#ParsedReport #CompletenessHigh
28-01-2026

Exposed Open Directory Leaks a Full BYOB Deployment Across Windows, Linux, and macOS

https://hunt.io/blog/exposed-byob-c2-infrastructure-multi-stage-malware-deployment

Report completeness: High

Threats:
Byob_tool
Uac_bypass_technique
Xmrig_miner
Coinminer

Victims:
Multiple regions, Cryptocurrency mining targets

Geo:
Panama, Singapore, Los angeles

TTPs:
Tactics: 9
Technics: 17

IOCs:
IP: 3
Url: 2
File: 14
Registry: 3
Hash: 6

Soft:
Linux, macOS, Outlook, VirtualBox, Unix, Hyper-V, Windows Subsystem for Linux, Windows Explorer, Windows Registry, Task Scheduler, have more...

Algorithms:
aes-256-cbc, md5, base64, deflate

Functions:
urlopen, exec, mac_address, architecture, device, username, administrator, geolocation, chr, HookKeyboard, have more...

Win API:
decompress, gethostname, CoInitialize, inet_ntoa, ShellExecuteEx

Languages:
python, java

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние исследования обнаружили многоступенчатой вредоносных рамках известного как BYOB, работает на Windows, Linux и macOS и платформах. Все начинается с компактного, незаметного дроппера (359 байт), который извлекает и запускает полезную нагрузку трояна удаленного доступа (RAT) (123 КБ), способную к Регистрации нажатий клавиш, Захвату экрана и анализу сети. Самое вредоносное ПО функциями анти-виртуальная машина обнаружения, использует зашифрованные каналы HTTP для передачи С2, а также включает в себя cryptojacking функции, с указанием двойного назначения операции.
-----

На сервере управления BYOB (Создайте свой собственный ботнет) (C2) было обнаружено многоэтапное развертывание вредоносного ПО, нацеленного на Windows, Linux и macOS. Заражение начинается с 359-байтового дроппера, который использует методы обфускации, чтобы избежать обнаружения. Дроппер извлекает и выполняет последующие этапы работы с вредоносным ПО и использует модули Python для поддержания совместимости как с Python 2, так и с 3. Структура фреймворка BYOB включает в себя dropper, stager и основную полезную нагрузку.

В стагер реализует анти-обнаружения виртуальной машины, проверка переменных среды, типичные для виртуализации. Основной полезной нагрузкой представляет собой Троян удаленного доступа (RAT) примерно 123 КБ, предлагая Регистрация нажатий клавиш, захват экрана и сетевого пакета анализа. Самое вредоносное ПО работают семь закрепление сохранением всех нацелен операционной системы, используя методы, такие как реестра изменений, размещение папку автозагрузки, запланированных задач, файлами и запуск агентов на закрепление.

Связь с C2 осуществляется по зашифрованным каналам HTTP, в основном с использованием портов с 8080 по 8083. Инфраструктура BYOB активна как минимум с марта 2024 года, демонстрируя географическую диверсификацию и поддерживая операции по криптоджекингу XMRig в дополнение к возможностям удаленного доступа. Обнаружение и смягчение последствий требуют блокировки идентифицированной инфраструктуры C2 и изучения как активного вредоносного ПО, так и исторических записей связи.

#ParsedReport #CompletenessMedium
27-01-2026

Threat Intelligence Dossier: TOXICSNAKE

https://themalwarefiles.com/threat-intelligence-dossier-toxicsnake-b3e954bd644b

Report completeness: Medium

Threats:
Toxicsnake
Credential_harvesting_technique

Victims:
General internet users

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1583.001, T1583.003

IOCs:
Url: 2
Domain: 6
Email: 1
File: 2
IP: 2

Soft:
ChatGPT, Curl

Algorithms:
xor

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TOXICSNAKE использует несколько доменов системы распределения трафика, которая направляет пользователей на фишинг и вредоносное ПО. Вредоносный JavaScript загрузчик использует исключающее рутинное вводить URL-адреса в веб-страницы и управляет выполнением во время местное флаг хранения. Технический анализ показывает, запутывания, динамического дистанционного инъекций, и жертва дактилоскопия тактика, наряду с использованием горелки пользователей и IP-адресов связанных с Гц хостинг Лтд.ориентировочный товара инфраструктура ТДС.
-----

