{
	"id": "25f3461b-a81d-4805-971b-d9646b8ee625",
	"created_at": "2026-04-06T00:14:24.81795Z",
	"updated_at": "2026-04-10T03:36:06.513431Z",
	"deleted_at": null,
	"sha1_hash": "3565c7608ac712c0ecbee7ea10d0ef3e3f629764",
	"title": "日本の組織を狙うマルウェア「Thumtais」 | LAC WATCH",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1418752,
	"plain_text": "日本の組織を狙うマルウェア「Thumtais」 | LAC WATCH\r\nBy 石川 芳浩\r\nPublished: 2024-06-05 · Archived: 2026-04-05 20:24:03 UTC\r\nラックの石川です。\r\nラックの脅威分析チームでは、最新のサイバー攻撃に対処するため、日本の組織を標的とする多様な攻撃を日々\r\n調査しています。私たちは、2023年2月、日本のコンサルティング会社を対象とした標的型攻撃を観測しまし\r\nた。\r\nこの攻撃は、中国圏を拠点とする攻撃者グループによるものとみられ、Thumtais（別名：EAGERBEE）マルウェ\r\nアやCython、Go、Nimといったプログラミング言語で開発された未知のマルウェアが利用されていました。\r\nThumtaisは、Elastic Security Labsのブログ※1の中で紹介されているマルウェアの1つですが、調査する過程で新\r\nたに確認したThumtaisは、マルウェアの機能が追加およびアップデートされていました。\r\nそこで今回は、この新しいThumtaisと背後に潜む攻撃者グループについて紹介します。\r\n※1 Introducing the REF5961 intrusion set -- Elastic Security Labs\r\n目次\r\n1. 攻撃の概要\r\n2. Thumtais Loader\r\n3. 2nd Stage Loader（シェルコード）\r\n4. Thumtais\r\n5. 攻撃者グループの考察\r\n6. 攻撃痕跡の確認と検出\r\n7. おわりに\r\n8. Appendix\r\n攻撃の概要\r\nThumtaisは、IKE and AuthIP IPsec Keying Modules（IKEEXT）サービスを悪用したDLLハイジャックまたは正規\r\nのアプリケーションを利用して、DLLサイドローディングによって実行されます。図1は、DLLハイジャックを\r\n悪用して、このマルウェアが実行される一例です。以降では、DLLハイジャックによって読み込まれるThumtais\r\nLoaderを解説します。\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 1 of 18\n\n図1 Thumtaisの実行フロー\r\nThumtais Loader\r\nThumtais Loaderは、Thumtaisを読み込み、実行するローダ型マルウェアです。シェルコードを内包するタイプと\r\n別ファイルから読み込むタイプの2種類あります。\r\nシェルコードを内包するタイプ\r\nシェルコードを内包するThumtais Loaderは、実行時に図2に示すように、内包されたシェルコードを確保したメ\r\nモリ領域に展開後、Call命令を利用して展開されたメモリ領域を呼び出し、シェルコードを実行します。\r\n図2 シェルコードを内包するThumtais Loaderの実行処理\r\nシェルコードを読み込むタイプ\r\n別ファイルからシェルコードを読み込むThumtais Loaderは、図3に示すような方法でシェルコードを読み込み、\r\nメモリ領域上に展開し、内部に持つタイプと同様に実行します。読み込むファイルは表1に示すものが対象とな\r\nり、ワイルドカードが利用されている具体的なファイル名は、\"FXAPIDebug.logs\"や\"iconcaches.mui\"などを確認\r\nしています。\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 2 of 18\n\n図3 シェルコードを読み込むThumtais Loaderの実行処理\r\n%tmp%¥*g.logs\r\nc:¥users¥public¥videos¥*.mui\r\nc:¥users¥public¥nsdftuses.t\r\nc:¥users¥public¥ntusess.t\r\nc:¥users¥public¥ntuses.t\r\n%tmp%¥*g.logs\r\nc:¥users¥public¥videos¥*.mui\r\nc:¥users¥public¥nsdftuses.t\r\nc:¥users¥public¥ntusess.t\r\nc:¥users¥public¥ntuses.t\r\n表1 Thumtais loaderが読み込むシェルコードファイル例\r\nまた、Thumtais Loaderは、対解析機能としてControl Flow Flattening（CFF）により処理フローが難読化されたも\r\nのもあります。（図4）\r\n図4 Control Flow Flatteningで難読化されたコード\r\n2nd Stage Loader（シェルコード）\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 3 of 18\n\n展開されたシェルコードは、最初にROR13アルゴリズムを利用してハッシュ値を計算後、その値に10を加算す\r\nるAPI HashingでWindows APIを解決します。（図5）\r\n図5 Thumtais Loaderのシェルコードに実装されるAPI Hashing\r\nマルウェア本体のThumtaisのコードは、LZNT1で圧縮された状態でシェルコードに埋め込まれています。