{
	"id": "19cc8049-1698-412b-8236-9af997588c96",
	"created_at": "2026-04-06T00:14:26.490313Z",
	"updated_at": "2026-04-10T03:37:08.932619Z",
	"deleted_at": null,
	"sha1_hash": "2e4bbe85a7d0c23931493a2c3bfb3735e8fd1262",
	"title": "LatentBot – modularny i silnie zaciemniony bot",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 242008,
	"plain_text": "LatentBot – modularny i silnie zaciemniony bot\r\nArchived: 2026-04-05 13:34:40 UTC\r\nLatentBot jest widoczny w sieci od 2013 roku, a na początku października rozpoczął swoją drugą\r\nmłodość – dodany został jako payload do bardzo aktywnego exploit-kita Rig i jest serwowany\r\nzamiennie z takim złośliwym oprogramowaniem jak: Cerber, CryptFile2, Gootkit czy Vawtrak.\r\nGłównym wektorem infekcji dla użytkowników były dokumenty pakietu Microsoft Office\r\nzawierające exploity na podatności CVE-2010-3333, CVE-2012-0158, CVE-2013-3906 oraz CVE-2014-1761. Pliki zbudowane zostały za pomocą pakietu Microsoft Word Intruder / MWISTAT.\r\nKampanie z tym złośnikiem prowadzone były m.in. w USA, Kanadzie, Brazylii, Singapurze, Korei\r\nPołudniowej, Polsce oraz Zjednoczonych Emiratach Arabskich. Głównym adresatem byli\r\nprzedstawiciele sektora finansowego oraz ubezpieczeniowego.\r\nLatentBot na tle konkurencyjnego malware znacznie się wyróżnia:\r\nDynamiczne deszyfrowanie stringów („autorski” algorytm) oraz nazw funkcji\r\nWinAPI i usuwanie ich po użyciu\r\nMożliwość nadpisania (uszkodzenia) MBR\r\nModułowość (zaciemnione moduły przechowywane w rejestrze Windows)\r\nWykorzystanie malware Pony 2.0 celem wykradania informacji oraz portfeli\r\nkryptowalut takich jak BitCoin, LiteCoin, Namecoin i wiele innych.\r\nW poście zostanie opisana wersja rozpowszechniana obecnie za pomocą exploit-kita Rig (z\r\npominięciem pierwszych stadiów procesu infekcji – więcej o nich można przeczytać tutaj).\r\nAnaliza techniczna\r\nMalware na początku swojego działania sprawdza wersję systemu operacyjnego ofiary oraz nazwę\r\nprocesu rodzica. Działanie programu zostanie zakończone jeżeli maszyna działa pod kontrolą\r\nWindows Vista lub Windows Server 2008 lub proces rodzica ma nazwę różną od explorer.exe lub\r\nsvchost.exe.\r\nhttps://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/\r\nPage 1 of 13\n\nPo infekcji LatentBot sprawdza działanie serwera C\u0026C wykonując proste zapytanie HTTP. W\r\nnastępstwie odpowiedzi, do serwera zarządzającego wysyłane są podstawowe informacje o\r\nzainfekowanej maszynie oraz generowany jest unikalny identyfikator ofiary. Bardzo ciekawą rzeczą\r\ni rzadko spotykaną jest sprawdzanie statusu baterii maszyny – pozwala określić czy bot\r\nzainstalowany jest na laptopie.\r\nhttps://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/\r\nPage 2 of 13\n\nNastępnie złośliwe oprogramowanie pobiera moduły, udające pliki ZIP, i zapisuje je (oraz swoje\r\nbinaria) w postaci zaszyfrowanej w rejestrze systemowym:\r\nHKCU\\Software\\Google\\Update\\network\\secure\\[zaszyfrowana_nazwa_modułu].