{
	"id": "a2060a93-21a8-4ab3-9325-6c3bce2ba03e",
	"created_at": "2026-04-06T01:29:47.504955Z",
	"updated_at": "2026-04-10T03:34:23.508694Z",
	"deleted_at": null,
	"sha1_hash": "47f9a3fc3f7c1f9e0e851b71627c13e12cf74915",
	"title": "DarkCasino行动：APT组织Evilnum近期攻击事件深入分析 – 绿盟科技技术博客",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2073878,
	"plain_text": "DarkCasino行动：APT组织Evilnum近期攻击事件深入分析 – 绿盟科技\r\n技术博客\r\nBy Meet The Author\r\nPublished: 2022-05-31 · Archived: 2026-04-06 00:06:42 UTC\r\n阅读： 6,701\r\n一、概述\r\n近期，绿盟科技伏影实验室捕获了一系列针对欧洲国家的网络钓鱼活动。这些活动主要针对线上赌博平台，目标为\r\n通过攻击此类服务背后的活跃的线上交易行为，窃取服务商和消费者的交易凭据，进而获取非法收益。\r\n通过深入分析，伏影实验室确定该系列活动是APT组织Evilnum近期攻击活动（https://blog.nsfocus.net/agentvxapt-evilnum/）的延续。与既往活动相比，Evilnum攻击者在本次行动中继承了其代表性的攻击手法，但使用了更多样的\r\n攻击流程与复杂的攻击组件，并启用了两种新型木马程序DarkMe与PikoloRAT，展现了其较高的工具开发能力、流\r\n程设计能力与丰富的攻防对抗经验。同时，因为不同攻击流程的设计思路与具体实现存在明显差异，伏影实验室认\r\n为有多个攻击者同时参与了此次行动。\r\n通过提取攻击目标与主要木马程序的关键词并组合，伏影实验室将Evilnum的该起行动命名为DarkCasino。该起行\r\n动表明Evilnum仍然以在线交易平台为主要目标，能够迅速发现网络犯罪机会并执行攻击。\r\n截至报告发布时，该DarkCasino行动仍在持续。\r\n二、组织信息\r\nEvilnum是一个在2018年被发现的APT组织，活跃于英国和欧盟国家，主要攻击目标为金融科技公司，目的为通过\r\n窃取交易凭证盗取公司或个人账户资金。组织名称Evilnum来自同名的木马程序，亦被卡巴斯基称为DeathStalker。\r\nEvilnum的代表性攻击手段是将恶意程序伪装成客户的身份证明文件，欺骗金融公司的工作人员运行这些程序，进\r\n而通过植入间谍木马获得受害者主机上的高价值信息。\r\nEvilnum有较强的开发能力，能够设计复杂的攻击流程和攻击组件。绿盟科技伏影实验室曾捕获和披露该组织具有\r\n高完成度的攻击流程和一款stub型木马AgentVX。\r\n三、影响面分析\r\n分析发现，Evilnum本次行动的受害者主要分布于地中海区域的欧洲国家以及加拿大、新加坡、菲律宾等相关国\r\n家，其直接攻击目标包括线上赌场平台、使用此类平台的各国消费者以及与平台线上交易行为有关的其他人员。\r\n已发现的攻击流程中，Evilnum使用以下字符串作为诱饵文件名：\r\n诱饵文件名\r\noffer deal visa 2022.lnk\r\noffer crypto casino.scr\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 1 of 17\n\nScatters Casino offers Daily Promotions.pif\r\nnew casino crypto.com\r\nPromo CPL CPA Traffic.com\r\nPayRedeemUpdateIntegration19052022.scr\r\nDOCUMENTATION AGREEMENTS S CONSULTING INTEGRATION.pif\r\n上述内容中的Scatters Casino是一家由马耳他公司Gammix Limited运营的线上赌场，这些诱饵文件一边尝试将自身\r\n伪装为线上交易证明或广告投放服务促销文件以攻击scatters的运营人员，一方面也尝试伪装为scatters促销广告来攻\r\n击scatters的用户，从而使Evilnum攻击者能够获取这些目标的主机上保存的交易凭证或相关信息。