{ "id": "a0bbe7e6-f344-4f62-a64a-b53cb3f0c97b", "created_at": "2026-04-06T00:22:28.636252Z", "updated_at": "2026-04-10T03:36:22.01709Z", "deleted_at": null, "sha1_hash": "1c8e61b3f0589bbbbbc85b0e94bbfe4c9ddbe11f", "title": "APT攻撃者グループ menuPass(APT10) による新たな攻撃を確認 | LAC WATCH", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1072628, "plain_text": "APT攻撃者グループ menuPass(APT10) による新たな攻撃を確認\r\n| LAC WATCH\r\nBy 石川 芳浩\r\nPublished: 2018-05-21 · Archived: 2026-04-05 15:09:48 UTC\r\n当社脅威分析チームでは、日本を標的とする様々な攻撃者グループを日々調査しています。その中\r\nで、2018年4月下旬頃からmenuPass(APT10) ※1 が、多機能なペネトレーションテストツール Cobalt\r\nStrike *1 を悪用した攻撃を行っていることが複数確認できました。Cobalt Strikeは、APT19 *2 、\r\nOceanLotus *3 、 PassCV(Winnti) *4 などの攻撃者グループやサイバー犯罪 *5 でも悪用されていることが\r\n報告されており、珍しい攻撃手法ではありませんが、menuPassが悪用するのは初めてのケースです。\r\n※1menuPassは、攻撃者グループ(キャンペーン名)であり、2011年頃から主に日本の大学組織\r\nや政府関係などを標的としている。\r\nmenuPassは、2018年3月末にトレンドマイクロ社のブログ *6 でも報告されたように、日々新しい攻撃手\r\n法や攻撃ツールを悪用して日本の組織などを攻撃してきています。menuPassの攻撃ツールに着目する\r\nと、独自に開発したマルウェア(ChChes、ANEL など)の使用も確認できますが、表1のようにオープ\r\nンソースまたは商用のペネトレーションテストツールを悪用した攻撃が特に目につきます。その理由\r\nとして考えられるのは、オープンソースまたは商用のペネトレーションツールを使用することによっ\r\nて攻撃を容易にすること、あるいは攻撃の匿名化によって背後にいる組織の正体を不明瞭にすること\r\nです。\r\n表1 menuPass(APT10)が悪用する攻撃ツール例\r\n以下では、menuPassによるCobalt Strikeを悪用した2つの標的型メール攻撃の調査結果を報告します。\r\n1.実行形式の暗号化ファイルの悪用\r\n2018年4月下旬頃、複数の日本の組織に対して、実行形式の暗号化ファイルが添付された標的型メール\r\nが送信されました。図1は、この標的型メールから始まる一連の攻撃の流れを示した概要図です。\r\nhttps://www.lac.co.jp/lacwatch/people/20180521_001638.html\r\nPage 1 of 13\n\n図1 実行形式の暗号化ファイルを悪用した攻撃の概要図\r\n初めに、標的型メールに添付された実行形式の暗号化ファイルを実行すると、\".doc.scr\"という二重拡張\r\n子の不正なファイルが展開されます(①)。展開された不正なファイルを実行すると、図1の赤枠線に\r\nある3つのファイル(\"peisnce.exe\"、 \"vntfxf32.dll\"、 \"jeosa.ows\")が作成され、\"peisnce.exe\"が実行され\r\nます(②)。その際、ユーザをだますようにデコイファイルも同時に表示されます。\r\n作成された3つのファイルは、図2に示すように、二重拡張子の不正なファイル内の.dataセクションに含\r\nまれる暗号化された3つのデータ(unk_57A648、unk_595510、unk_5B2D10)に対して、赤線で囲った\r\n長さ分XOR演算(暗号鍵:0x36)し、データを復号することで作成されます。\r\nhttps://www.lac.co.jp/lacwatch/people/20180521_001638.html\r\nPage 2 of 13\n\n図2 .dataセクションに含まれる暗号化された3つのデータ\r\n作成されたファイルの1つ\"peisnce.exe\"は、まず同じディレクトリに展開されたローダー\"vntfxf32.dll\"フ\r\nァイルを読み込みます。次に、読み込まれたdllファイルは、暗号化されたシェルコード\"jeosa.ows\"ファ\r\nイルを読み込みます。\"jeosa.ows\"ファイルはAESで暗号化されており、dllファイルによって復号後、シ\r\nェルコードとしてメモリ上で実行され、\"Cobalt Strike Beacon\"(DLLファイル)をダウンロードします\r\n(③)。\r\n図3は、\"vntfxf32.dll\"ファイル内に含まれる文字列であり、AESの暗号鍵(gfjkdnropqhsjfjb)や暗号化さ\r\nれたシェルコード\"jeosa.ows\"ファイルの文字列がハードコードされていることが確認できます。また、\r\nAESの暗号鍵\"gfjkdnropqhsjfjb\"には、menuPass が使用する特徴的なマルウェアRedLeavesの亜種\r\nHimawariのインストーラでも同じ鍵が使われていました。なお、図4は、復号後の\"jeosa.ows\"ファイル\r\nであり、\"Cobalt Strike Beacon\"をダウンロードするシェルコードであり、C2サーバのIPアドレスや通信\r\nを行う際のUserAgent情報などが可読性のある文字列として埋め込まれていることが確認できます。