\r\nProbka z naszego laboratorium zawiera następujące moduły:\r\nhdtWD3zyxMpSQB – Bot_Engine\r\nQdW/DoI2F9J – Security\r\nRRrIibQs+WzRVv5B+9iIys+17huxID – Remote_desktop_service\r\nhttps://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/\r\nPage 3 of 13\n\nVRWVBM6UtH6F+7UcwkBKPB – Vnc_hide_desktop\r\nzRlBb9ofmNVErtdu – Pony_Stealer\r\nFtUFJu5xP3C – formgrabber\r\nQdG8eO0qHI8/Y1G – send_report\r\nw97grmO – Socks\r\nW stosunku do starszych wersji LatentBot, analizowana wersja posiada nowy moduły o nazwach\r\n„formgrabber” oraz „Socks”.\r\nAlgorytm szyfrowania danych\r\nSzkodnik implementuje własny sposób szyfrowania danych:\r\n1. Pierwszym krokiem jest kodowanie danych za pomocą tablicy bajtowej zaszytej w kodzie.\r\nFunkcja pobiera dane w czterobajtowych „porcjach” i w zależności od umiejscowienia bajtu oraz\r\noperacji (kodowanie lub dekodowanie) przesuwa odpowiednio w prawo \\ lewo o wartości:\r\n* 1. bajt – brak przesunięcia\r\n* 2. bajt – 0x6h\r\n* 3. bajt – 0xCh\r\n* 4. bajt – 0x12h\r\n2. Następnie każdy bajt jest poddany operacji XOR-owania wraz z modyfikatorem zależnym od\r\nrodzaju zasobu:\r\n* 0xBB8h – nazwy funkcji Windows API\r\n* 0x2328h – nazwy modułów w rejestrze OS\r\n* 0x264Dh – dane wysyłane do serwera C\u0026C\r\n* 0x1918h – dane pobierane z serwera C\u0026C\r\nhttps://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/\r\nPage 4 of 13\n\nModuły\r\nBot_Engine\r\n„Bot_Engine” jest modułem bazowym – odpowiada za wstępny proces weryfikacji środowiska,\r\npobranie pozostałych modułów oraz komunikację z C\u0026C. Po uruchomieniu złośliwego pliku\r\nwysyłane są cztery żądania ICMP Echo (popularny „ping”) do serwera zarządzającego.\r\nPo instalacji i walidacji środowiska wysyłane są informacje o nowym bocie (parametry żądania\r\nHTTP GET):\r\nidgen – unikalny identyfikator ofiary\r\nisAv – czy został wykryty antywirus przez moduł Security oraz jego identyfikator\r\nliczbowy\r\nisWinVer – wersja OS\r\nisX64 – bitowość systemu operacyjnego\r\nisVer – wyróżnik wersji LatentBota\r\nisPcNetName – nazwa komputera ofiary\r\nisPcUserName – nazwa użytkownika\r\nisCountry – język systemu operacyjnego ofiary\r\nisJava – czy Java jest zainstalowana w OS\r\nisbk – czy ofiara ma zainstalowany bootkit (opcja wyłączona)\r\nisKeyLog – status keyloggera\r\nisaccessadmin – flaga czy malware jest uruchomiony z podwyższonymi\r\nuprawnieniami\r\nhttps://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/\r\nPage 5 of 13\n\nisNote – wykrycie stanu baterii komputera (sprawdzenie czy komputer jest\r\nnotebookiem)\r\nisTracertspeed – czas odpowiedzi C2 do hosta\r\nisUptime – uptime OS\r\nisAntiSB – niewykorzystywany (zawsze wartość „0”)\r\nisBitc – czy znaleziono portfele kryptowalut na komputerze ofiary\r\nDodatkowo moduł zajmuje się obsługą poniższych poleceń od C\u0026C:\r\nrestart – restart maszyny\r\nshutdown – wyłączenie OS\r\nlogoff – wylogowanie użytkownika\r\nstop_engine_and_plugins – zatrzymanie modułu głównego oraz pluginów\r\nplugin_stop_all – zatrzymanie wszystkich pluginów\r\nplugin_stop – zatrzymanie działania wybranego pluginu\r\nplugin_stop_and_uninstall – zatrzymanie działania wybranego pluginu oraz jego\r\nodinstalowanie\r\nplugin_stop_auto – automatyczne zatrzymanie pluginu\r\nplugin_start – uruchomienie modułu\r\nplugin_start_auto – automatyczne