{ "id": "98b88e08-0f26-4abe-8f72-38635cc87445", "created_at": "2026-04-06T01:29:05.846528Z", "updated_at": "2026-04-10T13:12:34.309732Z", "deleted_at": null, "sha1_hash": "408ec4ab6cf8616eafa1731229c84a20339497b5", "title": "Чистый вред: PureRAT атакует российские организации", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 652433, "plain_text": "Чистый вред: PureRAT атакует российские организации\r\nBy AMR\r\nPublished: 2025-05-20 · Archived: 2026-04-06 00:41:51 UTC\r\nОписание вредоносного ПО\r\nОписание вредоносного ПО\r\n20 Май 2025\r\n 5 мин. на чтение\r\n AMR\r\nВ последнее время участились атаки на российские организации с использованием вредоносного ПО Pure. Это\r\nсемейство впервые обнаружено в середине 2022 года и распространяется по модели Malware-as-a-Service, то есть\r\nлюбой желающий может купить и использовать его по своему усмотрению. Кампания, нацеленная на российский\r\nбизнес, началась еще в марте 2023 года, однако в первой трети 2025 года число атак выросло в четыре раза по\r\nсравнению с аналогичным периодом 2024-го.\r\nhttps://securelist.ru/purerat-attacks-russian-organizations/112619/\r\nPage 1 of 7\n\nОсновной механизм распространения Pure в рамках этой кампании — спам с вредоносным вложением в виде RAR-архива или ссылкой на архив. При этом в именах файлов используются характерные шаблонные слова — в\r\nосновном это сокращения от названий документов, действий или ПО, связанных с бухгалтерской сферой. Чаще\r\nвсего мы встречали такие ключевые слова, как «doc», «akt», «акт», «sverka», «сверка», «buh», «oplata», «оплата» и\r\nдругие. Кроме того, злоумышленники используют двойное расширение .pdf.rar.\r\nВ таблице приведены примеры использованных имен.\r\ndoc_[redacted]_akt_05072024.pdf.rar doc_[redacted]_589633525_akt_sverki.pdf.rar\r\n[redacted]_akt_sverka_doc_87832202.pdf.rar akt_[redacted]_doc_0845322w.pdf.rar\r\nbuh_[redacted]_doc_22042025_pdf.rar doc_054_[redacted].pdf.rar\r\ndoc_[redacted]_953355456332266akt_pdf.rar doc_akt_oplata_[redacted].pdf.rar\r\nbuh_doc_[redacted]_18032025_pdf.rar doc_1_buh_[redacted]_akt.pdf.rar\r\nskrin_[redacted]_doc_akt02547124265.pdf.rar upd_doc_[redacted]_buh_15042025_pdf.rar\r\nСхема заражения\r\nМы решили разобрать один из свежих образцов Pure, замеченных в этой кампании. Как мы уже упоминали, атака\r\nначинается со спам-письма с архивом, внутри которого находится исполняемый файл, маскирующийся под PDF-документ. При запуске файл копирует себя в %AppData% под именем Task.exe, создает в папке Startup VBS-скрипт\r\nTask.vbs для автозапуска и извлекает из ресурсов исполняемый файл StilKrip.exe, к которому мы вернемся чуть\r\nпозже.\r\n1 CreateObject(\"WScript.Shell\").Run \"\"\"C:\\Users\\\u003cUserName\u003e\\AppData\\Roaming\\Task.exe\"\"\"\r\nСодержимое VBS-скрипта\r\nПосле этого троянец извлекает из ресурсов и расшифровывает еще один исполняемый файл, Ckcfb.exe, запускает\r\nсистемную утилиту InstallUtil.exe и внедряет в ее процесс расшифрованный модуль. Ckcfb.exe, в свою очередь,\r\nизвлекает из ресурсов и расшифровывает библиотеку Spydgozoi.dll, которая и содержит основной модуль бэкдора\r\nPureRAT.