TOXICSNAKE идентифицируется как операция, использующая систему распределения многодоменного трафика (TDS), направленную на привлечение пользователей к схемам фишинга, мошенничеству или вредоносному ПО. Анализ загрузчика JavaScript, полученного из вредоносного домена, показал, что он использует процедуру XOR для создания и внедрения URL-адреса удаленного загрузчика на веб-страницы в сочетании с механизмом сохранения одноразового флага локального хранилища, предназначенного для управления выполнением скрипта.

Расследование показало, что при выполнении в контролируемой среде скрипт отправил запрос GET к серверному PHP-файлу, вернув ответ 504, который указывал на типичное поведение загрузчика, вероятно, связанное с управлением сеансами в TDS. Проверка инфраструктуры домена с помощью WHOIS, сервера имен и журналов сертификатов выявила подозрительные регистрационные данные, указывающие на использование вымышленных имен. Дальнейший анализ связал вредоносную активность с IP-адресом, связанным с HZ Hosting Ltd., выявив закономерность, соответствующую работе товарной фермы TDS.

Технические оценки поведения вредоносного ПО выявили его методы запутывания, динамические удаленные инъекции и стратегию получения отпечатков пальцев жертв с помощью пользовательских агентов, рефереров и географической информации. Эта операционная модель включает передачу токенов сеанса сценарию загрузки, что приводит к последующим этапам, таким как доставка контента или выполнение полезной нагрузки, что характерно для инфраструктуры TDS.

В целях локализации и исправления рекомендуется перевести затронутые сайты в автономный режим, сохранив их целостность перед восстановлением из защищенных резервных копий. Администраторы должны поменять учетные данные для всех административных точек доступа и удалить все внедренные скрипты. Кроме того, журналы следует собирать для дальнейшего анализа и передавать хостинг-провайдерам или CERT для поддержки реагирования на инциденты.

Усилия по обнаружению должны быть сосредоточены на мониторинге исходящих HTTP-запросов к идентифицированным доменам и путям TDS, в частности, на поиске коротких буквенно-цифровых шаблонов токенов, обычно связанных с использованием механизмов локального хранения. Крайне важно, чтобы организации проявляли бдительность в отношении указанных диапазонов IP-адресов и постоянного поведения одноразовых токенизированных запросов GET, чтобы эффективно снизить риски, связанные с такими угрозами.

#ParsedReport #CompletenessLow
28-01-2026

Exploitation of Magento CVE-2025-54236: Independent Intrusions Leading to Root Compromise and Web Shell Deployment

https://oasis-security.io/blog/260128-Magento-CVE

Report completeness: Low

Threats:
Sessionreaper_vuln

Victims:
Magento websites, Ecommerce platforms

Geo:
Japan, Canada, Finland

CVEs:
CVE-2025-54236 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe commerce (2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8)


ChatGPT TTPs:
do not use without manual check
T1003.008, T1036, T1068, T1071.001, T1078, T1105, T1190, T1505.003, T1556.004

IOCs:
IP: 2
File: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-54236, или SessionReaper, является критической уязвимостью в Magento, которая позволяет злоумышленникам обходить аутентификацию с помощью неправильно проверенных токенов сеанса, что приводит к компрометации системы. Кампании по эксплуатации были нацелены на более чем 1000 уязвимых API Magento, при этом было подтверждено, что 216 веб-сайтов взломаны и получен root-доступ. Злоумышленники использовали методы перехвата сеансов и загружали Веб-шеллы для поддержания контроля над системами, что указывает на множество независимых злоумышленников, использующих этот недостаток со злым умыслом.
-----

CVE-2025-54236, также известная как SessionReaper, представляет собой значительную уязвимость в Magento, которая позволяет злоумышленникам использовать неправильно признанные недействительными токены сеанса, что приводит к обходу аутентификации и потенциально полному компрометированию системы. Этот недостаток способствовал агрессивной кампании по эксплуатации, подчеркивая настоятельную необходимость для пользователей Magento обеспечить безопасность своей среды. Злоумышленники использовали эту уязвимость для атаки на более чем 1000 уязвимых API Magento Commerce, при этом 216 веб-сайтов были идентифицированы как полностью скомпрометированные, что предоставило злоумышленникам root-доступ.

