{
	"id": "f2a86cbd-ab6f-4bff-be45-e418d4cee124",
	"created_at": "2026-04-06T00:07:35.98916Z",
	"updated_at": "2026-04-10T03:33:36.914317Z",
	"deleted_at": null,
	"sha1_hash": "2d8689276cb6d2c62c3d8a0508dded33378782ce",
	"title": "новый модульный бэкдор в госсекторе — Анализ Solar 4RAYS",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2129300,
	"plain_text": "новый модульный бэкдор в госсекторе — Анализ Solar 4RAYS\r\nBy Pandora Hive Mind\r\nPublished: 2001-02-01 · Archived: 2026-04-05 21:11:16 UTC\r\nУязвимый Exchange нередко становится лакомым кусочком для атакующих. Пока уязвимость не будет\r\nустранена, все больше и больше злоумышленников будут пытаться атаковать его. На одном из таких\r\nсерверов среди целого зоопарка известного ВПО нам удалось найти новый модульный бэкдор\r\nShadowRelay. Он позволяет загружать разные по функциональности плагины. А его устройство говорит о\r\nвысокой подготовке атакующих.\r\nОбзор инцидента\r\nВесной 2025 года мы выявили, что инфраструктура одной из организаций госсектора с высокой\r\nвероятностью была скомпрометирована азиатской группировкой Erudite Mogwai (aka Space Pirates). После\r\nчего связались с отделом информационной безопасности этой компании и предложили помощь в\r\nрасследовании.\r\nВ результате исследования было обнаружено несколько зараженных систем пользователей, где мы среди\r\nпрочего нашли вредоносное ПО Shadowpad Light (aka Deed RAT), а источником их заражения оказался\r\nпочтовый сервер Exchange, который оказался скомпрометированным еще летом 2024 года с помощью\r\nэксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Да,\r\nданная уязвимость из 2021-го все еще является актуальной.\r\nНо как этот уязвимый почтовый сервер оставался незамеченным так долго? Все просто, ведь его\r\nустановили и опубликовали тем же летом 2024 года, и уже спустя несколько недель сервер был обнаружен\r\nсразу множеством хакерских группировок. Так при исследовании системы были обнаружены различные\r\nфайлы вредоносного ПО:\r\nОригинальный ShadowPad (азиатские группы)\r\nShadowpad Light (Erudite Mogwai)\r\nDonnect (Obstinate Mogwai)\r\nMythic Agent (GOFFEE)\r\nТакже кроме инструментов данных групп мы обнаружили и индикаторы компрометации, и тактики,\r\nкоторые соответствовали профилям атакующих.\r\nПомимо уже известных инструментов атакующих, при исследовании системы мы нашли новый образец\r\nмодульного вредоносного ПО, который был размещен в системе в период предполагаемой активности\r\nObstinate Mogwai. Это вредоносное ПО позволяет атакующим скрытно подгружать плагины, которые\r\nреализуют необходимую в конкретной атаке функциональность. Также бэкдор может поддерживать связь с\r\nдругими имплантами, которые, например, не имеют подключения к интернету. Сам бэкдор не содержит\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 1 of 16\n\nполезной нагрузки для шпионажа или удаленного управления, но позволяет ее загрузить. Нам еще не\r\nудалось найти плагины для данного ВПО, поэтому сценарий атакующих и их цели не ясны до конца.\r\nТехническое описание\r\nЗапуск\r\nПри запуске вредонос пытается установить себя в качестве сервиса. Если это не выходит, все равно\r\nзапускает функцию main_routine.