uruchomienie pluginu\r\nplugin_restart – ponowne uruchomienie pluginu\r\nclear_cookies – wyczyszczenie ciasteczek w Chrome / Firefox / IE oraz Operze\r\nuninstall_all – usunięcie Bot_Engine oraz reszty pluginów\r\nSecurity\r\n„Security” jest modułem wyszukującym oprogramowanie antywirusowe i narzędzia analityczne na\r\nkomputerze ofiary. Sprawdzane jest istnienie poniższych folderów na dysku:\r\nDocuments and Settings\\All Users\\Application Data\\Agnitum\r\nDocuments and Settings\\All Users\\Application Data\\avg10\r\nDocuments and Settings\\All Users\\Application Data\\avg8\r\nDocuments and Settings\\All Users\\Application Data\\avg9\r\nDocuments and Settings\\All Users\\Application Data\\Avira\r\nDocuments and Settings\\All Users\\Application Data\\Doctor Web\r\nDocuments and Settings\\All Users\\Application Data\\ESET\r\nDocuments and Settings\\All Users\\Application Data\\f-secure\r\nDocuments and Settings\\All Users\\Application Data\\G DATA\r\nDocuments and Settings\\All Users\\Application Data\\Kaspersky Lab\\\r\nDocuments and Settings\\All Users\\Application Data\\McAfee\r\nDocuments and Settings\\All Users\\Application Data\\Microsoft\\Microsoft Antimalware\r\nDocuments and Settings\\All Users\\Application Data\\PC Tools\r\nDocuments and Settings\\All Users\\Application Data\\Symantec\r\nDocuments and Settings\\All Users\\Application Data\\Trend Micro\r\nhttps://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/\r\nPage 6 of 13\n\nDocuments and Settings\\All Users\\AVAST Software\r\nDocuments and Settings\\NetworkService\\Local Settings\\Application Data\\F-Secure\r\nProgram Files\\Agnitum\r\nProgram Files\\Alwil Software\r\nProgram Files\\AVAST Software\r\nProgram Files\\AVG\r\nProgram Files\\Avira\r\nProgram Files\\BitDefender9\r\nProgram Files\\Common Files\\Doctor Web\r\nProgram Files\\Common Files\\G DATA\r\nProgram Files\\Common Files\\PC Tools\r\nProgram Files\\DrWeb\r\nProgram Files\\ESET\r\nProgram Files\\F-Secure Internet Security\r\nProgram Files\\FRISK Software\r\nProgram Files\\Kaspersky Lab\r\nProgram Files\\McAfee\r\nProgram Files\\Microsoft Security Essentials\r\nProgram Files\\Norton AntiVirus\r\nProgram Files\\Panda Security\r\nProgram Files\\PC Tools Internet Security\r\nProgram Files\\Symantec\r\nProgram Files\\Trend Micro\r\nProgram Files\\Vba32\r\nPoniżej fragment głównej funkcji w module:\r\nhttps://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/\r\nPage 7 of 13\n\nZłośnik potrafi wykryć następujące narzędzia do potencjalnej analizy malware:\r\na2HiJackFree\r\nAd-Aware\r\nAdvanced Spyware Remover Pro\r\nArovax Shield\r\nCounterSpy\r\nEffeTech HTTP Sniffer\r\ngmer\r\nHijackThis\r\nHTTPAnalyzerFullV5\r\nKerish Doctor\r\nMalwarebytes' Anti-Malware\r\nMalwareSecure\r\nOSAM Autorun Manager\r\nOSSS Proactive / Firewall\r\nPC Tools Spyware Doctor\r\nProcess Hacker\r\nProtector Plus 2013\r\nRemoveIT Pro 2014 Ultra\r\nSecureAnywhere\r\nSecurity Stronghold Active Shield\r\nhttps://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/\r\nPage 8 of 13\n\nSpybot\r\nSpyware Terminator 2012\r\nSUPERAntiSpyware\r\nSysInspector\r\nTrend Micro AntiSpyware\r\nTrue Sword 5\r\nviewtcp\r\nVIRUSfighter\r\nWinPatrol\r\nVnc_hide_desktop\r\nNajbardziej rozbudowaną częścią tego malware’u jest moduł VNC o funkcjonalności znacząco\r\nwykraczającej poza zdalne połączenie do komputera ofiary.