\r\nhttps://www.lac.co.jp/lacwatch/people/20180521_001638.html\r\nPage 3 of 13\n\n図3 \"vntfxf32.dll\"ファイル内に含まれる文字列\r\n図4 \"Cobalt Strike Beacon\"をダウンロードするシェルコード\r\nこのシェルコードは、図5に示すリクエストを介して、\"Cobalt Strike Beacon\"をダウンロードし、メモリ\r\n上で実行します(④)。ダウンロードされたファイルには、図6に示すような名前のDLLファイル\r\n(beacon.dll)や図7の赤枠線のような特徴的な文字列が含まれており、\"Cobalt Strike Beacon\"であるこ\r\nとがわかります。\r\nhttps://www.lac.co.jp/lacwatch/people/20180521_001638.html\r\nPage 4 of 13\n\n図5 \"Cobalt Strike Beacon\"をダウンロードするリクエスト\r\n図6 ダウンロードファイル(rF5o)内でエクスポートされるDLLファイル(beacon.dll)\r\n図7 ダウンロードファイル内に含まれる特徴的な文字列\r\n最後に、\"Cobalt Strike\" が悪用されるC2サーバに目を向けてみます。今回の攻撃で悪用されたC2サーバ\r\nは、図8に示すように、ルーマニアでVPSサービスを提供するHETNiX(AS3280)が管理するIPアドレ\r\nスにありました。\r\nhttps://www.lac.co.jp/lacwatch/people/20180521_001638.html\r\nPage 5 of 13\n\n図8 C2サーバのIPアドレス(DomainToolsの検索結果より引用 *7 )\r\nC2サーバでは、図9(上画像)に示すように、マルウェアの通信などにSSLを使用するために自己署名\r\nのサーバ証明書が利用されていました。図9の赤枠線を確認すると、\"発行者が不明であるため、この証\r\n明書の有効性を検証できませんでした\"というエラー警告と共に、CNやOUに \"wikipedia\"が指定されて\r\nいることに気がつきます。\r\n図9(下画像)は、正規の\"wikipedia.org\"が提供するSSLサーバ証明書を確認したものです。青枠線を確\r\n認すると、DigiCertが発行した正規の証明書であることが確認できます。\r\nhttps://www.lac.co.jp/lacwatch/people/20180521_001638.html\r\nPage 6 of 13\n\n図9 SSLサーバ証明書の比較(上:C2サーバ/下:\"wikipedia.org\")\r\n攻撃者がC2サーバで利用した自己署名証明書において、CNやOUに\"wikipedia\"を指定した理由は定かで\r\nはありませんが、\"Cobalt Strike Beacon\"のHTTPリクエストからは、通常通信と誤認させようとする攻撃\r\n者の意図が見え隠れします。図10は、\"Cobalt Strike Beacon\"のリクエスト例であり、赤枠線で囲った\r\nHostヘッダに、\"en.wikipedia.org\"が指定されていることに気が付きます。C2サーバは、\"wikipedia.org\"と\r\nは無関係の\"95.128.168[.]227\"であり、Hostヘッダは攻撃者によって偽装されていることがわかります。\r\nこのような通信が発生した場合、セキュリティ機器によっては、C2サーバへの通信が\"wikipedia.org\"へ\r\nアクセスしているように記録されてしまう可能性があるため、通常通信と誤認しないように注意が必\r\n要です。なお、C2サーバへの命令は、青線のsearchパラメータ部分であり、初期通信として、ユーザ\r\n名、ホスト名、IPアドレス、OS情報、インジェクションしたプロセスIDなどの情報を送信していま\r\nす。\r\n図10 \"Cobalt Strike Beacon\"のリクエスト例\r\n2.マクロを悪用する文章ファイル\r\nhttps://www.lac.co.jp/lacwatch/people/20180521_001638.html\r\nPage 7 of 13\n\n2018年5月上旬頃、複数の日本の組織に対して、マクロを悪用する文章ファイルが暗号化zipとして添付\r\nされた標的型メールが送信されました。図11は、この標的型メールから始まる一連の攻撃の流れを示\r\nした概要図です。\r\n図11 マクロを悪用する文章ファイルによる攻撃の概要図\r\n初めに、標的型メールに添付された文章ファイル内のマクロを実行すると、PowerShellを介して図12に\r\n示すスクリプトが実行され(①)、赤枠線のC2サーバから次のダウンローダであるVBScriptをダウン\r\nロードし、\"Computer.vbs\"としてスタートアップフォルダに保存されます(②)。\r\nhttps://www.lac.co.jp/lacwatch/people/20180521_001638.html\r\nPage 8 of 13\n\n図12 マクロに含まれるPoweShellスクリプト例\r\n図13は、\"Computer.vbs\"の内容の一部を抜粋したものであり、ここでもPowerShellスクリプトを実行し\r\nていることが確認できます。赤矢印で示す内容は、オプション\"-enc\"以降のPowerShellスクリプトを復\r\n号したものです。復号されたスクリプトは、さらに一部のデータがBase64とgzipで難読化されており、\r\n図14は、そのデータを復号したものです。このスクリプトは、Don't Kill My Cat(DKMC) *8 と呼ばれ\r\nるオープンソースのツールを使用して作成されており、赤枠線で示すようにC2サーバから次のファイ\r\nル(cat.bmp)をダウンロード後、メモリ上に展開し実行します(③)。