Процесс эксплуатации включает в себя захват и повторное использование токенов сеанса, что позволяет перехватывать сеансы и получать несанкционированный доступ к учетным записям пользователей. Всестороннее расследование затронутых сайтов выявило в общей сложности 1460 API, подверженных риску использования. Последствия этой уязвимости очевидны, о чем свидетельствуют скомпрометированные файлы, собранные с систем-жертв, в которых отображаются списки учетных записей пользователей в стиле /etc/passwd, указывающие на полный захват системы.

Кроме того, данные из журналов подтвердили, что несколько Веб-шеллов были успешно загружены на веб-сайты жертв, особенно в таких регионах, как Канада и Япония. Эти журналы содержат подробные записи о взломанных веб-сайтах, включая пути доступа к установленным Веб-шеллам и параметры, определенные злоумышленниками для поддержания контроля над системами.

Инциденты указывают на то, что различные независимые злоумышленники участвуют в эксплуатации CVE-2025-54236. Хотя эти атаки кажутся несогласованными, в совокупности они подчеркивают активное злоупотребление этой уязвимостью для обхода аутентификации, полной компрометации системы и развертывания вредоносных Веб-шеллов для постоянного доступа. Сохраняющаяся опасность, исходящая от этой уязвимости, рекомендует тем, кто использует платформы Magento, немедленно осознать ее и предпринять усилия по устранению.

#ParsedReport #CompletenessMedium
02-02-2026

"Danger Bulletin": UAC-0001 (APT28) conducts cyberattacks against Ukraine and EU countries via CVE-2026-21509 (CERT-UA#19542) exploit

https://cert.gov.ua/article/6287250

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Com_hijacking_technique
Covenant_c2_tool

Victims:
Ukraine, European union countries

Geo:
Pol, Ukraine, Ukrainian

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


ChatGPT TTPs:
do not use without manual check
T1203

IOCs:
File: 11
Hash: 24
Url: 10
Domain: 3
IP: 12
Path: 2
Registry: 1
Command: 2

Soft:
Microsoft Office, Windows registry

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
26 января 2026 года Microsoft раскрыла уязвимость CVE-2026-21509, затрагивающую продукты Microsoft Office, которая используется хакерской группировкой APT28 (UAC-0001) для атак на Украину и страны ЕС. Это указывает на изменение тактики в сторону использования известных уязвимостей для кибершпионажа, что потенциально позволяет выполнять произвольный код в скомпрометированных системах. Атаки были стратегически спланированы на фоне геополитической напряженности в Восточной Европе.
-----

26 января 2026 года корпорация Майкрософт сообщила об уязвимости, идентифицированной как CVE-2026-21509, которая затрагивает продукты Microsoft Office. Этот недостаток безопасности активно использовался в кибератаках, нацеленных на Украину и страны Европейского союза, связанных с хакерской группировкой UAC-0001, также известной как APT28.

APT28 известна своей деятельностью в области кибершпионажа и имеет историю нацеливания на геополитических противников. Использование CVE-2026-21509 указывает на изменение их тактики, поскольку они используют известные уязвимости в широко используемом программном обеспечении для облегчения своих атак. Подробности, связанные с механизмами атаки, широко не раскрываются; однако основной вектор предполагает использование этой конкретной уязвимости в Microsoft Office, потенциально позволяющей злоумышленникам выполнять произвольный код в уязвимых системах.

Сроки и географическая направленность атак соответствуют сохраняющейся напряженности в Восточной Европе, что позволяет предположить, что эти кибероперации служат более широким стратегическим целям. Организациям, использующим продукты Microsoft Office, настоятельно рекомендуется уделять приоритетное внимание исправлению и снижению рисков, связанных с этой уязвимостью, для защиты от потенциальных нарушений, вызванных вредоносной деятельностью APT28.