\r\n对各式诱饵文档的来源进行统计，伏影实验室发现本次DarkCasino活动的受害者广泛分布于马耳他、波兰、塞浦路\r\n斯、亚美尼亚、西班牙、瑞士、法国、爱尔兰等欧洲国家，以及加拿大、以色列甚至新加坡、菲律宾等非欧洲国\r\n家：\r\n图3.1 DarkCasino行动受害者分布情况\r\n可以发现受害者地理位置以马耳他为核心，辐射至多个可能使用scatters网站服务的国家。\r\nscatters的线上赌场平台成立于2019年，扩张十分迅速。目前，scatters网站声称其线上赌场服务拥有价值2.3亿欧元\r\n的奖池，这可能是Evilnum本次行动将其作为目标的主要原因。\r\n此外，一些信息表明，DarkCasino行动有可能是一场规模更大且更持久的网络攻击活动的一部分。IoC关联线索显\r\n示，Evilnum的部分资产可以关联至一场从2021年下半年开始延续至2022年年初的，针对加密货币相关交易平台和\r\n用户的网络攻击活动。在这场活动中，攻击者主要投递了大量带有签名的ParallaxRAT和NetWire木马，用于窃取目\r\n标主机信息，其主要影响目标主要集中在欧洲国家。虽然攻击者在该活动中使用的诱饵形式及网络资源与\r\nDarkCasino行动存在一定程度的关联，但伏影实验室尚未获取直接证据证明该活动同样是Evilnum所为，该攻击者\r\n可能是以合作的形式借用Evilnum资产并加入其行动中。\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 2 of 17\n\n四、攻击流程分析\r\n本次行动中，Evilnum组织攻击者主要创建了三类不同的攻击流程。三类流程以不同类型的诱饵文件为起始，通过\r\n访问公有资源或失陷站点获取隐写图片，提取其中的DarkMe木马载荷内容后用不同的方式加载执行。\r\n4.1 攻击流程A\r\n这是Evilnum攻击者最早实现的一类攻击流程，同时也是组件复杂度最高的流程。关键组件的最早发现日期为5月2\r\n日。\r\n研究不同的组件时发现，该攻击流程包含两种变型，分别为创建时间为4月28日的，从网络位置获取内容的流程\r\nA1；以及创建时间为5月1日的，不需要联网下载内容的流程A2。两种变型的实际执行过程相似。\r\n图4.1 DarkCasino攻击流程A\r\n图为流程A1的图示。该流程与伏影实验室稍早披露的Evilnum组织AgentVX攻击活动\r\n（https://blog.nsfocus.net/agentvxapt-evilnum/）非常类似，由InstallShield安装程序、侧加载程序、加密\r\nShellcodeLoader、隐写图片以及DarkMe木马程序构成。\r\n伪装成PIF文件的InstallShield程序启动后，会执行安装程序的一般流程，在系统%TEMP%目录下释放内置的文件并\r\n运行其中的合法程序python.exe。\r\npython.exe启动后会以侧加载的形式运行携带恶意代码的python39.dll程序，从而启动其中的一段shellcode。\r\npython39.dl中恶意shellcode的功能为读取同目录下的time.wav文件并解密提取其中的下一阶段shellcode代码，随后\r\n启动cmd.exe傀儡进程并将下一阶段shellcode分段注入其中，并将从time.ini中读取的一段url地址字符串作为\r\nshellcode的启动参数写入cmd.exe傀儡进程中。\r\ncmd.exe傀儡进程中的shellcode会从上述url地址获取一张隐写图片，并通过内置的图像处理模块从图像中提取第三\r\n阶段的shellcode并运行。\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 3 of 17\n\n第三阶段的shellcode会尝试将内置的DarkMe木马注入至另一cmd.exe傀儡进程中运行。该DarkMe木马通信CnC为\r\ncspapop110.com。\r\n4.2 攻击流程B\r\n这是最早在5月9日观测到的一类攻击流程，相关文件显示流程的构建时间为5月3日。\r\n图4.2 DarkCasino攻击流程B\r\n上图为流程B的图示。该过程中，攻击者沿袭了组织的一贯思路，通过投递带有恶意mshta指令的快捷方式诱饵文\r\n件，访问受控wordpress站点获取后续的指令代码并运行。\r\n本流程的关键阶段在于通过访问第二阶段站点获取的三个文件P.exe, PI.txt与IMG.jpg。被P.exe加载后，主要loader木\r\n马PI.txt会提取IMG.jpg中隐藏的可执行文件ShellRunDllVb.dll，并通过创建名为Register.reg的注册表文件将该dll文\r\n件注册为系统组件{A762B0C7-5244-4B3E-ADED-D549E9CEA39E}。