\r\nUmożliwia atakującemu:\r\nUsunięcie malware’u z systemu operacyjnego oraz uszkodzenie MBR\r\nWłączenia serwera VNC na komputerze ofiary\r\nLogowanie naciśnięć klawiszy (keylogger)\r\nWyszukiwanie portfeli BitCoin, Electrum oraz MultiBit\r\nZablokowanie użytkownikowi dostępu do myszy\r\nWysyłanie żądań ICMP\r\nWylogowanie użytkownika lub wyłączenie OS\r\nNa początku działania modułu jest sprawdzane działanie innych serwerów VNC uruchomionych na\r\nzainfekowanym systemie:\r\ntvnserver.exe – TightVNC Software\r\nwinvnc.exe – UltraVNC Software\r\nvncserver.exe – RealVNC Software\r\nvncservice.exe – RealVNC Software\r\nhttps://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/\r\nPage 9 of 13\n\nNastępnie oczekuje na polecenia:\r\nkillosanduninstall – usunięcie szkodnika z systemu, nadpisanie MBR i\r\nrestart systemu operacyjnego.\r\nClearTemp – usunięcie plików tymczasowych wykorzystywanych\r\nprzez malware\r\nfm_compress – kompresja plików pobieranych z OS ofiary\r\nfm_compress_getstat – pobranie rozmiaru plików\r\nfm_test – test funkcjonalności File Manager\r\nfm_get_folder – pobieranie folderu / pliku od ofiary\r\nnewvnc – nowy serwer VNC (wstrzyknięcie do procesu svchost.exe)\r\nEWX_REBOOT – restart OS ofiary\r\nEWX_LOGOFF – wylogowanie użytkownika\r\nEWX_SHUTDOWN – wyłączenie komputera\r\nhttps://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/\r\nPage 10 of 13\n\ncloseonesessions – zamknięcie jednej sesji RDS\r\ndisablerds – wyłączenie modułu Remote Desktop Service\r\ngetinstallpluginlist – wysłanie do C\u0026C modułów bota\r\nuninstallbot – usunięcie malware z systemu operacyjnego\r\nstartkey – uruchomienie keyloggera\r\nstopkey / stopkeylog – zatrzymanie keyloggera i usunięcie zebranych\r\ndanych\r\nsendkey – wysłanie danych keyloggera do C\u0026C\r\nsendfg – wysłanie logów do C\u0026C\r\nclearkeylog – usunięcie plików keyloggera z OS ofiary\r\nfindgold – wyszukanie portfeli BitCoin, Electrum, MultiBit\r\nexplorer_restart – restart procesu explorer.exe\r\nRemote_desktop_service\r\nUmożliwia zdalny dostęp do komputera ofiary za pomocą protokołu RDP. De facto duplikuje\r\nfunkcjonalność modułu VNC.\r\nPatrząc z poziomu możliwości wtyczki i różnic pomiędzy wersjami LatentBota, można stwierdzić\r\nże rozwój tej części malware został zarzucony, a jego rolę przejęło VNC – zapewne przestępcom\r\nchodziło o mniejszą wykrywalność działań w systemie operacyjnym ofiary.\r\nPony_Stealer\r\nTen moduł zawiera inny malware – Pony Stealer 2.0. Złośliwe oprogramowanie z tej rodziny jest\r\nczęsto wykorzystwane przez przestępców z powodu wycieku kodu źródłowego, zarówno wersji 1.9,\r\njak i 2.0.\r\nAutor Latentbota skupił się głównie na wykradaniu portfeli kryptowaluty BitCoin, zbieraniu danych\r\nzapisanych w przeglądarkach internetowych oraz klientach poczty. Bardzo ciekawą właściwością\r\nmodułu jest to, że uruchamiany jest tylko raz, podczas infekcji.