное расширение VS Code использует уязвимости в Open VSX с помощью расширенного вредоносного ПО, которое активируется при открытии файлов HTML или TypeScript. Он использует Node.js криптомодуль для расшифровки и выполнения JavaScript, предоставляющий доступ к API-интерфейсам VS Code и файловой системе, при этом используется инфраструктура C2, которая использует блокчейн Solana для извлечения полезной нагрузки. Нацеливаясь на разработчиков, вредоносное ПО запрашивает токены аутентификации у NPM и GitHub, крадет криптовалюту с различных кошельков, устанавливает закрепление с помощью запланированных задач и использует динамические обновления для поддержания своей работы.
-----
Недавнее открытие подчеркивает угрозу, исходящую от вредоносных расширений, скрывающихся на рынках кода, в частности в Open VSX, где недавно опубликованное расширение уже собрало более 5000 загрузок. Это расширение оснащено сложным вредоносным ПО, которое активируется при открытии любого файла HTML или TypeScript в Visual Studio Code (VS Code). Эксплойт основан на выполнении вредоносного загрузчика, встроенного в законную кодовую базу, специально клонированную из языковой службы Angular.
Вредоносный компонент использует Node.js криптомодуль для настройки процесса расшифровки AES-256-CBC, который позволяет выполнять расшифрованный JavaScript с помощью вызова eval(). Это предоставляет ему полный доступ к API-интерфейсам VS Code и базовой файловой системе, облегчая широкий спектр вредоносных действий. Инфраструктура командования и контроля (C2) использует блокчейн Solana, используя технологию, известную как Etherhiding. Поле "Памятка учетной записи" в блокчейне содержит URL-адрес в кодировке Base64 для загрузки дополнительных полезных данных. Примечательно, что поле памятки может динамически обновляться, обеспечивая непрерывную связь и извлечение полезной нагрузки.
Перед выполнением команд вредоносное ПО проверяет язык, чтобы убедиться, что оно работает в соответствующих средах, и создает скрытые файлы для мониторинга состояния его выполнения на разных платформах. Он специально ориентирован на разработчиков, стремящихся извлечь конфиденциальную информацию, такую как токены аутентификации, из NPM и GitHub. Это включает в себя сканирование конфигурационных файлов и кэшированных учетных данных, а также функциональность для проверки легитимности токена с помощью быстрых вызовов API.
Вредоносное ПО также включает в себя функции для кражи криптовалюты, нацелено на более чем 60 типов кошельков и использует агрессивную тактику для уничтожения процессов в Chrome и Firefox, тем самым получая доступ к базам данных браузера и сохраненным паролям. Он обеспечивает закрепление путем создания запланированных задач и записей реестра, обеспечивая восстановление после перезагрузки системы. Кроме того, он использует методы, позволяющие избежать обнаружения путем загрузки зашифрованных компонентов и выполнения расшифровки в памяти.
После успешной операции по краже вредоносное ПО объединяет украденную информацию и отправляет ее на указанный IP-адрес посредством скрытого запроса POST. Он также включает в себя механизм динамических обновлений, позволяющий искать новые адреса серверов по внешней ссылке Google Calendar, если его основные каналы связи нарушены.
#ParsedReport #CompletenessMedium
28-01-2026
No Place Like Home Network: Disrupting the World's Largest Residential Proxy Network
https://cloud.google.com/blog/topics/threat-intelligence/disrupting-largest-residential-proxy-network/
Report completeness: Medium
Threats:
Residential_proxy_technique
Ipidea
Aisuru
Kimwolf
Password_spray_technique
922proxy_tool
Abcproxy_tool
Lunaproxy_tool
Piaproxy_tool
Radish_vpn_tool
Badbox
Island_tool
Victims:
Consumers, Residential proxy users, Small business customers, Mobile app users, Windows users
Industry:
Media, Software_development, Telco
Geo:
Canada, Hongkong, Iran, Russia, Dprk, Hong kong, China
ChatGPT TTPs:
T1001, T1036.005, T1071.001, T1090, T1102, T1204.002, T1583.001, T1583.003
IOCs:
Hash: 13
IP: 4
Domain: 42
Soft:
Android, Google Play
Algorithms:
sha256
28-01-2026
No Place Like Home Network: Disrupting the World's Largest Residential Proxy Network
https://cloud.google.com/blog/topics/threat-intelligence/disrupting-largest-residential-proxy-network/
Report completeness: Medium
Threats:
Residential_proxy_technique
Ipidea
Aisuru
Kimwolf
Password_spray_technique
922proxy_tool
Abcproxy_tool
Lunaproxy_tool
Piaproxy_tool
Radish_vpn_tool
Badbox
Island_tool
Victims:
Consumers, Residential proxy users, Small business customers, Mobile app users, Windows users
Industry:
Media, Software_development, Telco
Geo:
Canada, Hongkong, Iran, Russia, Dprk, Hong kong, China
ChatGPT TTPs:
do not use without manual checkT1001, T1036.005, T1071.001, T1090, T1102, T1204.002, T1583.001, T1583.003
IOCs:
Hash: 13
IP: 4
Domain: 42
Soft:
Android, Google Play
Algorithms:
sha256
Google Cloud Blog
Disrupting the World's Largest Residential Proxy Network | Google Cloud Blog
IPIDEA’s proxy infrastructure is a component of the digital ecosystem leveraged by a wide array of bad actors.