\r\nДля общения с командным сервером PureRAT устанавливает SSL-соединения и передает сообщения в формате\r\nprotobuf, упакованные в gzip. В них содержатся следующие данные: идентификатор зараженного устройства, имя\r\nустановленного антивирусного продукта, версия ОС, имя пользователя и компьютера, версия троянца, IP-адрес и\r\nпорт С2, путь до исполняемого модуля и время, прошедшее с момента старта системы.\r\nhttps://securelist.ru/purerat-attacks-russian-organizations/112619/\r\nPage 2 of 7\n\nПример сообщения, отправляемого на С2 в формате protobuf\r\nВ ответ от С2 приходит несколько сообщений, содержащих дополнительные модули (плагины) и конфигурацию к\r\nним. PureRAT может подгружать несколько десятков дополнительных модулей, но в текущей кампании мы\r\nполучили только три.\r\nPluginPcOption\r\nМодуль способен выполнять команды на самоудаление, перезапуск текущего исполняемого файла, а также\r\nвыключать или перезагружать компьютер при помощи следующих команд:\r\ncmd.exe /c shutDown /r /t 0\r\ncmd.exe /c shutDown /s /t 0\r\nPluginWindowNotify\r\nМодуль постоянно проверяет имя активного окна на наличие интересующих строк, которые получает в файле\r\nконфигурации. При обнаружении таких окон он делает скриншот. Полное имя окна, найденная в нем ключевая\r\nстрока и скриншот отправляются на С2.\r\nВ текущей компании плагин получил строку конфигурации, содержащую URL-адреса и названия ряда банков и\r\nфинансовых сервисов, а также такие ключевые слова, как «пароль», «пароли», «банк» и WhatsApp, разделенные\r\nсимволами «,,,».\r\nКод основной функции плагина\r\nПодобная функциональность может использоваться для своевременного оповещения оператора ботнета о том, что\r\nпользователь начал работать с финансовым сервисом. Получив такое оповещение, злоумышленник может\r\nподключиться к зараженному устройству в режиме удаленного стола, получить доступ к запущенному сервису и\r\nвывести средства или совершить другую вредоносную операцию.\r\nPluginClipper\r\nПлагин постоянно проверяет буфер обмена на наличие текста, похожего на адрес криптокошелька. Обнаружив\r\nподходящие данные, он подменяет содержимое буфера обмена и делает скриншот. Информация об оригинальном и\r\nподменном адресах вместе со скриншотом отправляется на С2.\r\nhttps://securelist.ru/purerat-attacks-russian-organizations/112619/\r\nPage 3 of 7\n\nСписок регулярных выражений, используемых плагином для определения кошельков\r\nВ таблице ниже представлен список кошельков для подмены, получаемых плагином:\r\nBTC bc1qu3zhzulgfcn3qnvsrr3r82y8hlgjuj4zefeznt\r\nLTC ltc1qt7fwfrqt0ggzvm6mv5rj4kwswf3zhgt48z9pv5\r\nETH 0xB06c94aF4DBBC16381FD0E2A6BCd70e9908D0c2e\r\nRVN REMaFNdouUdcbyYAqusDyCVV8Vr2U1LHYb\r\nXMR 0x5149e07e60049AB39A5D576c5f374326381995cC\r\nBCH qzul7x8h54lfmhavg07luhc9p0srf6kal5j5jypshm\r\nADA addr1qye33733egzw06vuqxwawz80maw0h6k5qmdmkse06ve8f0wr7dh2w6gwjkptpa0203m84xzt7690qcg5479nyhf460lqr4363d\r\nTRX TQpzZXsfsgGivEsPA5AuDF3KJBK7JXPwDD\r\nСтоит отметить, что в целевых атаках на бизнес подобная функциональность выглядит необычно. Вероятнее всего,\r\nэто плагин из стандартной комплектации бэкдора, который злоумышленники не стали удалять.