\r\nФункция main с подготовкой запуска и проверками\r\nБэкдор также пытается обнаружить дебаггеры и песочницу. Он имеет простейшие проверки обратной\r\nразработки. Вредоносная нагрузка запускается, только если в параметрах передается специальное\r\nзначение из конфига. В случае провала проверок запускается функция самоликвидации.\r\nФункция с антидебаг-проверкой\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 2 of 16\n\nДля самоудаления у бэкдора имеется специальная функция suicide, которая удаляет закрепления и файлы.\r\nДля удаления файлов создается bat-файл, который через некоторое время удаляет нужный файл.\r\nФункция suicide\r\nСодержимое bat-файла\r\nКонфигурация\r\nВ конфигурации определяются параметры сетевого соединения. Задается рабочий режим «клиент/сервер»,\r\nданные С2, способ шифрования и опции работы:\r\nantidebug — включает проверки инструментов обратной разработки,\r\nportreuse — включает функцию переиспользования открытых портов,\r\ntargetprocess — активирует инъекцию бекдора в указанный процесс,\r\nenvparam — параметр для запуска (обход песочницы),\r\nsrvi — управляющий сервер,\r\nmode — режим «клиент/сервер»,\r\nlsp — порт для подключений в случае сервера,\r\nsrvp — порт управляющего сервера,\r\ntransip — Source IP, используемый в правиле для переиспользования портов,\r\nreconnintv — ожидание перед подключением.\r\nКонфигурация зашифрована шифром Цезаря со сдвигом -1 по ASCII.\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 3 of 16\n\nВсего нам встретилось три семпла бэкдора. Самая последняя конфигурация извлечена из серверной версии\r\nбэкдора, она содержит новый параметр beattimeout и сконфигурирована для работы на локальном хосте.\r\nMD5 7d3f5ac6ec93f6e03409b5cd6bd3b817\r\nSHA1 7a8ffcbec06f8252aa84b8787a44df9ce074e72c\r\nSHA256 504d27aa26256fff8083cb7563d8bb0123516f1120f8c609ba57d91acf349416\r\nFile name comms.exe\r\nFile type PE32+ executable for MS Windows 6.00 (GUI), x86-64, 8 sections\r\nFile size 1.84 MB (1926144 bytes)\r\nMD5 0bd08e75f20e0e664c219d744d28f57b\r\nSHA1 8cc7bcaf9d436a12f300638c3cbc77d4e9585008\r\nSHA256 0968de8d650848e2c3e381593e47e4216cfecd45e377264fab976ba214b38fec\r\nFile name publicrundll64.exe\r\nFile type PE32+ executable for MS Windows 6.00 (GUI), x86-64, 7 sections\r\nFile size 1.84 MB (1932800 bytes)\r\nMD5 5cbeb83ae2cebc318fffbadc29ceacdb\r\nSHA1 2358fd681988f67f35049d6d653b7df3a2c37ccb\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 4 of 16\n\nSHA256 541628370c4d4f64468021bd83414efa9ee1634554acf29055c6c1dfa601a5e5\r\nFile name C:\\Windows\\jx71a1wa.exe\r\nFile type PE32+ executable (console) x86-64, for MS Windows\r\nFile size 2.27 MB (2383360 bytes)\r\n \r\n// 504d27aa26256fff8083cb7563d8bb0123516f1120f8c609ba57d91acf349416\r\n{\r\n \"mode\": \"client\",\r\n \"proto\": \"tcp\",\r\n \"svri\": \"94.131.2.59\",\r\n \"svrp\": 443,\r\n \"reconnintv\": 515, // задержка подключения\r\n \"enctype\": \"aes\",\r\n \"aeskey\": \"]zf,.Hso'!x3|ezz/hzHzxa(P=x.bB.r\",\r\n \"rsapubkey\": \"not set\",\r\n \"rsaprikey\": \"not set\",\r\n \"antidebug\": 1,\r\n \"autodelete\": 0, // (не используется) автоудаление\r\n \"autostart\": 0, // (не используется) автостарт\r\n \"portreuse\": 0,\r\n \"envpara\": \"2110cc46a55a4bcff3cb\",\r\n \"targetprocess\": \"\",\r\n \"usehttp\": 0\r\n}\r\n// 0968de8d650848e2c3e381593e47e4216cfecd45e377264fab976ba214b38fec\r\n{\r\n \"mode\": \"client\",\r\n \"proto\": \"tcp\",\r\n \"svri\": \"5.34.176.39\",\r\n \"svrp\": 443,\r\n \"reconnintv\": 500,\r\n \"enctype\": \"aes\",\r\n \"aeskey\": \"]zf,.Hso'!x3|ezz/hzHzxa(P=x.bB.r\",\r\n \"rsapubkey\": \"not set\",\r\n \"rsaprikey\": \"not set\",\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 5 of 16\n\n\"antidebug\": 1,\r\n \"autodelete\": 0,\r\n \"autostart\": 0,\r\n \"portreuse\": 0,\r\n \"envpara\": \"e8779a07ccefbacfe2b2\",\r\n \"targetprocess\": \"\",\r\n \"usehttp\": 0\r\n}\r\n// 541628370c4d4f64468021bd83414efa9ee1634554acf29055c6c1dfa601a5e5\r\n{\r\n \"mode\": \"server\",\r\n \"proto\": \"tcp\",\r\n \"lsp\": \"10002\",\r\n \"svri\": \"127.0.0.1\",\r\n \"svrp\": \"8085\",\r\n \"reconnintv\": 1,\r\n \"enctype\": \"aes\",\r\n \"aeskey\": \"bcudisbofds42bio\",\r\n \"rsapubkey\": \"...\",\r\n \"rsaprikey\": \"...\",\r\n \"beattimeout\": 10,\r\n \"antidebug\": 1,\r\n \"autostart\": 0,\r\n \"portreuse\": 0,\r\n \"transip\": \"127.0.0.1\",\r\n \"reuseport\": \"80\",\r\n \"envpara\": \"726919c0fbbac9038741\"\r\n }\r\n \r\nКонфигурации бэкдора\r\nИнъекция пакетов и инъекция в процессы\r\nИмплант имеет множество функций сокрытия себя в системе. Одной из таких является инъекция себя в\r\nдругие процессы. В клиентской версии ВПО имеет специальный параметр targetprocess, который\r\nопределяет имя процесса, в который будет инжектирован бэкдор. В случае успеха этого внедрения\r\nосновной процесс завершается.\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 6 of 16\n\nЛогика инжектирования в процесс\r\nВ дополнение к этому у бэкдора есть функциональность переиспользования портов. Для этого нужен\r\nдрайвер WinDivert, а для активации этой функции используется параметр portreuse. Мы пока не встретили\r\nбэкдор с активированной функцией переиспользования портов. Используя уже открытые и разрешенные\r\nпорты, вредоносное ПО может скрывать свое сетевое взаимодействие с управляющими серверами (C2).\r\nТакая техника может применяться и для обхода межсетевого экрана, когда запрещенные порты\r\nблокируются. Для фильтрации пакетов ShadowRelay использует следующее правило (порты обозначены\r\nименами, как на рисунке):\r\n(outbound and tcp.DstPort == reuseport_0 and ip.SrcAddr == transip)\r\n(inbound and tcp.DstPort == reuseport_0 and ip.SrcAddr == transip)\r\n(loopback and tcp.DstPort == 65534)\r\n(outbound and tcp.SrcPort == reuseport_1)\r\nПравило фильтрации пакетов\r\nВ коде указывается порт 65534, который, видимо, используется как порт для отправки пакетов в ответ.\r\nВПО получает пакеты на reuseport_0 на определенный внешний адрес transip, пакет копируется и\r\nнаправляется на reuseport_1 на loopback. А ответ пересылается обратно.\r\nЛогика работы с пакетами\r\nСтруктура пакетов\r\nСигнатура пакетов: S\u0026j0$\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 7 of 16\n\nShadowRelay имеет оригинальную структуру пакетов. Тип шифрования устанавливается в конфигурации, а\r\nдля сжатия используется модифицированная zlib.\r\nВ заголовке передается:\r\noperation_code — код операции,\r\ncrypted_msg_size — длина зашифрованного сжатого сообщения,\r\ninitial_msg_size — изначальная длина сообщения,\r\ntotal_size — общая длина, равная 42*frame_count+buff_size+63,\r\nframe_count — количество фреймов,\r\nargument — передаваемый аргумент в plugin_task (возможно, номер команды/операции по\r\nаналогии).