\r\nhttps://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/\r\nPage 11 of 13\n\nform_grabber \u0026 Socks\r\nDwa niewielkie moduły – wykradanie danych wpisywanych przez użytkowników w formularzach,\r\noraz wystawienie Socks proxy na komputerze ofiary.\r\nCo zrobić w przypadku infekcji?\r\nPrzede wszystkim zalecamy zmianę wszystkich haseł do zasobów (poczta, serwisy\r\nspołecznościowe, systemy transakcyjne) wykorzystywanych na zainfekowanej maszynie – warto\r\nskorzystać z menadżera haseł do zarządania nimi np. KeePassa.\r\nHasła należy zmienić z innego komputera niż zainfekowana maszyna. Na zainfekowanej maszynie\r\ntrzeba przeprowadzić pełne skanowanie programem AV, a w skrajnym wypadku będziemy zmuszeni\r\ndo przeinstalowania systemu operacyjnego.\r\nSkróty kryptograficzne analizowanych próbek i reguła YARA\r\ne52b4d2d6c26891794d1eaa3ed81471870fd594b8d624a0826fc1e8eb9cc13fa\r\n9b2699969896d0b301ab47e2f2f7f2051534ea526d862d75f4cda83b29408348\r\n127285f3fb4b200dc8f47cfdcc8bceedd52e77df1bd68a7d3eeb0996d50ecefc\r\nrule latentbot : trojan\r\n{\r\nmeta:\r\nauthor=\"kamilf\"\r\nstrings:\r\n$encrypted_plugins_reg_loc =\r\n\"YRjMiR5pJQ2BYQGnxrtHJr/rc1ldUMq+LwntFlv2clCGXRO+WLP\"\r\n$encrypted_autostart_reg_loc =\r\n\"YRjMiR5pJQ2BS01054IZ+IU8u00RCk2L9tm+lACTf28OI7vow9xZfWqV7V0q\"\r\n$encrypted_id_reg_loc = \"YRjMiR5pJQ2BeUoQ648el9DVFta9CWKqhycjWD\"\r\n$decrypt_strings_and_call = { 89 ?? 8D [2] B8 [4] E8 [4] 8D [2] 50 8D [2] B8 [4] E8 [4] 8B [2] 58\r\nE8 [4] 8B [2] 8B ?? E8 [4] E8 [4] EB ?? }\r\n$encryption_decryption_core = { 88 [3] 8B [2] 0F [4] 66 [2] 66 [2] 6D CE 66 ?? BF 58 }\r\n$lookup_table = { 3E 00 00 00 3F 34 35 36 37 38 39 3A 3B 3C 3D [8] 01 02 03 04 05 06 07 08 09\r\n0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 16 17 18 19 }\r\n$lookup_table_byte_shift = { C1 ?? 06 [14] C1 ?? 0C [14] C1 ?? 12 }\r\ncondition:\r\n4 of ($encrypted_id_reg_loc, $encrypted_autostart_reg_loc, $encrypted_plugins_reg_loc,\r\n$lookup_table_byte_shift, $lookup_table, $encryption_decryption_core) and\r\n#decrypt_strings_and_call \u0026gt; 20\r\n}\r\nhttps://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/\r\nPage 12 of 13\n\nSource: https://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/\r\nhttps://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/\r\nPage 13 of 13",
	"extraction_quality": 1,
	"language": "PL",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.cert.pl/news/single/latentbot-modularny-i-silnie-zaciemniony-bot/"
	],
	"report_names": [
		"latentbot-modularny-i-silnie-zaciemniony-bot"
	],
	"threat_actors": [
		{
			"id": "8941e146-3e7f-4b4e-9b66-c2da052ee6df",
			"created_at": "2023-01-06T13:46:38.402513Z",
			"updated_at": "2026-04-10T02:00:02.959797Z",
			"deleted_at": null,
			"main_name": "Sandworm",
			"aliases": [
				"IRIDIUM",
				"Blue Echidna",
				"VOODOO BEAR",
				"FROZENBARENTS",
				"UAC-0113",
				"Seashell Blizzard",
				"UAC-0082",
				"APT44",
				"Quedagh",
				"TEMP.Noble",
				"IRON VIKING",
				"G0034",
				"ELECTRUM",
				"TeleBots"
			],
			"source_name": "MISPGALAXY:Sandworm",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "3a0be4ff-9074-4efd-98e4-47c6a62b14ad",