#ParsedReport #CompletenessMedium
28-01-2026

Operation Bizarre Bazaar: First Attributed LLMjacking Campaign with Commercial Marketplace Monetization

https://www.pillar.security/resources/operation-bizarre-bazaar

Report completeness: Medium

Actors/Campaigns:
Bizarre_bazaar (motivation: financially_motivated, cyber_criminal)
Hecker (motivation: financially_motivated)

Threats:
Llmjacking_technique
Supply_chain_technique

Victims:
Ai infrastructure, Llm endpoints, Mcp endpoints

Industry:
Retail, E-commerce

Geo:
Netherlands

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1046, T1078, T1110, T1133, T1190, T1583, T1595

IOCs:
Domain: 4
IP: 10

Soft:
Ollama, Discord, Telegram, Slack

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Bizarre Bazaar - это первый приписываемый случай LLMjacking, когда злоумышленник "Hecker" использовал слабо аутентифицированную инфраструктуру искусственного интеллекта, что привело к 35 000 сеансам атаки в течение 40 дней. Были применены методы, отражающие криптоджекинг, что позволило создать Цепочку поставок через silver.inc и свидетельствовало о систематическом нацеливании в среднем на 972 атаки в день. Эта кампания выявляет критические риски, включая несанкционированное использование API и потенциальную компрометацию данных, выявляя текущие угрозы для открытых сервисов искусственного интеллекта.
-----

Операция Bizarre Bazaar знаменует собой значительный прогресс в области киберугроз, являясь первой приписываемой кампании LLMjacking, которая представляет собой несанкционированное использование инфраструктуры большой языковой модели. За этой операцией наблюдали в период с декабря 2025 по январь 2026 года с помощью приманки, созданной Pillar Security Research, которая имитировала незащищенную инфраструктуру искусственного интеллекта. Расследование выявило ошеломляющие 35 000 сеансов атак чуть более чем за 40 дней, что указывает на скоординированные усилия, а не просто на оппортунистические атаки. Кампания была в основном организована злоумышленником, идентифицированным как "Хекер", также известным под такими псевдонимами, как Sakuya и LiveGamer101.

Методы, использованные в этой операции, очень напоминали методы криптоджекинга, фокусируясь на использовании слабо аутентифицированных конечных точек искусственного интеллекта. Нацелившись на уязвимую инфраструктуру искусственного интеллекта, "Хекер" и связанные с ним акторы смогли создать комплексную Цепочку поставок LLMjacking, контролируя инфраструктуру silver.inc. Злоумышленники использовали систематические стратегии нацеливания, о чем свидетельствуют в среднем 972 атаки в день.

Риски, связанные с LLMjacking, выходят за рамки простого потребления вычислительных ресурсов с целью получения прибыли. Несанкционированное использование API может привести к компрометации конфиденциальных данных и интеллектуальной собственности, что подчеркивает настоятельную необходимость внедрения организациями важнейших мер безопасности. Непосредственные рекомендации включают включение аутентификации на всех конечных точках LLM, что позволяет снизить уязвимости, связанные с коммерческим использованием акторами, подобными тем, кто стоит за silver.inc.

Более того, исследование высветило необходимость защиты общедоступных конечных точек искусственного интеллекта, которым часто отдают предпочтение злоумышленники из-за их низких барьеров безопасности. Чтобы снизить риски, организациям следует рассмотреть возможность ограничения скорости, ограничений на использование и поведенческого мониторинга, чтобы снизить привлекательность своей инфраструктуры в качестве цели. Регулярное сканирование внешней поверхности атаки необходимо для обеспечения того, чтобы конфиденциальные службы не подвергались непреднамеренному воздействию.

Кроме того, была выявлена отдельная кампания по разведке, нацеленная на конечные точки Model Context Protocol (MCP), при этом 60% трафика атак было связано с этим отдельным злоумышленником. Эта текущая деятельность показывает, что инфраструктура silver.inc остается работоспособной, представляя собой сохраняющийся ландшафт угроз для уязвимых сервисов искусственного интеллекта.