\r\nЗаголовок\r\nЗначение Размер (байт)\r\noperation_code 2\r\ncrypted_msg_size 10\r\ninitial_msg_size 10\r\ntotal_size = 42*frame_count+buff_size+63 10\r\nframe_count 8\r\nargument 8\r\ncrc 10\r\nФрейм\r\nЗначение Размер (байт)\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 8 of 16\n\nframe_count 8\r\nframe_num 8\r\ndelta_sent 8\r\nargument 8\r\ncrc 10\r\nМногопоточное общение\r\nВ бэкдоре есть кастомный класс потока, а также несколько потоков, которые взаимодействуют с друг\r\nдругом через специальные контексты. Они запускают основную логику работы импланта.\r\nЗапуск потоков\r\nВидно, что авторы потрудились над многопоточностью и создали собственный класс потока со\r\nвстроенными семафорами и атомарными счетчиками.\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 9 of 16\n\nКастомный класс потока\r\nКонтексты\r\nСуществует три контекста, которые работают как очереди. В контексте есть очередь, mutex и несколько\r\nevent, которые обозначают разные этапы работы с очередью. В очередь передается пара «код операции /\r\nсообщение» и пара «длина сообщения / аргумент для plugin_task».\r\nДобавление в очередь контекста\r\nФункции\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 10 of 16\n\nhello_connect\r\nПытается установить соединение с сервером и получить информацию для передачи через Context2 в\r\nфункцию load_plugin. Парсит заголовок пакета, извлекает оттуда код команды и саму команду.\r\nВ конфигурации сервера начинает прослушивать порт, указанный в конфигурации.\r\nВ заголовках пакета передается тип команды. Для некоторых кодов и команд предусмотрены отдельные\r\nсценарии:\r\nКод Команда Описание\r\n13 uninstall Деинсталляция\r\n5 число (double) Завершить сеанс, подключиться через время, которое определяется задержкой\r\n_ _ Передается в контекст 2\r\nsend_message\r\nПолучает сообщения из контекста 1 и передает на управляющий сервер. В случае если сообщение является\r\nстрокой success и содержит код операции 6, выходит из цикла и добавляет в контекст 3 пустую структуру и\r\nожидает 5 секунд.\r\nВ серверной версии убрали взаимодействие с третьим контекстом.\r\nload_plugin\r\nПолучает команды из hello_connect. Тоже имеет несколько команд с особыми сценариями. Способна\r\nподгружать исполняемые PE-плагины.\r\nКод Команда Описание Ответ\r\n16 uninstall Деинсталляция плагина fail/success\r\n16 _\r\nПолучает в качестве информации плагин (pedll) и грузит его в\r\nпамять. Ищет и запускает функцию plugin_init\r\nfail/success\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 11 of 16\n\n15 _\r\nШифрует входящие данные AES и записывает их в файл\r\nINLICIT\r\nSuccess/Fail\r\ncreate file\r\n_ _\r\nКод используется для вычисления офсета, а команда\r\nпередается в плагин с командой plugin_task\r\n_\r\nКоды и команды клиентской версии\r\nКод Команда Описание Ответ\r\n15 uninstall Деинсталляция плагина fail/success\r\n15 _\r\nПолучает в качестве информации плагин (pedll) и грузит его в\r\nпамять (или заменят старый плагин на новый). Ищет и запускает\r\nфункцию plugin_init\r\nfail/success\r\n_ _\r\nКод используется для вычисления офсета, а команда передается в\r\nплагин с командой plugin_task\r\n_\r\nКоды и команды серверной версии\r\nВ бэкдоре есть информация о трех командах, которые обязательно имеются в плагине. Сами плагины\r\nобнаружить не удалось. Плагин обязательно содержит три команды:\r\nplugin_init — инициализация,\r\nplugin_task — основная логика,\r\nplugin_deinit — деинициализация.