\r\nНесмотря на то что в рамках текущего исследования нам удалось получить ограниченное количество плагинов\r\nPureRAT, полный набор позволяет злоумышленникам получить полный контроль над зараженной системой. В\r\nсостав троянца входят модули для скачивания и запуска произвольных файлов, которые предоставляют полный\r\nдоступ к файловой системе, реестру, процессам, камере и микрофону, реализуют функциональность кейлоггера, и\r\nдают злоумышленникам возможность скрытно управлять компьютером по принципу удаленного рабочего стола.\r\nPureLogs\r\nКак мы уже упоминали, в самом начале цепочки заражения исходный вредоносный файл извлекает из вложенных\r\nресурсов файл StilKrip.exe. Он сохраняет его во временную папку и запускает. Этот файл представляет собой\r\nпервый компонент PureCrypter — еще одного вредоносного семейства, созданного разработчиками PureRAT. В\r\nзадачи семейства входит скачивание полезной нагрузки, внедрение ее в нужный процесс или извлечение\r\nисполняемого файла на диск с последующим запуском, а также установка различных методов автозапуска и\r\nпроверка окружения на отладку или виртуальную среду.\r\nStilKrip.exe выкачивает файл Bghwwhmlr.wav, который является исполняемым, несмотря на расширение .wav в\r\nимени. Маскировка вредоносных компонентов под медиафайлы часто используется в PureRAT и другом ПО тех же\r\nразработчиков. Скачав файл, StilKrip.exe расшифровывает его и выполняет. При этом все действия он совершает в\r\nпамяти собственного процесса, и на диске ничего не создается.\r\nhttps://securelist.ru/purerat-attacks-russian-organizations/112619/\r\nPage 4 of 7\n\nСкачанный модуль является вторым компонентом PureCrypter, который копирует StilKrip.exe в папку %AppData%\r\nпод именем Action.exe и создает в папке Startup VBS-скрипт Action.vbs для автозапуска. После этого он запускает\r\nсистемную утилиту InstallUtil.exe, извлекает из своих ресурсов следующий (третий) компонент с внутренним\r\nименем Ttcxxewxtly.exe и внедряет его в запущенный процесс. Назначение третьего компонента предельно простое:\r\nизвлечь, расшифровать и распаковать из своих ресурсов финальную полезную нагрузку, запустить ее в памяти все\r\nтого же процесса InstallUtil.exe, а затем передать ей управление. В качестве полезной нагрузки выступает файл с\r\nвнутренним именем Bftvbho.dll, относящийся к семейству стилеров PureLogs.\r\nВнедренный в InstallUtil компонент PureLogs относится к базовому модулю — загрузчику — и для полноценной\r\nкражи данных скачивает с С2 основной модуль с внутренним именем ClassLibrary1.dll. Общение с С2 происходит по\r\nпротоколу, схожему с тем, что использует PureRAT: данные упаковываются в protobuf и сжимаются с помощью gzip.\r\nПри этом в коммуникации PureLogs отсутствует установка SSL-соединения. Вместо этого передаваемые данные\r\nшифруются по алгоритму 3DES.