#ParsedReport #CompletenessLow
27-01-2026

From XLoader to Phantom Stealer: A DHL-Themed multi-stage Infection Chain

https://medium.com/@mk7912/from-xloader-to-phantom-stealer-a-dhl-themed-multi-stage-infection-chain-5d552eee828d

Report completeness: Low

Threats:
Phantom_stealer
Formbook
Dll_sideloading_technique
Process_hollowing_technique

Victims:
General users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1055.012, T1204.002, T1566.001, T1574.002, T1620

IOCs:
File: 3
Hash: 5

Soft:
Discord, Telegram

Algorithms:
cbc, aes-256-cbc, aes, zip, pbkdf2, xor, aes-256

Functions:
main

Win API:
CreateProcessW, ZwUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory

Languages:
python, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно выявленная многоэтапная Вредоносная Кампания использует спам-письма на тему DHL для доставки Phantom Stealer версии 3.5.0. Атака начинается с ZIP-файла, содержащего вводящий в заблуждение исполняемый файл с именем DHL-INVOICE.exe , который имеет цифровую подпись, чтобы казаться законным. Второй этап вредоносного ПО использует XLoader для динамической загрузки полезной нагрузки в память, используя такие методы, как Внедрение в пустой процесс, и завершается развертыванием Phantom Stealer, сложного .NET-вредоносного ПО, основанного на .NET, способного красть учетные данные, осуществлять Регистрацию нажатием клавиш и облегчать эксфильтрацию данных.
-----

Недавно выявленная многоэтапная Вредоносная Кампания использует спам-рассылку на тему DHL в качестве первоначального источника заражения с целью доставки вредоносного ПО версии Phantom Stealer v3.5.0. Атака начинается с вводящего в заблуждение электронного письма со строкой темы "СЧЕТ DHL", в котором получателям предлагается открыть вложенный ZIP-файл, маскирующий вредоносный исполняемый файл под законный счет. В электронном письме отсутствуют конкретные данные, такие как номера отслеживания, что указывает на массовый спам.

После извлечения ZIP-файла в нем обнаруживается исполняемый файл с именем DHL-INVOICE.exe, к которому прилагаются необходимые библиотеки DLL во время выполнения. Примечательно, что DHL-INVOICE.exe имеет цифровую подпись Azul Systems, Inc., что придает ему ложную легитимность. Изначально появившийся как стандартный файл Java-утилиты, на самом деле его функциональность вредоносна. Названный в честь легального Java-архиватора, файл выполняет функции, обычно связанные с jli.dll. Однако эти функции, несмотря на их знакомые названия, вместо этого выполняют вредоносный код.

Второй этап предполагает использование jli.dll , который идентифицируется как XLoader. Этот компонент инициирует вредоносную логику с помощью таких методов, как MW_MainDispatcher, который облегчает поиск конфигурации и управляет загрузкой фактической полезной нагрузки. XLoader имеет запутанный поток управления, который включает в себя критически важные функции для проверки и загрузки переносимых исполняемых файлов (PE). Сначала он проверяет наличие действительных сигнатур DOS, гарантируя, что обрабатываемые файлы действительно являются исполняемыми, а затем проводит дальнейшие проверки для проверки двоичных форматов PE.

После подтверждения целостности PE-файла XLoader приступает к ручной загрузке полезной нагрузки в память, не прибегая к стандартным API-интерфейсам загрузчика Windows. Он использует такие процессы, как выделение памяти с определенными разрешениями и копирование данных заголовка и раздела из PE-файла в свою собственную выделенную память. Этот метод включает в себя такие методы, как Внедрение в пустой процесс, при котором вредоносная полезная нагрузка внедряется в законные .NET-процессы, чтобы запутать их активность.