\r\nТакая модульная система позволяет не компрометировать функциональность плагинов и избегать\r\nобнаружения управляющей логики.\r\nsend_pc_info\r\nФункция send_pc_info собирает и отправляет информацию о компьютере. Проверяет наличие отладчиков и\r\nдругих средств анализа. Если они присутствуют, завершает программу. В серверной версии разработчики\r\nизменили подход. Раньше она посылала информацию напрямую, по теперь использует для этого контекст.\r\nПри соединении бэкдоры обмениваются системной информацией друг с другом каждые несколько секунд.\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 12 of 16\n\n01192.168.116.118*| |*00:0В:28:59:5A:9D*| |*DESKTOP-4HВВJ5H*| |*admin*|\r\n|*user*||*C:\\Users\\admin\\Downloads\\541628370c4d4f64468021bd83414efa9ee1634554acf29055c6c1dfa601a5e5*|\r\n|*726919c0fbbac9038741\r\nПример системной информации\r\nСхема взаимодействия функций через контексты\r\nДетектирование сетевой активности\r\nКак мы уже говорили, данный бэкдор может в теории соединяться с другими зараженными машинами. Это\r\nпозволяет ему поддерживать связь с серверами и АРМ в сегментах без прямого доступа к интернету.\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 13 of 16\n\nПример зараженной корпоративной сети\r\nПри соединении два бэкдора общаются между собой, пересылая информацию о хосте. Но логика\r\nуправления, видимо, реализуется подгружаемыми плагинами. Устройство бэкдора позволяет\r\nконтролировать хосты, которые не подключены напрямую к интернету, образуя сеть из серверов и\r\nклиентов.\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 14 of 16\n\nКонсольные логи общения клиент-бэкдора с бэкдор-сервером\r\nДля детектирования общения между имплантами подойдет простое правило snort. Оно детектирует\r\nсигнатуру пакета, используемого бэкдором ShadowRelay, и следующий за ним информационный пакет.\r\n \r\nalert tcp any any -\u003e any any (\r\nsid: 1; rev:1;\r\nmsg:\"MALWARE ShadowRelay Backdoor\";\r\nclasstype:trojan-activity;\r\ncontent:\"|53 26 6A 30 24 30 31 30 30 30 30 30 30|\";\r\nstartswith;\r\nreference:md5,0bd08e75f20e0e664c219d744d28f57b;\r\nmetadata:place,perimeter;\r\nmetadata:malware,ShadowRelay;\r\nmetadata:MITRE,T1071;\r\n)\r\n \r\nЗаключение\r\nУязвимый сервер помог выявить новую кампанию атак совершенно неизвестным до это вредоносом. Хотя\r\nбэкдор был загружен в атакованную инфраструктуру в то же самое время, когда там присутствовала\r\nгруппировка Obstinate Mogwai, у нас пока нет достаточных свидетельств, что ShadowRelay является\r\nчастью арсенала именно этой группы. Кроме того, иные инструменты (такие, как ShadowPad) и артефакты\r\nприсутствия других группировок существенно расширяют «круг подозреваемых».