\r\nСхема заражения PureLogs\r\nПомимо стандартной функциональности по краже учетных данных и чувствительной информации из браузеров на\r\nоснове движков Chromium и Gecko, PureLogs также похищает информацию из:\r\nпочтовых клиентов Foxmail, Mailbird, Outlook, MailMaster;\r\nфайловых менеджеров FileZilla, WinSCP;\r\nприложений Steam, DownloadManager, OBS Studio, ngrok;\r\nмессенджеров Discord, Pidgin, Signal, Telegram;\r\nVPN-сервисов OpenVPN, Proton VPN.\r\nТакже PureLogs интересуется браузерными расширениями, относящимися в основном к криптокошелькам:\r\n1\r\nSafePal,Pontem Aptos Wallet,xverse.app,Rainbow,Elli-Sui Wallet,Opera Wallet,Petra Aptos\r\nWallet,Hashpack,zkPass TransGate,Blade-Hedera Web3 Digital Wallet,Leap Cosmos Wallet,Frontier\r\nWallet,Coinhub,Klever Wallet,Glass wallet-Sui wallet,MultiversX DeFi Wallet,Fewcha Move Wallet,Fluvi\r\nWallet,HAVAH Wallet,SubWallet - Polkadot Wallet,compass-wallet-for-sei,Rise - Aptos Wallet,Morphis\r\nWallet,BitPay,Venom Wallet,TronLink,BitApp Wallet,MetaMask,Trust Wallet,Braavos Smart Wallet,Yoroi,Binance\r\nChain Wallet,Jaxx Liberty,iWallet,BitClip,Terra Station,EQUAL Wallet,Wombat,Nifty Wallet,Math Wallet,Coin98\r\nWallet,TezBox,Cyano Wallet,BitKeep,Coinbase Wallet,Phantom,MOBOX WALLET,XDCPay,Solana\r\nWallet,Swash,Finnie,Keplr,Liquality Wallet,Rabet,Ronin Wallet,ZilPay,XDEFI Wallet,Waves\r\nKeeper,GreenAddress,Sollet,ICONex,MEW CX,NeoLine,KHC,Byone,OneKey,MetaWallet,Atomic\r\nWallet,Mycelium,BRD,Samourai Wallet,Bread,KeepKey,Ledger Live,Ledger Wallet,Bitbox,Digital Bitbox,Exodus\r\nWeb3,Guarda Wallet\r\nили менеджерам паролей:\r\n1\r\nKeeper Password Manager,Keeper,RoboForm,MultiPassword,1Password-fox,Dashlane,DualSafe Password\r\nManager,Trezor Password Manager,Authy,Authenticator,GAuth Authenticator,EOS\r\nAuthenticator,KeePassXC,Bitwarden,NordPass,LastPass,LastPass\r\nAuthenticator,BrowserPass,MYKI,Splikity,CommonKey,SAASPASS,Telos Authenticator,Zoho Vault,Norton\r\nPassword Manager,Avira Password Manager,Aegis Authenticator,KeePass,Duo Mobile,OTP\r\nAuth,FreeOTP,1Password\r\nhttps://securelist.ru/purerat-attacks-russian-organizations/112619/\r\nPage 5 of 7\n\nПомимо этого, PureLogs крадет данные приложений криптокошельков:\r\n1\r\nQtum,Dash,Litecoin,Bitcoin,Dogecoin,Coinomi,Armory,Bytecoin,MultiBit,Exodus,Ethereum,Electrum,ElectrumLTC,AtomicWallet,Guarda,Wallet\r\n(GLD),Binance,Terracoin,DaedalusMainnet,MyMonero,MyCrypto,Bisq,Zap,Simpleos,Neon,bitmonero,Etherwall\r\nНесмотря на то что PureLogs относится к семейству стилеров, он обладает функциональностью загрузчика, то есть\r\nпо команде с С2 способен выкачивать по переданному URL файл и запускать его. Также он может собирать по\r\nпереданным путям файлы и отправлять их на С2. В контексте атак на организации эта функциональность может\r\nбыть опаснее, чем кража данных браузерных расширений и пользовательских приложений.\r\nПример команды от С2 в формате protobuf на скачивание файла и отправку файлов из каталогов\r\nЗаключение\r\nНесмотря на то что злоумышленники используют известное вредоносное ПО в стандартной комплектации,\r\nописанная кампания продолжается с марта 2023 года по настоящее время и, вероятнее всего, не прекратится в\r\nближайшем будущем. При этом бэкдор PureRAT и стилер PureLogs обладают широкой функциональностью,\r\nпозволяющей атакующим получить неограниченный доступ к зараженным системам и конфиденциальным данным\r\nорганизации.