CTT Report Hub
#ParsedReport #CompletenessMedium 28-01-2026 No Place Like Home Network: Disrupting the World's Largest Residential Proxy Network https://cloud.google.com/blog/topics/threat-intelligence/disrupting-largest-residential-proxy-network/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Прокси-сеть IPIDEA, важная инициатива residential proxy, способствующая борьбе с киберпреступностью, использует множество наборов для разработки программного обеспечения (SDK), таких как EarnSDK и PacketSDK, для связи со своей инфраструктурой управления (C2). Эта сеть включает в себя приблизительно 7400 серверов второго уровня, которые динамически подключаются через TCP-пакеты с закодированной полезной нагрузкой в формате JSON, позволяя вредоносным акторам скрывать свою деятельность. Были выявлены многочисленные безобидные на вид приложения, включая троянские VPN, подключающиеся к этой инфраструктуре, что вызывает опасения по поводу использования residential proxy.
-----
Недавно Google и ее партнеры нацелили прокси-сеть IPIDEA, которая считается одной из крупнейших сетей residential proxy, способствующих различным видам киберпреступности. Сети Residential proxy, в отличие от традиционных прокси, позволяют маршрутизировать трафик через IP-адреса, принадлежащие интернет-провайдерам, что позволяет акторам осуществлять вредоносные действия, скрывая при этом их истинный источник. Это усложняет усилия по обнаружению сетевыми защитниками.
В ipidea IPIDEA включает в себя несколько брендов которые контролируются одними и теми же актерами, что подтверждается общей управление (С2) инфраструктуры в разных комплекты разработчика программного обеспечения (SDK), включая EarnSDK, PacketSDK, CastarSDK, и HexSDK. Эти SDK в приложения и возможность общения с иерархической структурой С2. При инициализации устройства, уровня один сервер обеспечивает подключение к различным двух узлов ступень поручено операций проксирования. Связь между этими узлами использует TCP-пакеты, содержащие закодированные полезной нагрузки JSON, что для динамического создания связей, основанных на вредоносные директив.
Анализ сети выявил общий пул примерно из 7400 серверов второго уровня, доступность которых колеблется в зависимости от спроса. Эта инфраструктура, работающая глобально и в основном на разных сетевых портах, предполагает скоординированный подход к управлению прокси-трафиком. Также было установлено, что акторы IPIDEA распространяли троянское программное обеспечение. Например, бесплатные VPN-приложения, которые ложно рекламируют свою функциональность, включают SDK, которые тайно подключают устройства к сети IPIDEA без раскрытия информации пользователем.
В ходе расследования было выявлено более 3000 уникальных двоичных файлов Windows и более 600 приложений для Android, использующих код для привязки к доменам первого уровня C2. Многие из этих приложений казались безобидными, но включали SDK для монетизации, которые поддерживали действия через прокси. Действия, предпринятые против сети IPIDEA, включают юридические меры по удалению доменов C2 и маркетинговых веб-сайтов, связанных с прокси-продуктами. Сотрудничество с другими охранными фирмами и поставщиками облачных услуг имело жизненно важное значение для разрушения инфраструктуры сети.
Это событие подчеркивает необходимость усиления бдительности в отношении сетей residential proxy, которые часто используют пропускную способность потребителей в незаконных целях. Пользователям рекомендуется быть осторожными с приложениями, обещающими оплату за "неиспользованную полосу пропускания", и пользоваться официальными магазинами приложений, сохраняя при этом осведомленность о разрешениях приложений и протоколах безопасности. Наконец, существует призыв к подотчетности среди провайдеров residential proxy, где любые заявления об этических практиках должны быть обоснованы прозрачным согласием пользователя, и к постоянному сотрудничеству в технологической отрасли для борьбы с незаконными прокси-сетями.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Прокси-сеть IPIDEA, важная инициатива residential proxy, способствующая борьбе с киберпреступностью, использует множество наборов для разработки программного обеспечения (SDK), таких как EarnSDK и PacketSDK, для связи со своей инфраструктурой управления (C2). Эта сеть включает в себя приблизительно 7400 серверов второго уровня, которые динамически подключаются через TCP-пакеты с закодированной полезной нагрузкой в формате JSON, позволяя вредоносным акторам скрывать свою деятельность. Были выявлены многочисленные безобидные на вид приложения, включая троянские VPN, подключающиеся к этой инфраструктуре, что вызывает опасения по поводу использования residential proxy.