loader木马最终通过rundll32 /sta命令执行该组\r\n件。\r\n上述操作最终执行的是名为DarkMe的间谍木马程序，通信CnC为cspapop110.com。\r\n4.3 攻击流程C\r\nEvilnum攻击者在5月19日补充了一种更精简的流程。\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 4 of 17\n\n图4.3 DarkCasino攻击流程C\r\n上图为流程C的图示。该流程通过伪装成scr文件的loader木马发起。木马通过直接访问内置的url链接获取一张隐写\r\n图像，随后提取其中的ShellRunDllVb.dll文件并加载执行。该dll文件同样是DarkMe木马，通信CnC为\r\nkalpoipolpmi.net。\r\n五、组件分析\r\n本次行动中，Evilnum主要使用了一种自制的新型木马程序。伏影实验室通过木马程序中的特殊字符串将其命名为\r\nDarkMe。\r\n此外，伏影实验室在进行关联分析时发现了另一种与Evilnum本次行动有紧密联系的新型木马程序，并通过其中特\r\n殊字符串将其命名为PikoloRAT。\r\n5.1 DarkMe\r\nDarkMe是一种VisualBasic间谍木马，由Evilnum攻击者开发并运用在各类攻击流程中。DarkMe的初始版本出现在\r\n2021年9月25日，至今已迭代出5个版本。\r\nDarkMe的通信能力通过一种公开的WinSock32模块（http://leandroascierto.com/blog/winsock32/）实现。该模块通过\r\n创建名为SOCKET_WINDOW的窗口，以窗口信息的方式与服务端进行套接字通信。\r\nDarkMe木马在该模块的基础上陆续添加了大量功能代码，使其从下载者木马逐渐演变成具有间谍软件能力的stub类\r\n型木马。\r\n5.1.1 功能\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 5 of 17\n\n由于不同版本DarkMe的功能代码不同，此处以本次行动中出现的V5版本木马程序（ShellRunDllVb.dll）进行说\r\n明。\r\n该木马在运行后首先会采集宿主机信息并发送至CnC。V4版本收集的信息包括宿主机所在地理位置缩写、所在国\r\n家全称、计算机名、用户名、反病毒软件列表、木马标记以及前台窗口标题，这些信息使用固定分隔符0x3F分\r\n隔，并在前部添加固定字符串”92″，形成上线信息并发送至CnC端。\r\n图5.1 DarkMe上线流量\r\nDarkMe实现了多个模块，以支持各类间谍功能。其中一个主要模块名为clsfile，用于实现在CnC控制下的文件操\r\n作。CnC控制指令由通信内容的前6字节给出，各指令对应操作如下表：\r\n指令 功能\r\n300100 获取磁盘分卷信息\r\nSTRFLS 遍历指定目录获取目录结构\r\nSTRFL2 遍历指定目录获取目录结构，支持大型目录\r\nSHLEXE 执行cmd命令\r\nRNMFIL 重命名指定文件\r\nDELDEL 删除指定文件\r\nDIRMAP 创建指定目录\r\nDELMAP 删除指定目录\r\nSEITUS 写入指定文件\r\nSEITUD 读取指定文件\r\nZIPALO 写入压缩文件\r\nFRIKAT 写入注册表启动项\r\nCOPALO 复制指定文件\r\nPASALO 粘贴指定文件\r\n表5.1 DarkMe指令对照表\r\n此外，DarkMe还融合了一套公开代码（https://forums.codeguru.com/showthread.php?15579-Save-Screen-Capture-output-to-a-file），实现了屏幕截图功能。\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 6 of 17\n\n图5.2 DarkMe截图功能（右）与公开实现（左）\r\nDarkMe的其他功能还包括持久化、自更新，以及部分版本中出现的键盘记录。\r\n5.1.2 版本\r\n通过挖掘在野样本，伏影实验室发现DarkMe木马已有半年以上的发展历史，并产生多个版本。该木马的版本迭代\r\n时间线如下：\r\n图5.3 DarkMe版本迭代过程\r\n可以看到，在其生命周期内，DarkMe木马的定位发生了变化，从直接投放的loader型木马程序发展为间谍木马程\r\n序，进而发展为融入复杂攻击流程中的stub载荷。