\r\nС большей уверенностью можно судить о мотивах операторов, скрывающихся за ShadowRelay. Данный\r\nбэкдор имеет средства сокрытия своей сетевой активности через инъекцию сетевых пакетов, имплант\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 15 of 16\n\nспособен скрытно шпионить в защищенных сегментах сети организации, общаясь через сеть зараженных\r\nмашин. Чтобы избежать детектирования своего процесса, он способен внедряться в другие процессы. А\r\nиспользование плагинов для подгрузки дополнительной логики позволяют укрывать полезную нагрузку от\r\nвнимания аналитиков вредоносного ПО. Все это указывает на относительно высокий уровень подготовки\r\nатакующих, а также на то, что их основная цель — длительное скрытное присутствие в атакованной\r\nинфраструктуре и шпионаж. Такое поведение характерно прежде всего для прогосударственных\r\nшпионских APT-группировок.\r\nIOC\r\nFiles\r\nMD5\r\n0bd08e75f20e0e664c219d744d28f57b\r\n7d3f5ac6ec93f6e03409b5cd6bd3b817\r\n5cbeb83ae2cebc318fffbadc29ceacdb\r\nSHA1\r\n2358fd681988f67f35049d6d653b7df3a2c37ccb\r\n7a8ffcbec06f8252aa84b8787a44df9ce074e72c\r\n8cc7bcaf9d436a12f300638c3cbc77d4e9585008\r\nSHA256\r\n504d27aa26256fff8083cb7563d8bb0123516f1120f8c609ba57d91acf349416\r\n0968de8d650848e2c3e381593e47e4216cfecd45e377264fab976ba214b38fec\r\n541628370c4d4f64468021bd83414efa9ee1634554acf29055c6c1dfa601a5e5\r\nIP\r\n94.131.2[.]59\r\n5.34.176[.]39\r\nSource: https://rt-solar.ru/solar-4rays/blog/6328/\r\nhttps://rt-solar.ru/solar-4rays/blog/6328/\r\nPage 16 of 16",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://rt-solar.ru/solar-4rays/blog/6328/"
	],
	"report_names": [
		"6328"
	],
	"threat_actors": [
		{
			"id": "536ca49a-2666-4005-8a50-e552fc7e16ef",
			"created_at": "2023-11-21T02:00:07.375813Z",
			"updated_at": "2026-04-10T02:00:03.471967Z",
			"deleted_at": null,
			"main_name": "Webworm",
			"aliases": [
				"Space Pirates"
			],
			"source_name": "MISPGALAXY:Webworm",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "120b98af-cc15-468d-ae91-52d5af9216e4",
			"created_at": "2025-05-29T02:00:03.189197Z",
			"updated_at": "2026-04-10T02:00:03.84415Z",
			"deleted_at": null,
			"main_name": "GOFFEE",
			"aliases": [],
			"source_name": "MISPGALAXY:GOFFEE",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "8e385d36-06a2-4294-b3d3-01fe8e9d95f4",
			"created_at": "2022-10-25T16:07:24.219051Z",
			"updated_at": "2026-04-10T02:00:04.902017Z",
			"deleted_at": null,
			"main_name": "Space Pirates",
			"aliases": [
				"Erudite Mogwai",
				"Webworm"
			],
			"source_name": "ETDA:Space Pirates",
			"tools": [
				"9002 RAT",
				"Agent.dhwf",
				"AngryRebel",
				"BH_A006",
				"Chymine",
				"Darkmoon",
				"Deed RAT",
				"Destroy RAT",
				"DestroyRAT",
				"Farfli",
				"Gen:Trojan.Heur.PT",
				"Gh0st RAT",
				"Ghost RAT",
				"HOMEUNIX",
				"HidraQ",
				"Homux",
				"Hydraq",
				"Kaba",
				"Korplug",
				"McRAT",
				"MdmBot",
				"Moudour",
				"MyKLoadClient",
				"Mydoor",
				"PCRat",
				"PCShare",
				"POISONPLUG.SHADOW",
				"PlugX",
				"Poison Ivy",
				"RedDelta",
				"Roarur",
				"SPIVY",
				"ShadowPad Winnti",
				"SnappyBee",
				"Sogu",
				"TIGERPLUG",
				"TVT",
				"Thoper",
				"Trochilus RAT",
				"XShellGhost",
				"Xamtrav",
				"Zupdax",
				"pivy",
				"poisonivy"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434055,
	"ts_updated_at": 1775792016,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/2d8689276cb6d2c62c3d8a0508dded33378782ce.pdf",
		"text": "https://archive.orkl.eu/2d8689276cb6d2c62c3d8a0508dded33378782ce.txt",
		"img": "https://archive.orkl.eu/2d8689276cb6d2c62c3d8a0508dded33378782ce.jpg"
	}
}