\r\nОсновным вектором атак на бизнес были и остаются электронные письма с вредоносными вложениями или\r\nссылками. Злоумышленники рассчитывают на неосторожные действия сотрудников, поэтому, чтобы защититься от\r\nподобных атак, организациям в первую очередь следует поддерживать осведомленность персонала о безопасности,\r\nв том числе о безопасной работе с почтой, на высоком уровне. Автоматизировать защиту от подобного рода атак\r\nможно с помощью решений, включающих антиспам- и антифишинг-компоненты.\r\nIoC\r\n9B1A9392C38CAE5DA80FE8AE45D89A67                        doc_15042025_1c_akt_pdf.scr\r\nDD2C1E82C5656FCB67AB8CA95B81A323                        StilKrip.exe\r\n195.26.227.209:56001                                               PureRAT C2\r\n195.26.227.209:23075                                               PureLogs C2\r\nhttps[:]//apstori[.]ru/panel/uploads/Bghwwhmlr.wav  PureCrypter Payload URL\r\nhttps://securelist.ru/purerat-attacks-russian-organizations/112619/\r\nPage 6 of 7\n\nОтчеты\r\nРазбираем новую кампанию Librarian Likho с массовой рассылкой фишинговых писем и обновленными скриптами.\r\nАтаки продолжаются на момент публикации.\r\nРазбираем обновленный бэкдор CoolClient, а также новые инструменты и скрипты, замеченные в кампаниях APT-группы HoneyMyte (aka Mustang Panda и Bronze President), включая три браузерных стилеров.\r\nЭксперт «Лаборатории Касперского» описывает новые вредоносные инструменты, применяемые APT-группой\r\nCloud Atlas, включая импланты бэкдоров VBShower, VBCloud, PowerShower и CloudAtlas.\r\nЭксперты GReAT «Лаборатории Касперского» обнаружили новую волну кибератак APT-группы «Форумный\r\nтролль», нацеленную на российских ученых-политологов, доставляющую на устройства фреймворк Tuoni.\r\nSource: https://securelist.ru/purerat-attacks-russian-organizations/112619/\r\nhttps://securelist.ru/purerat-attacks-russian-organizations/112619/\r\nPage 7 of 7", "extraction_quality": 1, "language": "RU", "sources": [ "Malpedia" ], "origins": [ "web" ], "references": [ "https://securelist.ru/purerat-attacks-russian-organizations/112619/" ], "report_names": [ "112619" ], "threat_actors": [ { "id": "77b28afd-8187-4917-a453-1d5a279cb5e4", "created_at": "2022-10-25T15:50:23.768278Z", "updated_at": "2026-04-10T02:00:05.266635Z", "deleted_at": null, "main_name": "Inception", "aliases": [ "Inception Framework", "Cloud Atlas" ], "source_name": "MITRE:Inception", "tools": [ "PowerShower", "VBShower", "LaZagne" ], "source_id": "MITRE", "reports": null }, { "id": "9f101d9c-05ea-48b9-b6f1-168cd6d06d12", "created_at": "2023-01-06T13:46:39.396409Z", "updated_at": "2026-04-10T02:00:03.312816Z", "deleted_at": null, "main_name": "Earth Lusca", "aliases": [ "CHROMIUM", "ControlX", "TAG-22", "BRONZE UNIVERSITY", "AQUATIC PANDA", "RedHotel", "Charcoal Typhoon", "Red Scylla", "Red Dev 10", "BountyGlad" ], "source_name": "MISPGALAXY:Earth Lusca", "tools": [ "RouterGod", "SprySOCKS", "ShadowPad", "POISONPLUG", "Barlaiy", "Spyder", "FunnySwitch" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "04a7ebaa-ebb1-4971-b513-a0c86886d932", "created_at": "2023-01-06T13:46:38.784965Z", "updated_at": "2026-04-10T02:00:03.099088Z", "deleted_at": null, "main_name": "Inception Framework", "aliases": [ "Clean Ursa", "Cloud Atlas", "G0100", "ATK116", "Blue Odin" ], "source_name": "MISPGALAXY:Inception Framework", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "b69037ec-2605-4de4-bb32-a20d780a8406", "created_at": "2023-01-06T13:46:38.790766Z", "updated_at": "2026-04-10T02:00:03.101635Z", "deleted_at": null, "main_name": "MUSTANG PANDA", "aliases": [ "Stately Taurus", "LuminousMoth", "TANTALUM", "Twill Typhoon", "TEMP.HEX", "Earth Preta", "Polaris", "BRONZE PRESIDENT", "HoneyMyte", "Red Lich", "TA416" ], "source_name": "MISPGALAXY:MUSTANG PANDA", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "8941e146-3e7f-4b4e-9b66-c2da052ee6df", "created_at": "2023-01-06T13:46:38.402513Z", "updated_at": "2026-04-10T02:00:02.959797Z", "deleted_at": null, "main_name": "Sandworm", "aliases": [ "IRIDIUM", "Blue Echidna", "VOODOO BEAR", "FROZENBARENTS", "UAC-0113", "Seashell Blizzard", "UAC-0082", "APT44", "Quedagh", "TEMP.Noble", "IRON VIKING", "G0034", "ELECTRUM", "TeleBots" ], "source_name": "MISPGALAXY:Sandworm", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "3a0be4ff-9074-4efd-98e4-47c6a62b14ad", "created_at": "2022-10-25T16:07:23.590051Z", "updated_at": "2026-04-10T02:00:04.679488Z", "deleted_at": null, "main_name": "Energetic Bear", "aliases": [ "ATK 6", "Blue Kraken", "Crouching Yeti", "Dragonfly", "Electrum", "Energetic Bear", "G0035", "Ghost Blizzard", "Group 24", "ITG15", "Iron Liberty", "Koala Team", "TG-4192" ], "source_name": "ETDA:Energetic Bear", "tools": [ "Backdoor.Oldrea", "CRASHOVERRIDE", "Commix", "CrackMapExec", "CrashOverride", "Dirsearch", "Dorshel", "Fertger", "Fuerboos", "Goodor", "Havex", "Havex RAT", "Hello EK", "Heriplor", "Impacket", "Industroyer", "Karagany", "Karagny", "LightsOut 2.0", "LightsOut EK", "Listrix", "Oldrea", "PEACEPIPE", "PHPMailer", "PsExec", "SMBTrap", "Subbrute", "Sublist3r", "Sysmain", "Trojan.Karagany", "WSO", "Webshell by Orb", "Win32/Industroyer", "Wpscan", "nmap", "sqlmap", "xFrost" ], "source_id": "ETDA", "reports": null }, { "id": "a66438a8-ebf6-4397-9ad5-ed07f93330aa", "created_at": "2022-10-25T16:47:55.919702Z", "updated_at": "2026-04-10T02:00:03.618194Z", "deleted_at": null, "main_name": "IRON VIKING", "aliases": [ "APT44 ", "ATK14 ", "BlackEnergy Group", "Blue Echidna ", "CTG-7263 ", "ELECTRUM ", "FROZENBARENTS ", "Hades/OlympicDestroyer ", "IRIDIUM ", "Qudedagh ", "Sandworm Team ", "Seashell Blizzard ", "TEMP.Noble ", "Telebots ", "Voodoo Bear " ], "source_name": "Secureworks:IRON VIKING", "tools": [ "BadRabbit", "BlackEnergy", "GCat", "NotPetya", "PSCrypt", "TeleBot", "TeleDoor", "xData" ], "source_id": "Secureworks", "reports": null }, { "id": "6daadf00-952c-408a-89be-aa490d891743", "created_at": "2025-08-07T02:03:24.654882Z", "updated_at": "2026-04-10T02:00:03.645565Z", "deleted_at": null, "main_name": "BRONZE