\r\n図13 Computer.vbsに含まれるスクリプト例\r\nhttps://www.lac.co.jp/lacwatch/people/20180521_001638.html\r\nPage 9 of 13\n\n図14 復号したスクリプトの一部抜粋(DKMC)\r\nダウンロードした\"cat.bmp\"は、図15に示すように、ビットマップファイルを表すマジックナンバー\r\n(0x4d42)を持ち、画像ファイルとして閲覧することができますが、図16に示すように、このファイ\r\nルの正体はシェルコードであり、メモリ上で実行され、最終的には1.の事例と同様に\"Cobalt Strike\r\nBeacon\" をダウンロードします(④)。\r\nビットマップファイルヘッダ(BITMAPFILEHEADER)の構造 *9 では、オフセット0-1の2バイトが\r\nbfType(BMという文字列)、2-5の4バイトがbfSizeでビットマップファイルのサイズ、その後に続く\r\nbfReserved1とbfReserved2はそれぞれ2バイトの予約領域でゼロを保存する仕様です。図15のビットマッ\r\nプファイルでは、青枠線で示すように本来ファイルサイズと予約領域である範囲を利用\r\nhttps://www.lac.co.jp/lacwatch/people/20180521_001638.html\r\nPage 10 of 13\n\nし、\"e97cc40300\"という値を指定することで、アドレス\"0x3c483\"※2へジャンプするコードを埋め込ん\r\nで利用しています。\r\n※2\"e97cc40300\"は、アセンブラでは、オペコード:e9(JMP命令)、オペランド:7cc40300\r\n(0x3c47c)と解釈でき、オフセットアドレス(0x7)と合わせ、ジャンプアドレスは、図16の赤\r\n枠線で示すように\"0x3c483\"となる。\r\n図15 \"cat.bmp\"のバイナリデータ\r\nhttps://www.lac.co.jp/lacwatch/people/20180521_001638.html\r\nPage 11 of 13\n\n図16 \"cat.bmp\"のシェルコード確認\r\nmenuPassは、日本を標的の1つとして絶えず攻撃を仕掛けてきており、今後も新しい攻撃手法や攻撃ツ\r\nールを変化させ、継続的に攻撃をしかけてくることが考えられます。このような状況の中で、当社は\r\n今後もこの攻撃者グループについて継続的に調査し、広く情報を提供していきたいと考えていますの\r\nで、その情報をご活用いただければ幸いです。なお、本資料においては、文書の体裁上、製品名への\r\n商標登録表示、その他の商標表示を省略している場合があります。\r\nIOC (Indicator Of Compromised)【2018.06.14 更新】\r\nハッシュ値\r\n9a0b957f164508830342310c44d56e49\r\nee794b3595285f2de4a618dead0287ed\r\n246cb77ecfd0a8e62b68c76be5a6ce5c\r\n56cbbea8535c0e8ae967fcdec17db491\r\n64711fadf0deff67428153cd9a741eb5\r\nd108c5cf5aefafc55348dad0748c3d86\r\n通信先\r\n95[.]128[.]168[.]227\r\nwww[.]jadl-or[.]com\r\n91[.]235[.]129[.]180\r\n193[.]70[.]125[.]186\r\n*1Adversary Simulation and Red Team Operations Software - Cobalt Strike\r\nhttps://www.lac.co.jp/lacwatch/people/20180521_001638.html\r\nPage 12 of 13\n\n*2Privileges and Credentials: Phished at the Request of Counsel « Privileges and Credentials: Phished at\r\nthe Request of Counsel | FireEye Inc(https://www.fireeye.com/blog/threat-research/2017/06/phished-at-the-request-of-counsel.html)\r\n*3Operation Cobalt Kitty: A large-scale APT in Asia carried out by the OceanLotus Group\r\n*4Open Source as fuel of recent APT\r\n*5Cobalt Strikes Again: Spam Runs Use Macros and CVE-2017-8759 Exploit Against Russian Banks -\r\nTrendLabs Security Intelligence Blog\r\n*6ChessMaster Adds Updated Tools to Its Arsenal - TrendLabs Security Intelligence Blog\r\n*795.128.168.227/ariteade.eu IP Address Whois | DomainTools.com\r\n*8GitHub - Mr-Un1k0d3r/DKMC: DKMC - Dont kill my cat - Malicious payload evasion tool\r\n*9BITMAPFILEHEADER structure (Windows)\r\nメールマガジン\r\nサイバーセキュリティや\r\nラックに関する情報を\r\nお届けします。