代码功能完善的V4与V5版本DarkMe木马既可以作为基本的窃密\r\n工具使用，也可以作为其他工具的装载器使用，因此被Evilnum攻击者广泛应用于近期攻击行动中。\r\n5.2 PikoloRAT\r\n通过对本次活动的关联信息进行深入挖掘，伏影实验室发现了另一种新型远程控制木马PikoloRAT。该木马带有典\r\n型的远程控制功能，并可以使用内置组件开展更复杂的控制操作。\r\n由于已发现的PikoloRAT木马内置CnC地址与本次Evilnum行动中使用的地址重合，并且其功能可以与上述DarkMe\r\n木马形成互补，因此伏影实验室判断，PikoloRAT是由Evilnum攻击者在入侵后期阶段使用的扩展组件。\r\n已发现的案例中，PikoloRAT通过一种下载者木马投放，或包装为压缩文件投放。\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 7 of 17\n\n5.2.1 功能\r\nPikoloRAT是一种使用C#编写的典型RAT木马程序。\r\n图5.4 PikoloRAT主体框架\r\n木马运行后首先会收集宿主机信息并上传，收集内容包括木马标记、用户名、计算机名、所在地理位置、操作系统\r\n版本、木马运行时间、木马版本、反病毒软件信息。木马使用分隔符”|”分隔这些信息，并在前部添加固定字符\r\n串”654321″，并发送给CnC。\r\n图5.5 PikoloRAT上线流量\r\n可以看到，该信息内容与格式与上述DarkMe木马类似。\r\n随后，PikoloRAT进入受控状态，通过获取CnC端指令控制宿主机行为。其支持的远控操作指令如下表：\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 8 of 17\n\n指令码 操作\r\n1 退出指令循环\r\n2 左键单击按下\r\n3 右键单击按下\r\n4 左键单击抬起\r\n5 右键单击抬起\r\n6 左键双击\r\n7 按下对应键盘按键\r\n8 鼠标移动到指定位置\r\n9 获取剪贴板内容\r\n17 设置屏幕截图间隔\r\n18 设置屏幕截图质量\r\n19 设置屏幕截图缩放尺寸\r\n24 结束自身进程\r\n55 设置临时文件路径\r\n4875 执行cmd命令\r\n4876 执行powershell命令\r\n8888 加载运行PEGASUS HVNC\r\n8889 卸载木马本体\r\n8890 持久化，包括添加自启动项和计划任务\r\n8891 删除持久化内容\r\n表5.2 PikoloRAT指令对照表\r\n可以看到除基本的远控功能外，PikoloRAT还可以通过释放内置的PEGASUS HVNC模块（一种近期泄露的hVNC工\r\n具）执行更完善的远程控制。\r\n六、技战术分析\r\n6.1 覆写式侧加载\r\n本次攻击流程A中，Evilnum攻击者投递了一个恶意的python39.dll文件，并通过合法文件python.exe侧加载该恶意文\r\n件。\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 9 of 17\n\n与常见侧加载构建逻辑不同的是，该恶意python39.dll实际上是通过直接覆写原始python39.dll文件得到的。Evilnum\r\n攻击者将一段shellcode直接写入原始python39.dll的函数PyImport_AddModuleObject的位置，使python39.dll在被加载\r\n时自动启动该shellcode。\r\n该设计的好处在于：\r\n操作简便，无需编译独立的dll程序并实现其导出方法；\r\n适用性广，理论上可以对任意合法dll文件进行类似的覆写操作，构建侧加载shellcode攻击链；\r\n隐蔽性强，覆写后dll文件与原始dll文件相似度很高，不易被定位。\r\n图6.1 python39.dll中被覆写的PyImport_AddModuleObject函数\r\n6.2 Shellcode框架\r\n本次攻击流程A中，Evilnum攻击者在不同阶段使用了多种shellcode。这些shellcode具有类似的代码实现逻辑，可以\r\n看出来自相同的shellcode编程框架，整体构成与代码复杂度相较既往Evilnum活动有所提升。\r\n6.2.1 ntdll映射\r\n本次行动出现的shellcode中，攻击者依然坚持使用kernel32与ntdll两个模块构建主体流程。