PRESIDENT", "aliases": [ "Earth Preta ", "HoneyMyte ", "Mustang Panda ", "Red Delta ", "Red Lich ", "Stately Taurus ", "TA416 ", "Temp.Hex ", "Twill Typhoon " ], "source_name": "Secureworks:BRONZE PRESIDENT", "tools": [ "BlueShell", "China Chopper", "Claimloader", "Cobalt Strike", "HIUPAN", "ORat", "PTSOCKET", "PUBLOAD", "PlugX", "RCSession", "TONESHELL", "TinyNote" ], "source_id": "Secureworks", "reports": null }, { "id": "18a7b52d-a1cd-43a3-8982-7324e3e676b7", "created_at": "2025-08-07T02:03:24.688416Z", "updated_at": "2026-04-10T02:00:03.734754Z", "deleted_at": null, "main_name": "BRONZE UNIVERSITY", "aliases": [ "Aquatic Panda", "Aquatic Panda ", "CHROMIUM", "CHROMIUM ", "Charcoal Typhoon", "Charcoal Typhoon ", "Earth Lusca", "Earth Lusca ", "FISHMONGER ", "Red Dev 10", "Red Dev 10 ", "Red Scylla", "Red Scylla ", "RedHotel", "RedHotel ", "Tag-22", "Tag-22 " ], "source_name": "Secureworks:BRONZE UNIVERSITY", "tools": [ "Cobalt Strike", "Fishmaster", "FunnySwitch", "Spyder", "njRAT" ], "source_id": "Secureworks", "reports": null }, { "id": "9baa7519-772a-4862-b412-6f0463691b89", "created_at": "2022-10-25T15:50:23.354429Z", "updated_at": "2026-04-10T02:00:05.310361Z", "deleted_at": null, "main_name": "Mustang Panda", "aliases": [ "Mustang Panda", "TA416", "RedDelta", "BRONZE PRESIDENT", "STATELY TAURUS", "FIREANT", "CAMARO DRAGON", "EARTH PRETA", "HIVE0154", "TWILL TYPHOON", "TANTALUM", "LUMINOUS MOTH", "UNC6384", "TEMP.Hex", "Red Lich" ], "source_name": "MITRE:Mustang Panda", "tools": [ "CANONSTAGER", "STATICPLUGIN", "ShadowPad", "TONESHELL", "Cobalt Strike", "HIUPAN", "Impacket", "SplatCloak", "PAKLOG", "Wevtutil", "AdFind", "CLAIMLOADER", "Mimikatz", "PUBLOAD", "StarProxy", "CorKLOG", "RCSession", "NBTscan", "PoisonIvy", "SplatDropper", "China Chopper", "PlugX" ], "source_id": "MITRE", "reports": null }, { "id": "6abcc917-035c-4e9b-a53f-eaee636749c3", "created_at": "2022-10-25T16:07:23.565337Z", "updated_at": "2026-04-10T02:00:04.668393Z", "deleted_at": null, "main_name": "Earth Lusca", "aliases": [ "Bronze University", "Charcoal Typhoon", "Chromium", "G1006", "Red Dev 10", "Red Scylla" ], "source_name": "ETDA:Earth Lusca", "tools": [ "Agentemis", "AntSword", "BIOPASS", "BIOPASS RAT", "BadPotato", "Behinder", "BleDoor", "Cobalt Strike", "CobaltStrike", "Doraemon", "FRP", "Fast Reverse Proxy", "FunnySwitch", "HUC Port Banner Scanner", "KTLVdoor", "Mimikatz", "NBTscan", "POISONPLUG.SHADOW", "PipeMon", "RbDoor", "RibDoor", "RouterGod", "SAMRID", "ShadowPad Winnti", "SprySOCKS", "WinRAR", "Winnti", "XShellGhost", "cobeacon", "fscan", "lcx", "nbtscan" ], "source_id": "ETDA", "reports": null }, { "id": "02c9f3f6-5d10-456b-9e63-750286048149", "created_at": "2022-10-25T16:07:23.722884Z", "updated_at": "2026-04-10T02:00:04.72726Z", "deleted_at": null, "main_name": "Inception Framework", "aliases": [ "ATK 116", "Blue Odin", "Clean Ursa", "Cloud Atlas", "G0100", "Inception Framework", "Operation Cloud Atlas", "Operation RedOctober", "The