-----
Недавно Google и ее партнеры нацелили прокси-сеть IPIDEA, которая считается одной из крупнейших сетей residential proxy, способствующих различным видам киберпреступности. Сети Residential proxy, в отличие от традиционных прокси, позволяют маршрутизировать трафик через IP-адреса, принадлежащие интернет-провайдерам, что позволяет акторам осуществлять вредоносные действия, скрывая при этом их истинный источник. Это усложняет усилия по обнаружению сетевыми защитниками.
В ipidea IPIDEA включает в себя несколько брендов которые контролируются одними и теми же актерами, что подтверждается общей управление (С2) инфраструктуры в разных комплекты разработчика программного обеспечения (SDK), включая EarnSDK, PacketSDK, CastarSDK, и HexSDK. Эти SDK в приложения и возможность общения с иерархической структурой С2. При инициализации устройства, уровня один сервер обеспечивает подключение к различным двух узлов ступень поручено операций проксирования. Связь между этими узлами использует TCP-пакеты, содержащие закодированные полезной нагрузки JSON, что для динамического создания связей, основанных на вредоносные директив.
Анализ сети выявил общий пул примерно из 7400 серверов второго уровня, доступность которых колеблется в зависимости от спроса. Эта инфраструктура, работающая глобально и в основном на разных сетевых портах, предполагает скоординированный подход к управлению прокси-трафиком. Также было установлено, что акторы IPIDEA распространяли троянское программное обеспечение. Например, бесплатные VPN-приложения, которые ложно рекламируют свою функциональность, включают SDK, которые тайно подключают устройства к сети IPIDEA без раскрытия информации пользователем.
В ходе расследования было выявлено более 3000 уникальных двоичных файлов Windows и более 600 приложений для Android, использующих код для привязки к доменам первого уровня C2. Многие из этих приложений казались безобидными, но включали SDK для монетизации, которые поддерживали действия через прокси. Действия, предпринятые против сети IPIDEA, включают юридические меры по удалению доменов C2 и маркетинговых веб-сайтов, связанных с прокси-продуктами. Сотрудничество с другими охранными фирмами и поставщиками облачных услуг имело жизненно важное значение для разрушения инфраструктуры сети.
Это событие подчеркивает необходимость усиления бдительности в отношении сетей residential proxy, которые часто используют пропускную способность потребителей в незаконных целях. Пользователям рекомендуется быть осторожными с приложениями, обещающими оплату за "неиспользованную полосу пропускания", и пользоваться официальными магазинами приложений, сохраняя при этом осведомленность о разрешениях приложений и протоколах безопасности. Наконец, существует призыв к подотчетности среди провайдеров residential proxy, где любые заявления об этических практиках должны быть обоснованы прозрачным согласием пользователя, и к постоянному сотрудничеству в технологической отрасли для борьбы с незаконными прокси-сетями.
#ParsedReport #CompletenessHigh
29-01-2026
Love? Actually: Fake dating app used as lure in targeted spyware campaign in Pakistan
https://www.welivesecurity.com/en/eset-research/love-actually-fake-dating-app-used-lure-targeted-spyware-campaign-pakistan/
Report completeness: High
Actors/Campaigns:
Ghostchat (motivation: cyber_espionage)
Threats:
Clickfix_technique
Ghostpairing_technique
Victims:
Pakistan users, Whatsapp users
Industry:
Government
Geo:
Pakistani, Ukraine, Pakistan
TTPs:
Tactics: 6
Technics: 12
IOCs:
Url: 4
Command: 2
File: 1
Domain: 2
IP: 1
Hash: 2
Soft:
Android, WhatsApp, Google Play
Algorithms:
base64, exhibit, sha1
Languages:
powershell
Platforms:
apple
Links:
29-01-2026
Love? Actually: Fake dating app used as lure in targeted spyware campaign in Pakistan
https://www.welivesecurity.com/en/eset-research/love-actually-fake-dating-app-used-lure-targeted-spyware-campaign-pakistan/
Report completeness: High
Actors/Campaigns:
Ghostchat (motivation: cyber_espionage)
Threats:
Clickfix_technique
Ghostpairing_technique
Victims:
Pakistan users, Whatsapp users
Industry:
Government
Geo:
Pakistani, Ukraine, Pakistan
TTPs:
Tactics: 6
Technics: 12
IOCs:
Url: 4
Command: 2
File: 1
Domain: 2
IP: 1
Hash: 2
Soft:
Android, WhatsApp, Google Play
Algorithms:
base64, exhibit, sha1
Languages:
powershell
Platforms:
apple
Links:
https://github.com/eset/malware-ioc/tree/master/ghostchatWelivesecurity
Love? Actually: Fake dating app used as lure in targeted spyware campaign in Pakistan
ESET researchers discover an Android spyware campaign targeting users in Pakistan via romance scam tactics, revealing links to a broader spy operation.