このた\r\nめ、シェルコードは、図6に示すように、RtlDecompressBuffer APIを利用して、Thumtaisをメモリ領域上に展開\r\n後、当該ファイルのDLLEntryPointを呼び出し、実行します。\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 4 of 18\n\n図6 シェルコードによるRtlDecompressBufferを利用したThumtaisの展開\r\n展開されたThumtaisはDLLファイルですが、PEファイルヘッダのマジックナンバーがMZやPEといった文字列で\r\nはなく、\"FB FA\"や\"FD FC\"に変更されていました。（図7）\r\n図7 LZNT1によって展開されたThumtais\r\nThumtais\r\nThumtaisは、Microsoft Visual C/C++で書かれたダウンローダ型のマルウェアであり、C2サーバからダウンロード\r\nしたDLLファイルをメモリ上で実行する機能を有します。脅威分析チームでは、このマルウェアが実行時\r\nに\"thumtais2.dat\"ファイルを操作することから、Thumtaisと命名しています。（図8）\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 5 of 18\n\n図8 thumtais2.datファイル\r\n図9は、Thumtaisをコンパイルタイムスタンプの情報を基にタイムラインで時系列にまとめたものです。このマ\r\nルウェアは、2022年5月ごろから継続的に攻撃に悪用されていることが確認できます。\r\n以降では、2022年11月以降のThumtaisに追加された新たな機能や新旧の変更点を紹介します。なお、ここでは、\r\n2022年11月以降のThumtaisを新検体、それより前のものを旧検体とします。\r\n図9 Thumtaisのコンパイルタイムベースのタイムライン\r\nWindows Packet Divert（WinDivert）\r\n新しいThumtaisには、オープンソースで公開されるWinDivert※2が含まれていました。WinDivertは、Windows上\r\nでネットワークトラフィックを盗聴・操作することを可能にするツールであり、ユーザモードで動作するライブ\r\nラリ\"WinDivert.dll\"とカーネルドライバである\"WinDivert32.sys/WinDivert64.sys\"の2つのモジュールで構成されま\r\nす。\r\nThumtaisには、1つ目のライブラリとしてWinDivert バージョン2.2.1のソースコードをベースにカスタマイズされ\r\nたDLLファイルが含まれており、このDLLファイルはThumtaisによってメモリ領域上に展開され、動作します。\r\n（図10）\r\n※2 GitHub - basil00/Divert: WinDivert: Windows Packet Divert\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 6 of 18\n\n図10 Thumtaisに含まれるWinDivertライブラリ\r\n2つ目のカーネルドライバは、前述するDLLファイルに含まれており、図11に示すように、実行時に感染端末\r\nの\"%windir%¥Temp\"配下にドロップし、インストールされます。なお、インストールされるカーネルドライバ\r\nは、GitHubで公開されているWinDivert Version 2.2.0（WinDivert-2.2.0-C.zip）の\"WinDivert64.sys\"と同一のもので\r\nした。（図12）\r\n図11 DLLファイルに含まれるカーネルドライバ\r\n図12 カーネルドライバのハッシュ値の比較\r\nThumtaisは、このWinDivertを介して、図13に示す文字列を含むドメイン名のパケットをカーネルドライバで監\r\n視し、ユーザモードのDLLファイルで該当するDNSパケットの一部を0に書き換え、セキュリティ対策製品が利\r\n用する名前解決の通信を妨害します。書き換えの対象ドメイン名については、Appendixの書き換え対象ドメイン\r\n名を参照ください。\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 7 of 18\n\n図13 フィルタリングする文字列\r\nマルウェアの動作時間\r\nThumtaisには、GetLocalTime APIを利用した動作時間のチェック機能が実装されています。新検体では、旧検体\r\nとDayOfWeekの値が異なっていました。具体的には、新検体ではDayOfWeekが0-6（日曜日-土曜日）かつHourが\r\n0-23（00時から23時）の条件が設定されており、いずれの日時でも動作する設計です。（図14）\r\n図14 動作時間のチェック（上：新検体／下：旧検体）\r\n認証Proxy機能\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 8 of 18\n\nThumtaisは、Proxy経由でC2サーバへ通信する機能を有していますが、認証プロキシサーバからエラー（407\r\nProxy Authentication Required）応答があった場合の処理に新旧で違いがありました。新検体では認証プロキシに\r\n対応しており、図15に示すようなハードコードされたリクエストヘッダを利用して、C2サーバに通信をしま\r\nす。この通信では、User-Agentヘッダに\"My Service Enpoint 1.0\"が含まれているところが特徴的です。\r\n図15 認証プロキシ機能（上：新検体／下：旧検体）\r\n図16 認証Proxyに対応した通信を行う際のリクエストヘッダ例\r\n他にもThumtaisには、C2サーバからダウンロードしたファイルコンテンツに意図する文字列が含まれるか確認す\r\nる機能を有しています。この比較する際の文字列が旧検体では \"zaq1xsw2cde3\"でしたが、新検体では\r\n\"a123456\"または\"z123456\"と検体によって異なっている点もありました。