Rocra" ], "source_name": "ETDA:Inception Framework", "tools": [ "Lastacloud", "PowerShower", "VBShower" ], "source_id": "ETDA", "reports": null }, { "id": "2ee03999-5432-4a65-a850-c543b4fefc3d", "created_at": "2022-10-25T16:07:23.882813Z", "updated_at": "2026-04-10T02:00:04.776949Z", "deleted_at": null, "main_name": "Mustang Panda", "aliases": [ "Bronze President", "Camaro Dragon", "Earth Preta", "G0129", "Hive0154", "HoneyMyte", "Mustang Panda", "Operation SMUGX", "Operation SmugX", "PKPLUG", "Red Lich", "Stately Taurus", "TEMP.Hex", "Twill Typhoon" ], "source_name": "ETDA:Mustang Panda", "tools": [ "9002 RAT", "AdFind", "Agent.dhwf", "Agentemis", "CHINACHOPPER", "China Chopper", "Chymine", "ClaimLoader", "Cobalt Strike", "CobaltStrike", "DCSync", "DOPLUGS", "Darkmoon", "Destroy RAT", "DestroyRAT", "Farseer", "Gen:Trojan.Heur.PT", "HOMEUNIX", "Hdump", "HenBox", "HidraQ", "Hodur", "Homux", "HopperTick", "Hydraq", "Impacket", "Kaba", "Korplug", "LadonGo", "MQsTTang", "McRAT", "MdmBot", "Mimikatz", "NBTscan", "NetSess", "Netview", "Orat", "POISONPLUG.SHADOW", "PUBLOAD", "PVE Find AD Users", "PlugX", "Poison Ivy", "PowerView", "QMAGENT", "RCSession", "RedDelta", "Roarur", "SPIVY", "ShadowPad Winnti", "SinoChopper", "Sogu", "TIGERPLUG", "TONEINS", "TONESHELL", "TVT", "TeamViewer", "Thoper", "TinyNote", "WispRider", "WmiExec", "XShellGhost", "Xamtrav", "Zupdax", "cobeacon", "nbtscan", "nmap", "pivy", "poisonivy" ], "source_id": "ETDA", "reports": null }, { "id": "d53593c3-2819-4af3-bf16-0c39edc64920", "created_at": "2022-10-27T08:27:13.212301Z", "updated_at": "2026-04-10T02:00:05.272802Z", "deleted_at": null, "main_name": "Earth Lusca", "aliases": [ "Earth Lusca", "TAG-22", "Charcoal Typhoon", "CHROMIUM", "ControlX" ], "source_name": "MITRE:Earth Lusca", "tools": [ "Mimikatz", "PowerSploit", "Tasklist", "certutil", "Cobalt Strike", "Winnti for Linux", "Nltest", "NBTscan", "ShadowPad" ], "source_id": "MITRE", "reports": null }, { "id": "b3e954e8-8bbb-46f3-84de-d6f12dc7e1a6", "created_at": "2022-10-25T15:50:23.339976Z", "updated_at": "2026-04-10T02:00:05.27483Z", "deleted_at": null, "main_name": "Sandworm Team", "aliases": [ "Sandworm Team", "ELECTRUM", "Telebots", "IRON VIKING", "BlackEnergy (Group)", "Quedagh", "Voodoo Bear", "IRIDIUM", "Seashell Blizzard", "FROZENBARENTS", "APT44" ], "source_name": "MITRE:Sandworm Team", "tools": [ "Bad Rabbit", "Mimikatz", "Exaramel for Linux", "Exaramel for Windows", "GreyEnergy", "PsExec", "Prestige", "P.A.S. Webshell", "AcidPour", "VPNFilter", "Neo-reGeorg", "Cyclops Blink", "SDelete", "Kapeka", "AcidRain", "Industroyer", "Industroyer2", "BlackEnergy", "Cobalt Strike", "NotPetya", "KillDisk", "PoshC2", "Impacket", "Invoke-PSImage", "Olympic Destroyer" ], "source_id": "MITRE", "reports": null } ], "ts_created_at": 1775438945, "ts_updated_at": 1775826754, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/408ec4ab6cf8616eafa1731229c84a20339497b5.pdf", "text": "https://archive.orkl.eu/408ec4ab6cf8616eafa1731229c84a20339497b5.txt", "img": "https://archive.orkl.eu/408ec4ab6cf8616eafa1731229c84a20339497b5.jpg" } }