			"created_at": "2022-10-25T16:07:23.590051Z",
			"updated_at": "2026-04-10T02:00:04.679488Z",
			"deleted_at": null,
			"main_name": "Energetic Bear",
			"aliases": [
				"ATK 6",
				"Blue Kraken",
				"Crouching Yeti",
				"Dragonfly",
				"Electrum",
				"Energetic Bear",
				"G0035",
				"Ghost Blizzard",
				"Group 24",
				"ITG15",
				"Iron Liberty",
				"Koala Team",
				"TG-4192"
			],
			"source_name": "ETDA:Energetic Bear",
			"tools": [
				"Backdoor.Oldrea",
				"CRASHOVERRIDE",
				"Commix",
				"CrackMapExec",
				"CrashOverride",
				"Dirsearch",
				"Dorshel",
				"Fertger",
				"Fuerboos",
				"Goodor",
				"Havex",
				"Havex RAT",
				"Hello EK",
				"Heriplor",
				"Impacket",
				"Industroyer",
				"Karagany",
				"Karagny",
				"LightsOut 2.0",
				"LightsOut EK",
				"Listrix",
				"Oldrea",
				"PEACEPIPE",
				"PHPMailer",
				"PsExec",
				"SMBTrap",
				"Subbrute",
				"Sublist3r",
				"Sysmain",
				"Trojan.Karagany",
				"WSO",
				"Webshell by Orb",
				"Win32/Industroyer",
				"Wpscan",
				"nmap",
				"sqlmap",
				"xFrost"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "a66438a8-ebf6-4397-9ad5-ed07f93330aa",
			"created_at": "2022-10-25T16:47:55.919702Z",
			"updated_at": "2026-04-10T02:00:03.618194Z",
			"deleted_at": null,
			"main_name": "IRON VIKING",
			"aliases": [
				"APT44 ",
				"ATK14 ",
				"BlackEnergy Group",
				"Blue Echidna ",
				"CTG-7263 ",
				"ELECTRUM ",
				"FROZENBARENTS ",
				"Hades/OlympicDestroyer ",
				"IRIDIUM ",
				"Qudedagh ",
				"Sandworm Team ",
				"Seashell Blizzard ",
				"TEMP.Noble ",
				"Telebots ",
				"Voodoo Bear "
			],
			"source_name": "Secureworks:IRON VIKING",
			"tools": [
				"BadRabbit",
				"BlackEnergy",
				"GCat",
				"NotPetya",
				"PSCrypt",
				"TeleBot",
				"TeleDoor",
				"xData"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "b3e954e8-8bbb-46f3-84de-d6f12dc7e1a6",
			"created_at": "2022-10-25T15:50:23.339976Z",
			"updated_at": "2026-04-10T02:00:05.27483Z",
			"deleted_at": null,
			"main_name": "Sandworm Team",
			"aliases": [
				"Sandworm Team",
				"ELECTRUM",
				"Telebots",
				"IRON VIKING",
				"BlackEnergy (Group)",
				"Quedagh",
				"Voodoo Bear",
				"IRIDIUM",
				"Seashell Blizzard",
				"FROZENBARENTS",
				"APT44"
			],
			"source_name": "MITRE:Sandworm Team",
			"tools": [
				"Bad Rabbit",
				"Mimikatz",
				"Exaramel for Linux",
				"Exaramel for Windows",
				"GreyEnergy",
				"PsExec",
				"Prestige",
				"P.A.S. Webshell",
				"AcidPour",
				"VPNFilter",
				"Neo-reGeorg",
				"Cyclops Blink",
				"SDelete",
				"Kapeka",
				"AcidRain",
				"Industroyer",
				"Industroyer2",
				"BlackEnergy",
				"Cobalt Strike",
				"NotPetya",
				"KillDisk",
				"PoshC2",
				"Impacket",
				"Invoke-PSImage",
				"Olympic Destroyer"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775434466,
	"ts_updated_at": 1775792228,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/2e4bbe85a7d0c23931493a2c3bfb3735e8fd1262.pdf",
		"text": "https://archive.orkl.eu/2e4bbe85a7d0c23931493a2c3bfb3735e8fd1262.txt",
		"img": "https://archive.orkl.eu/2e4bbe85a7d0c23931493a2c3bfb3735e8fd1262.jpg"
	}
}