\r\n攻撃者グループの考察\r\n次に、Thumtaisの通信先に目を向けると、マルウェアの種類やインフラなどの関連要素から\"TA428\"また\r\nは\"LuckyMouse\"と呼ばれる攻撃者グループによる犯行である可能性が見えてきました。\r\n図17は、ThumtaisがC2サーバとして利用する通信先を元に、Maltegoで関連する要素をマッピングしたもので\r\nす。通信先であるC2サーバのIPアドレスに紐づくドメイン名がPhantomNetと呼ばれるマルウェアのC2サーバと\r\nして利用されていました。この紐づくドメイン名にC2通信を行うマルウェアを解析すると、PhantomNetが持つ\r\n特徴的な文字列\"GetPluginInfomation\", \"GetRegisterCode\", \"GetPluginObject\", \"DeletePluginObject\"が検体内に含まれ\r\nていました。（図18）\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 9 of 18\n\n図17 Thumtaisと通信先の関連性\r\n図18 Thumtaisの通信先に紐づくドメイン名へ通信するマルウェアに含まれる文字列\r\nまた、このPhantomNetは、通信先の設定情報がRC4で暗号化されており、暗号キ\r\nー\"L!Q@W#E$R%T^Y\u0026U*A|}t~k\"で復号できます。（図19）\r\nこの暗号キーの文字列は、Albaniiutasマルウェアがデータをデコードする際に利用するものと同じであり、2つ\r\nのマルウェアは、同一の開発者によって作成された可能性が伺えます。\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 10 of 18\n\n図19 PhantomNetの通信先の設定情報\r\nその他、2022年5月で攻撃に悪用されたThumtaisは、利用されていたデコイファイルやインフラ、VirusTotalへの\r\nアップロード状況などを分析するとモンゴル政府関連の関係者を標的としたものであると推測でき、モンゴルを\r\n主な標的として狙う\"TA428\"と特徴が一致することもポイントとして挙げられそうです。\r\n攻撃痕跡の確認と検出\r\n今回紹介したThumtaisは、実行時にカーネルドライバをインストールするため、作成されるカーネルドライバの\r\n有無や、レジストリキーなどをチェックすることで、攻撃痕跡を調査することが可能です。以下にその痕跡を確\r\n認する方法を一例として紹介します。合わせてThumtaisを検出するための、Yaraルールも記載します。\r\nカーネルドライバの確認\r\nThumtaisは「c:¥windows¥temp¥」配下に「tmpA8B4f6.tmp」としてカーネルドライバを作成するため、当該ファ\r\nイルの有無を確認します。（図20）\r\n図20 カーネルドライバの作成\r\nAutoruns\r\nAutorunsを利用して、自動起動アプリケーションやレジストリ、ファイルを監査し、不審なプログラムが登録さ\r\nれていないか確認します。Thumtaisは、Windivertカーネルドライバをインストールするため、自動起動エントリ\r\nにWindivertが登録されます。また、実行ファイルのパスがSystemディレクトリ配下など正しい場所であるかを確\r\n認します。（図21）\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 11 of 18\n\n図21 Autoruns実行結果（Driversサービス登録の確認）\r\nYaraルール\r\n下記に示すようなYaraルールを利用することで、Thumtaisを検出することが可能です。なお、本検知ルールの利\r\n用により過検出が発生する可能性があるため、本番システムへ導入する場合は、事前にテスト、チューニングい\r\nただくことをお勧めします。\r\nrule Thumtais {\r\nmeta:\r\ndescription = \"Detects Thumtais malware\"\r\nauthor = \"LAC Co., Ltd.\"\r\nstrings:\r\n$str1 = \"mstoolFtip32W\" wide\r\n$str2 = \"thumtais2.dat\" wide\r\n$str3 = \"iconcache.mui\" wide\r\n$str4 = \"iconcache1.tts\" wide\r\n$str5 = \"yuijlkhrbgeagf\" ascii\r\ncondition:\r\n uint16(0) == 0x5A4D and (4 of ($str*))\r\n}\r\n \r\nThumtaisのYaraルール\r\nおわりに\r\n今回は、Thumtaisと背後に潜む攻撃者グループについて紹介しました。Thumtaisは、少なくとも2022年頃から機\r\n能をアップデートしながら攻撃に悪用されているマルウェアです。今後も、日本の組織を継続して攻撃してくる\r\n可能性も考えられますので、Thumtaisの活動を注視していく必要があると考えます。今回紹介したマルウェアの\r\n通信先やハッシュ値などについては、Appendixに記載していますので、対策にご活用いただければ幸いです。\r\nラックの脅威分析チームでは、今後もこの攻撃者グループおよび利用されたマルウェアについて、継続的に調査\r\nし、広く情報を提供していきます。\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 12 of 18\n\nAppendix\r\n書き換え対象ドメイン名\r\n表2は、Thumtaisに含まれるWindivertによりDNS応答が書き換えられ、名前解決が不可になるドメイン名です。