Кульминацией третьего этапа является развертывание Phantom Stealer версии 3.5.0, которая проявляется как вредоносное ПО на базе .NET с возможностями кражи учетных данных из браузеров и электронной почты, мониторинга систем с помощью Регистрации нажатий клавиш и скриншотов, а также упрощения эксфильтрации данных по различным каналам, включая FTP и Telegram. Полезная нагрузка обладает механизмами антианализа и использует методы закрепления, что подчеркивает ее сложность и зрелость как вредоносного ПО.

Весь процесс демонстрирует, как безобидное на вид электронное письмо со счетом-фактурой может привести к заражению сложным вредоносным ПО, эффективно иллюстрируя опасность, которую представляют тактики социальной инженерии в киберугрозах.

#ParsedReport #CompletenessMedium
29-01-2026

Punishing Owl attacks Russia: a new owl in the hacktivist forest

https://habr.com/ru/companies/pt/articles/990374/

Report completeness: Medium

Actors/Campaigns:
Punishing_owl (motivation: hacktivism)

Threats:
Bec_technique
Zipwhisper

Victims:
Government agency, Security industry

Industry:
Government

Geo:
Brazilian, Russia, Kazakhstan, Russian, Brazil

ChatGPT TTPs:
do not use without manual check
T1027, T1204.001, T1204.002, T1566.001, T1566.002, T1583.001, T1583.006, T1584.002, T1585.001, T1585.002, have more...

IOCs:
Domain: 1
IP: 1
File: 1
Email: 1
Hash: 18

Algorithms:
zip, sha256, md5, sha1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
12 декабря 2025 года хакерская группа Punishing Owl нацелена на российское государственное агентство безопасности, осуществив утечку внутренних документов через сайт утечки данных и Mega.nz хранилище. Впоследствии они осуществили атаки с компрометацией деловой электронной почты (BEC), используя скомпрометированные Адреса эл. почты, чтобы выдать себя за учреждение, отправляя вредоносные электронные письма с защищенным паролем ZIP-архивом, в котором скрывался файл LNK, замаскированный под PDF. Деятельность группы указывает на политически мотивированный хактивистский характер, потенциально связанный с Казахстаном, на фоне растущей геополитической напряженности.
-----

12 декабря 2025 года хакерская группа, известная как Punishing Owl, осуществила атаку на российское правительственное учреждение, связанное с сектором безопасности. Они раскрыли свои действия в сообщении, которое содержало ссылки на сайт утечки данных (DLS), содержащий внутренние документы скомпрометированного агентства, а также Mega.nz хранилище, в котором хранятся те же файлы. Эта операция знаменует появление Punishing Owl как политически мотивированной хактивистской организации, нацеленной на российские учреждения.

Сообщается, что после первоначального взлома Punishing Owl запустила атаки на компрометацию деловой электронной почты (BEC), нацеленные на деловых партнеров жертвы. Группа использовала скомпрометированные Адреса эл. почты для информирования этих контрагентов о взломе и утверждала, что были затронуты как сеть учреждения, так и данные его клиентов. Электронные письма направляли получателей на домен с измененными записями DNS, которые перенаправлялись на DLS. Примечательно, что эти сообщения были отправлены с бразильского сервера, и отправитель выдавал себя за учреждение-жертву, используя Адрес эл. почты, полученный из скомпрометированного домена.

Вредоносные электронные письма содержали защищенный паролем ZIP-архив, в котором скрывался файл LNK, который был замаскирован под документ PDF с двойным расширением, что позволило использовать тактику социальной инженерии для обмана получателей. Этот метод отражает распространенный прием, используемый в кибератаках, когда типы файлов изменяются, чтобы скрыть вредоносный контент.

Онлайн-активность группы предполагает, что ее операциями могут управлять из Казахстана, как следует из внутренних алгоритмов социальной сети, привязанной к их аккаунту. Это наблюдение связано с более широким геополитическим контекстом, где ожидается, что растущая политическая напряженность приведет к появлению новых группировок хактивистов как в российском, так и в глобальном киберпространстве. Деятельность Punishing Owl может представлять собой заметный сдвиг в мотивах и методах, используемых появляющимися хакерскими группировками в условиях продолжающегося международного конфликта.