\r\nSource: https://www.lac.co.jp/lacwatch/people/20180521_001638.html\r\nhttps://www.lac.co.jp/lacwatch/people/20180521_001638.html\r\nPage 13 of 13", "extraction_quality": 1, "language": "JA", "sources": [ "ETDA", "Malpedia" ], "references": [ "https://www.lac.co.jp/lacwatch/people/20180521_001638.html" ], "report_names": [ "20180521_001638.html" ], "threat_actors": [ { "id": "1f3cf3d1-4764-4158-a216-dd6352e671bb", "created_at": "2022-10-25T15:50:23.837615Z", "updated_at": "2026-04-10T02:00:05.322197Z", "deleted_at": null, "main_name": "APT19", "aliases": [ "APT19", "Codoso", "C0d0so0", "Codoso Team", "Sunshop Group" ], "source_name": "MITRE:APT19", "tools": [ "Cobalt Strike" ], "source_id": "MITRE", "reports": null }, { "id": "ec14074c-8517-40e1-b4d7-3897f1254487", "created_at": "2023-01-06T13:46:38.300905Z", "updated_at": "2026-04-10T02:00:02.918468Z", "deleted_at": null, "main_name": "APT10", "aliases": [ "Red Apollo", "HOGFISH", "BRONZE RIVERSIDE", "G0045", "TA429", "Purple Typhoon", "STONE PANDA", "Menupass Team", "happyyongzi", "CVNX", "Cloud Hopper", "ATK41", "Granite Taurus", "POTASSIUM" ], "source_name": "MISPGALAXY:APT10", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "af509bbb-8d18-4903-a9bd-9e94099c6b30", "created_at": "2023-01-06T13:46:38.585525Z", "updated_at": "2026-04-10T02:00:03.030833Z", "deleted_at": null, "main_name": "APT32", "aliases": [ "OceanLotus", "ATK17", "G0050", "APT-C-00", "APT-32", "Canvas Cyclone", "SeaLotus", "Ocean Buffalo", "OceanLotus Group", "Cobalt Kitty", "Sea Lotus", "APT 32", "POND LOACH", "TIN WOODLAWN", "Ocean Lotus" ], "source_name": "MISPGALAXY:APT32", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "610a7295-3139-4f34-8cec-b3da40add480", "created_at": "2023-01-06T13:46:38.608142Z", "updated_at": "2026-04-10T02:00:03.03764Z", "deleted_at": null, "main_name": "Cobalt", "aliases": [ "Cobalt Group", "Cobalt Gang", "GOLD KINGSWOOD", "COBALT SPIDER", "G0080", "Mule Libra" ], "source_name": "MISPGALAXY:Cobalt", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "870f6f62-84f5-48ca-a18e-cf2902cd6924", "created_at": "2022-10-25T15:50:23.303818Z", "updated_at": "2026-04-10T02:00:05.301184Z", "deleted_at": null, "main_name": "APT32", "aliases": [ "APT32", "SeaLotus", "OceanLotus", "APT-C-00", "Canvas Cyclone" ], "source_name": "MITRE:APT32", "tools": [ "Mimikatz", "ipconfig", "Kerrdown", "Cobalt Strike", "SOUNDBITE", "OSX_OCEANLOTUS.D", "KOMPROGO", "netsh", "RotaJakiro", "PHOREAL", "Arp", "Denis", "Goopy" ], "source_id": "MITRE", "reports": null }, { "id": "27b56f48-7905-4da8-8d87-cea10adb1c6b", "created_at": "2022-10-25T16:07:24.044105Z", "updated_at": "2026-04-10T02:00:04.848898Z", "deleted_at": null, "main_name": "PassCV", "aliases": [], "source_name": "ETDA:PassCV", "tools": [ "Agentemis", "AngryRebel", "BleDoor", "Cobalt Strike", "CobaltStrike", "Excalibur", "Farfli", "Gh0st RAT", "Ghost RAT", "Kitkiot", "Moudour", "Mydoor", "NetWeird", "NetWire", "NetWire RAT", "NetWire RC", "NetWired RC", "PCRat", "RbDoor", "Recam", "RibDoor", "Sabresac", "Sensocode", "Winnti", "ZXShell", "cobeacon" ], "source_id": "ETDA", "reports": null }, { "id": "ba9fa308-a29a-4928-9c06-73aafec7624c", "created_at": "2024-05-01T02:03:07.981061Z", "updated_at": "2026-04-10T02:00:03.750803Z", "deleted_at": null, "main_name": "BRONZE RIVERSIDE", "aliases": [ "APT10 ", "CTG-5938 ", "CVNX ", "Hogfish ", "MenuPass ", "MirrorFace ", "POTASSIUM ", "Purple Typhoon ", "Red Apollo ", "Stone Panda " ], "source_name": "Secureworks:BRONZE RIVERSIDE", "tools": [ "ANEL", "AsyncRAT", "ChChes", "Cobalt Strike", "HiddenFace", "LODEINFO", "PlugX", "PoisonIvy", "QuasarRAT", "QuasarRAT Loader", "RedLeaves" ], "source_id": "Secureworks", "reports": null }, { "id": "4d5f939b-aea9-4a0e-8bff-003079a261ea", "created_at": "2023-01-06T13:46:39.04841Z", "updated_at": "2026-04-10T02:00:03.196806Z", "deleted_at": null, "main_name": "APT41", "aliases": [ "WICKED PANDA", "BRONZE EXPORT", "Brass Typhoon", "TG-2633", "Leopard Typhoon", "G0096", "Grayfly", "BARIUM", "BRONZE ATLAS", "Red Kelpie", "G0044", "Earth Baku", "TA415", "WICKED SPIDER", "HOODOO", "Winnti", "Double Dragon" ], "source_name": "MISPGALAXY:APT41", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "46a151bd-e4c2-46f9-aee9-ee6942b01098", "created_at": "2023-01-06T13:46:38.288168Z", "updated_at": "2026-04-10T02:00:02.911919Z", "deleted_at": null, "main_name": "APT19", "aliases": [ "DEEP PANDA", "Codoso", "KungFu Kittens", "Group 13", "G0009", "G0073", "Checkered Typhoon", "Black Vine", "TEMP.Avengers", "PinkPanther", "Shell Crew", "BRONZE FIRESTONE", "Sunshop Group" ], "source_name": "MISPGALAXY:APT19", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "2a24d664-6a72-4b4c-9f54-1553b64c453c", "created_at": "2025-08-07T02:03:24.553048Z", "updated_at": "2026-04-10T02:00:03.787296Z", "deleted_at": null, "main_name": "BRONZE ATLAS", "aliases": [ "APT41 ", "BARIUM ", "Blackfly ", "Brass Typhoon", "CTG-2633", "Earth Baku ", "GREF", "Group 72 ", "Red Kelpie ", "TA415 ", "TG-2633 ", "Wicked Panda ", "Winnti" ], "source_name": "Secureworks:BRONZE ATLAS", "tools": [ "Acehash", "CCleaner v5.33 backdoor", "ChinaChopper", "Cobalt Strike", "DUSTPAN", "Dicey MSDN", "Dodgebox", "ForkPlayground", "HUC Proxy Malware (Htran)" ], "source_id": "Secureworks", "reports": null }, { "id": "04b07437-41bb-4126-bcbb-def16f19d7c6", "created_at": "2022-10-25T16:07:24.232628Z", "updated_at": "2026-04-10T02:00:04.906097Z", "deleted_at": null, "main_name": "Stone Panda", "aliases": [ "APT 10", "ATK 41", "Bronze Riverside", "CTG-5938", "CVNX", "Cuckoo Spear", "Earth Kasha", "G0045", "G0093", "Granite Taurus", "Happyyongzi", "Hogfish", "ITG01", "Operation A41APT", "Operation Cache Panda", "Operation ChessMaster", "Operation Cloud Hopper", "Operation Cuckoo Spear", "Operation New Battle", "Operation Soft Cell", "Operation TradeSecret", "Potassium", "Purple Typhoon", "Red Apollo", "Stone Panda", "TA429", "menuPass", "menuPass Team" ], "source_name": "ETDA:Stone Panda", "tools": [ "Agent.dhwf", "Agentemis", "Anel", "AngryRebel", "BKDR_EVILOGE", "BKDR_HGDER", "BKDR_NVICM", "BUGJUICE", "CHINACHOPPER", "ChChes", "China Chopper", "Chymine", "CinaRAT", "Cobalt Strike", "CobaltStrike", "DARKTOWN", "DESLoader", "DILLJUICE", "DILLWEED", "Darkmoon", "DelfsCake", "Derusbi", "Destroy RAT", "DestroyRAT", "Ecipekac", "Emdivi", "EvilGrab", "EvilGrab RAT", "FYAnti", "Farfli", "Gen:Trojan.Heur.PT", "Gh0st RAT", "Ghost RAT", "GreetCake", "HAYMAKER", "HEAVYHAND", "HEAVYPOT", "HTran", "HUC Packet Transmit Tool", "Ham Backdoor", "HiddenFace", "Impacket", "Invoke the Hash", "KABOB", "Kaba", "Korplug", "LODEINFO", "LOLBAS", "LOLBins", "Living off the Land", "MiS-Type", "Mimikatz", "Moudour", "Mydoor", "NBTscan", "NOOPDOOR", "Newsripper", "P8RAT", "PCRat", "PlugX", "Poison Ivy", "Poldat", "PowerSploit", "PowerView", "PsExec", "PsList", "Quarks PwDump", "Quasar RAT", "QuasarRAT", "RedDelta", "RedLeaves", "Rubeus", "SNUGRIDE", "SPIVY", "SharpSploit", "SigLoader", "SinoChopper", "SodaMaster", "Sogu", "TIGERPLUG", "TVT", "Thoper", "Trochilus RAT", "UpperCut", "Vidgrab", "WinRAR", "WmiExec", "Wmonder", "Xamtrav", "Yggdrasil", "Zlib", "certutil", "certutil.exe", "cobeacon", "dfls", "lena", "nbtscan", "pivy", "poisonivy", "pwdump" ], "source_id": "ETDA", "reports": null }, { "id": "dda68b4f-a74a-42a0-b883-69c1dc1229a8", "created_at": "2023-01-06T13:46:38.528227Z", "updated_at": "2026-04-10T02:00:03.013713Z", "deleted_at": null, "main_name": "PassCV", "aliases": [], "source_name": "MISPGALAXY:PassCV", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "f2ce5b52-a220-4b94-ab66-4b81f3fed05d", "created_at": "2025-08-07T02:03:24.595597Z", "updated_at": "2026-04-10T02:00:03.740023Z", "deleted_at": null, "main_name": "BRONZE FIRESTONE", "aliases": [ "APT19 ", "C0d0s0", "Checkered Typhoon ", "Chlorine ", "Deep Panda ", "Pupa ", "TG-3551 " ], "source_name": "Secureworks:BRONZE FIRESTONE", "tools": [ "9002", "Alice's Rabbit Hole", "Cobalt