\r\n文字列 文字列 想定されるドメイン名\r\n内\r\n容\r\naugur.scanners. augur.scanners.eset.systems\r\nESET社の機械学習関連のドメイ\r\nン名\r\nksn-file\r\nksn-file-geo.kaspersky-labs.comKaspersky社のKSN関連のドメイ\r\nン名\r\ncheckappexec.micr checkappexec.microsoft.com Microsoft社製品関連のドメイン名\r\nnetworkdevice.scanne 不明 不明\r\ndc1 不明 不明\r\nortex.dat 不明 不明\r\nksn-a\r\nksn-a-stat-geo.kaspersky-labs.comKaspersky社のKSN関連のドメイ\r\nン名\r\nalprotext1.m realprotect1.mcafee.com\r\nTrellix社のクラウドベーススキャ\r\nン関連のドメイン名\r\non.ccs.mcaf ccs.mcafee.com Trellix社関連のドメイン名\r\ncloud.gti.mc cloud.gti.mcafee.com\r\nTrellix社のレピュテーション関連\r\nのドメイン名\r\nprotect1.mca realprotect1.mcafee.com\r\nTrellix社のクラウドベーススキャ\r\nン関連のドメイン名\r\nadownload.mca sadownload.mcafee.com\r\nTrellix社のソフトウェアップデー\r\nト関連のドメイン名\r\n.c.eset c.eset.com\r\nESET社のLiveGrid関連のドメイ\r\nン名\r\nedf.eset. edf.eset.com\r\nESET社のアクティベーション関\r\n連のドメイン名\r\nts.eset. ts.eset.com\r\nESET社への情報送信関連のドメ\r\nイン名\r\ntscreen.micros\r\nsmartscreen-prod.microsoft.comMicrosoft Defender SmartScreen関\r\n連のドメイン名\r\nsn-verdi\r\nksn-verdict-geo.kaspersky-labs.comKaspersky社のKSN関連のドメイ\r\nン名\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 13 of 18\n\n文字列 文字列 想定されるドメイン名\r\n内\r\n容\r\nsn-url- ksn-url-geo.kaspersky-labs.com\r\nKaspersky社のKSN関連のドメイ\r\nン名\r\nsn-cinfo-ksn-cinfo-geo.kaspersky-labs.com\r\nKaspersky社のKSN関連のドメイ\r\nン名\r\ncrc.tren icrc.trendmicro.com\r\nTrend Micro社のスマートスキャ\r\nンサービス関連のドメイン名\r\nurl.tren url.trendmicro.com\r\nTrend Micro社のWebレピュテーシ\r\nョン関連のドメイン名\r\nensus.tren *-census.trendmicro.com\r\nTrend Micro社のソフトウェア安\r\n全評価関連のドメイン名\r\nrx.tren trx.trendmicro.com\r\nTrend Micro社の機械学習検索関\r\n連のドメイン名\r\ndev.drwe dev.drweb.com Dr.Web社製品関連のドメイン名\r\nf2.drw f2.drweb.com Dr.Web社製品関連のドメイン名\r\n表2 書き換え対象ドメイン名\r\nIOC（Indicator Of Compromised）\r\nIndicator Indicator Type Type Context\r\n8c9b5eca594f4d482f37b936dcdedfd8ea187e6f9361c11e2bcd2ab5625b5233 SHA256\r\nThumtais\r\nloader\r\nwith an\r\nembedded\r\nshellcode\r\ne4d8a4aa2c5c9283c3633a49ce3292b259b3a5c3466706657214c6fb4921808b SHA256\r\nThumtais\r\nloader\r\nwith an\r\nembedded\r\nshellcode\r\nb01e8dae90ae03fa5f7be5966766fabba06a5dff60682342a6e21fd6c4e8d82e SHA256\r\nThumtais\r\nloader\r\nwith an\r\nembedded\r\nshellcode\r\n1a9d3e5b7a58419ae23036caacfaaaf0e5d2de0e0074fe0322fcd8395d836947 SHA256 Thumtais\r\nloader\r\nwith an\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 14 of 18\n\nIndicator Indicator Type Type Context\r\nembedded\r\nshellcode\r\n74e7d0b47ea78f456f1ea1008b73dc3f16a7fbc8f81788215864764bfde9d367 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n499440d6786493664b1fb5ecc7c218e1420a6ec44ac6917d4cbcc6a15649d7b2 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n595d577cdbc24296898a3ab0f434edd6ea56e09f8f1bab5d11ddd968de982010 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n5df5b5cb0471d68abac9dcc7d96b2c090e747f051125214fa61bd0a20db5a2d9 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n9617a5e37b2f68bb14527c98676c0ea5585cbce82e718ce2ae106041b374fe10 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n1d0fd0d97b5753c0492332a1fd41607b473ed02852ce540487894a3ae9cacca8 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n2e72f9eea13d6ee6ff64d28b86cfa4801b5dd650990b15a76556839d9fcd8463 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n7b8284881993d3163ee64a8d400a160984304cdd213d28b4a2a9216a133405e3 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\nc733bc7c3f0511b378f8d6b6e719c28677caad4991427eff3e8374a1ca4bf8a9 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 15 of 18\n\nIndicator Indicator Type Type Context\r\nc42f5650f04fa413266e4597d64bd8a0c7da10668420d8ec179225b43ac74878 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n5693a0d76211c32f777bce0daaa2cb3733ec9312296b95e43fdab87e06cb17b4 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n1d78b4de1b283fd622633d45e5c82bf02e03727f390e4fcfdc87a5190a49b8ff SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\nd441eaed23ddfc8e0735175c438f55cc6e5de604aa20b2c0c7ef72f513c41d25 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n09325f01a5ab0fd811516d5204ba5f96c901b56c8e36196d074ccafe7745d733 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\nf20cc0f6aa7a12e5925c76cdcde850d2d860a755151109bbae38ed38569d37e8 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n85cc39359d942df10d3455a45b51ab6e5843f8b5b56b010a6578c8e9d27d8938 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n99a3bf0cdef86e3e5bfdaca1478bacffdcb3b4fe569f9002891ec7c141f20e24 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n65387e02258e5e7e31c3974fdafdb0b627d65b89b9e107d47b82d4507d9e42c0 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 16 of 18\n\nIndicator Indicator Type Type Context\r\n52adc3140cc1fcbef0092132051d9a6fa4eed33dff65e9aa24d604d08603c91e SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n506e85fd089280f4b50038588262d08949e9e83c9142ada445c71e3ee2acf45c SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\n35559bfc5c3266b3e01b9a8729c007eb2c56d50da7ae5315e6d55d176f1dd436 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\nab64999a4e523295ba54176d01799a2938b62917bf3288d6defe20634724feb1 SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\nb88ae29c829e2fb554369fd759b2de7512d49246680b8023aefa32846b1aac7c SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\na787707904f99cba013d37389c64ed8bb85c4b0bc58194dd592d99fe79067fcf SHA256\r\nThumtais\r\nloader\r\nwithout a\r\nshellcode\r\nce4dfda471f2d3fa4e000f9e3839c3d9fbf2d93ea7f89101161ce97faceadf9a SHA256\r\nThumtais\r\nshellcode\r\n6b9883db8b58b06601bb2fe390f81f2fb6916a7a30ff463b89faf3f3389eae85 SHA256\r\nThumtais\r\nshellcode\r\n185.167.116[.]30 