Strike", "Derusbi", "PlugX", "PoisonIvy", "PowerShell Empire", "Trojan Briba", "Zuguo" ], "source_id": "Secureworks", "reports": null }, { "id": "ba3fff0c-3ba0-4855-9eeb-1af9ee18136a", "created_at": "2022-10-25T15:50:23.298889Z", "updated_at": "2026-04-10T02:00:05.316886Z", "deleted_at": null, "main_name": "menuPass", "aliases": [ "menuPass", "POTASSIUM", "Stone Panda", "APT10", "Red Apollo", "CVNX", "HOGFISH", "BRONZE RIVERSIDE" ], "source_name": "MITRE:menuPass", "tools": [ "certutil", "FYAnti", "UPPERCUT", "SNUGRIDE", "P8RAT", "RedLeaves", "SodaMaster", "pwdump", "Mimikatz", "PlugX", "PowerSploit", "ChChes", "cmd", "QuasarRAT", "AdFind", "Cobalt Strike", "PoisonIvy", "EvilGrab", "esentutl", "Impacket", "Ecipekac", "PsExec", "HUI Loader" ], "source_id": "MITRE", "reports": null }, { "id": "5da6b5fd-1955-412a-81aa-069fb50b6e31", "created_at": "2025-08-07T02:03:25.116085Z", "updated_at": "2026-04-10T02:00:03.668978Z", "deleted_at": null, "main_name": "TIN WOODLAWN", "aliases": [ "APT32 ", "Cobalt Kitty", "OceanLotus", "WOODLAWN " ], "source_name": "Secureworks:TIN WOODLAWN", "tools": [ "Cobalt Strike", "Denis", "Goopy", "JEShell", "KerrDown", "Mimikatz", "Ratsnif", "Remy", "Rizzo", "RolandRAT" ], "source_id": "Secureworks", "reports": null }, { "id": "2439ad53-39cc-4fff-8fdf-4028d65803c0", "created_at": "2022-10-25T16:07:23.353204Z", "updated_at": "2026-04-10T02:00:04.55407Z", "deleted_at": null, "main_name": "APT 32", "aliases": [ "APT 32", "APT-C-00", "APT-LY-100", "ATK 17", "G0050", "Lotus Bane", "Ocean Buffalo", "OceanLotus", "Operation Cobalt Kitty", "Operation PhantomLance", "Pond Loach", "SeaLotus", "SectorF01", "Tin Woodlawn" ], "source_name": "ETDA:APT 32", "tools": [ "Agentemis", "Android.Backdoor.736.origin", "AtNow", "Backdoor.MacOS.OCEANLOTUS.F", "BadCake", "CACTUSTORCH", "CamCapture Plugin", "CinaRAT", "Cobalt Strike", "CobaltStrike", "Cuegoe", "DKMC", "Denis", "Goopy", "HiddenLotus", "KOMPROGO", "KerrDown", "METALJACK", "MSFvenom", "Mimikatz", "Nishang", "OSX_OCEANLOTUS.D", "OceanLotus", "PHOREAL", "PWNDROID1", "PhantomLance", "PowerSploit", "Quasar RAT", "QuasarRAT", "RatSnif", "Remy", "Remy RAT", "Rizzo", "Roland", "Roland RAT", "SOUNDBITE", "Salgorea", "Splinter RAT", "Terracotta VPN", "Yggdrasil", "cobeacon", "denesRAT", "fingerprintjs2" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434948, "ts_updated_at": 1775792182, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/1c8e61b3f0589bbbbbc85b0e94bbfe4c9ddbe11f.pdf", "text": "https://archive.orkl.eu/1c8e61b3f0589bbbbbc85b0e94bbfe4c9ddbe11f.txt", "img": "https://archive.orkl.eu/1c8e61b3f0589bbbbbc85b0e94bbfe4c9ddbe11f.jpg" } }