IP\r\nC2 for\r\nThumtais\r\n210.1.226[.]238 IP\r\nC2 for\r\nThumtais\r\n217.197.161[.]85 IP\r\nC2 for\r\nThumtais\r\n185.82.219[.]204 IP\r\nC2 for\r\nThumtais\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 17 of 18\n\nSource: https://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nhttps://www.lac.co.jp/lacwatch/report/20240605_004019.html\r\nPage 18 of 18",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.lac.co.jp/lacwatch/report/20240605_004019.html"
	],
	"report_names": [
		"20240605_004019.html"
	],
	"threat_actors": [
		{
			"id": "2f07a03f-eb1f-47c8-a8e9-a1a00f2ec253",
			"created_at": "2022-10-25T16:07:24.277669Z",
			"updated_at": "2026-04-10T02:00:04.919609Z",
			"deleted_at": null,
			"main_name": "TA428",
			"aliases": [
				"Operation LagTime IT",
				"Operation StealthyTrident",
				"ThunderCats"
			],
			"source_name": "ETDA:TA428",
			"tools": [
				"8.t Dropper",
				"8.t RTF exploit builder",
				"8t_dropper",
				"Agent.dhwf",
				"Albaniiutas",
				"BlueTraveller",
				"Chymine",
				"Cotx RAT",
				"CoughingDown",
				"Darkmoon",
				"Destroy RAT",
				"DestroyRAT",
				"Gen:Trojan.Heur.PT",
				"Kaba",
				"Korplug",
				"LuckyBack",
				"PhantomNet",
				"PlugX",
				"Poison Ivy",
				"RedDelta",
				"RoyalRoad",
				"SManager",
				"SPIVY",
				"Sogu",
				"TIGERPLUG",
				"TManger",
				"TVT",
				"Thoper",
				"Xamtrav",
				"pivy",
				"poisonivy"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "e3492534-85a6-4c87-a754-5ae4a56d7c8c",
			"created_at": "2022-10-25T15:50:23.819113Z",
			"updated_at": "2026-04-10T02:00:05.354598Z",
			"deleted_at": null,
			"main_name": "Threat Group-3390",
			"aliases": [
				"Threat Group-3390",
				"Earth Smilodon",
				"TG-3390",
				"Emissary Panda",
				"BRONZE UNION",
				"APT27",
				"Iron Tiger",
				"LuckyMouse",
				"Linen Typhoon"
			],
			"source_name": "MITRE:Threat Group-3390",
			"tools": [
				"Systeminfo",
				"gsecdump",
				"PlugX",
				"ASPXSpy",
				"Cobalt Strike",
				"Mimikatz",
				"Impacket",
				"gh0st RAT",
				"certutil",
				"China Chopper",
				"HTTPBrowser",
				"Tasklist",
				"netstat",
				"SysUpdate",
				"HyperBro",
				"ZxShell",
				"RCSession",
				"ipconfig",
				"Clambling",
				"pwdump",
				"NBTscan",
				"Pandora",
				"Windows Credential Editor"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "20b5fa2f-2ef1-4e69-8275-25927a762f72",
			"created_at": "2025-08-07T02:03:24.573647Z",
			"updated_at": "2026-04-10T02:00:03.765721Z",
			"deleted_at": null,
			"main_name": "BRONZE DUDLEY",
			"aliases": [
				"TA428 ",
				"Temp.Hex ",
				"Vicious Panda "
			],
			"source_name": "Secureworks:BRONZE DUDLEY",
			"tools": [
				"NCCTrojan",
				"PhantomNet",
				"PoisonIvy",
				"Royal Road"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "a4aca3ca-9e04-42d1-b037-f7fb3fbab0b1",
			"created_at": "2023-01-06T13:46:39.042499Z",
			"updated_at": "2026-04-10T02:00:03.194713Z",
			"deleted_at": null,
			"main_name": "TA428",
			"aliases": [
				"BRONZE DUDLEY",
				"Colourful Panda"
			],
			"source_name": "MISPGALAXY:TA428",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "6957eadc-136d-4e6c-b158-4035175b2db4",
			"created_at": "2023-11-07T02:00:07.106754Z",
			"updated_at": "2026-04-10T02:00:03.410616Z",
			"deleted_at": null,
			"main_name": "REF5961",
			"aliases": [],
			"source_name": "MISPGALAXY:REF5961",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "5c13338b-eaed-429a-9437-f5015aa98276",
			"created_at": "2022-10-25T16:07:23.582715Z",
			"updated_at": "2026-04-10T02:00:04.675765Z",
			"deleted_at": null,
			"main_name": "Emissary Panda",
			"aliases": [
				"APT 27",
				"ATK 15",
				"Bronze Union",
				"Budworm",
				"Circle Typhoon",
				"Earth Smilodon",
				"Emissary Panda",
				"G0027",
				"Group 35",
				"Iron Taurus",
				"Iron Tiger",
				"Linen Typhoon",
				"LuckyMouse",
				"Operation DRBControl",
				"Operation Iron Tiger",
				"Operation PZChao",
				"Operation SpoiledLegacy",
				"Operation StealthyTrident",
				"Red Phoenix",
				"TEMP.Hippo",
				"TG-3390",
				"ZipToken"
			],
			"source_name": "ETDA:Emissary Panda",
			"tools": [
				"ASPXSpy",
				"ASPXTool",
				"Agent.dhwf",
				"AngryRebel",
				"Antak",
				"CHINACHOPPER",
				"China Chopper",
				"Destroy RAT",
				"DestroyRAT",
				"FOCUSFJORD",
				"Farfli",
				"Gh0st RAT",
				"Ghost RAT",
				"HTTPBrowser",
				"HTran",
				"HUC Packet Transmit Tool",
				"HighShell",
				"HttpBrowser RAT",
				"HttpDump",
				"HyperBro",
				"HyperSSL",
				"HyperShell",
				"Kaba",
				"Korplug",
				"LOLBAS",
				"LOLBins",
				"Living off the Land",
				"Mimikatz",
				"Moudour",
				"Mydoor",
				"Nishang",
				"OwaAuth",
				"PCRat",
				"PlugX",
				"ProcDump",
				"PsExec",
				"RedDelta",
				"SEASHARPEE",
				"Sensocode",
				"SinoChopper",
				"Sogu",
				"SysUpdate",
				"TIGERPLUG",
				"TVT",
				"Thoper",
				"Token Control",
				"TokenControl",
				"TwoFace",
				"WCE",
				"Windows Credential Editor",
				"Windows Credentials Editor",
				"Xamtrav",
				"ZXShell",
				"gsecdump",
				"luckyowa"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434464,
	"ts_updated_at": 1775792166,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/3565c7608ac712c0ecbee7ea10d0ef3e3f629764.pdf",
		"text": "https://archive.orkl.eu/3565c7608ac712c0ecbee7ea10d0ef3e3f629764.txt",
		"img": "https://archive.orkl.eu/3565c7608ac712c0ecbee7ea10d0ef3e3f629764.jpg"
	}
}