为了规避针对此类行为\r\n的api检测思路，攻击者使用如下的方式映射ntdll文件并使用映射文件的api：\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 10 of 17\n\n图6.2 Shellcode中的ntdll模块映射逻辑\r\n该实现中，攻击者通过文件映射的方式重新加载ntdll模块，并在获取原始ntdll中api基址后通过计算偏移的方式记录\r\n映射模块中对应的api基址。shellcode在后续的关键过程中，使用映射api实现对应行为，以此避免api调用行为及关\r\n键参数被监控记录。\r\n6.2.2 X64call\r\n本次攻击流程A中，攻击者在注入cmd.exe的操作中使用了X64call的方式调用关键API。\r\n注入部分的shellcode首先检测进程环境与主机cpu型号，如满足需求，则在使用NtAllocateVirtualMemory、\r\nNtWriteVirtualMemory等关键注入api时调用其64位实现：\r\n图6.3 Shellcode注入代码中的X64call调用逻辑\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 11 of 17\n\n图6.4 X64call调用代码\r\n这种技巧同样可以起到规避api检测的效果。\r\n6.3 图片隐写\r\n本次行动中，Evilnum攻击者使用了两种形式的隐写图片。\r\n流程B中，名为IMG.jpg的图片使用了冗余隐写，将恶意代码存放于文件尾部，使用固定字符串($HEH$E)作为分隔\r\n标志：\r\n图6.5 IMG.jpg中的隐写信息\r\n流程A中，携带载荷的图片则使用了RGB值隐写，将恶意代码存放于RGB值的R位：\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 12 of 17\n\n图6.6 隐写图片sKr93I.png中的RGB值（右）与提取到的压缩数据内容（左）\r\n这样的构造使隐写图片在白色区域显示蓝绿色斑点，黑色区域则显示红色斑点：\r\n图6.7 隐写图片sKr93l.png外观\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 13 of 17\n\n图6.8 隐写图片Fruit.png外观\r\n6.4 套接字窗口\r\n本次DarkCasino行动中，Evilnum使用的DarkMe木马使用了SOCKET_WINDOW通信。\r\n这是一种古老的VisualBasic套接字编程技术，通过一个SOCKET_WINDOW窗口挂钩winsock消息，并在窗口回调函\r\n数中处理由WSAAsyncSelect传递的事件消息。\r\n原始框架可参考：https://github.com/dzzie/RE_Plugins/blob/master/IdaVbScript/vb%20src/MSocketSupport.bas\r\n6.5  COM组件执行\r\n本次DarkCasino行动中，部分DarkMe木马以COM组件的形式投递。Evilnum攻击者在前置木马载荷中写入注册表操\r\n作逻辑，使其可以产生并执行带有如下内容的Register.reg文件：\r\n图6.9 Register.reg文件内容\r\n随后前置木马载荷通过形如rundll /sta [CLSID] ’Hello‘的cmd指令启动DarkMe木马。\r\n这样的方式避免了对DarkMe木马的直接调用，一定程度上减少了暴露风险。\r\n七、总结\r\nDarkCasino行动是一场正在发生的，针对网络交易现金流的APT攻击活动。Evilnum在该行动中使用了多种经过不\r\n断改良的攻击手法和工具，展现了其敏锐的对抗意识。\r\n分析表明， DarkCasino行动的影响范围并不局限于欧洲，在Evilnum攻击者的运营下，本次攻击最终辐射到了部分\r\n亚洲国家，有可能造成意料之外的危害。\r\n为有效防范本次APT行动，应尤其注意通过各种渠道传递的LNK、PIF、SCR、COM类型文件，提高对带有offer、\r\nvisa、casino等关键词的文件的警觉性，避免因Evilnum的网络攻击造成直接经济损失。\r\n八、IoCs\r\n攻击流程A诱饵文件\r\n43eda4ff53eef4513716a5b773e6798653ee29544b44a9ae16aa7af160a996f2 offer deal visa 2022.lnk\r\n攻击流程B诱饵文件\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 14 of 17\n\n5fb252474237a4ca96cc0433451c7d7a847732305d95ceeaeb10693ecef2eeee\r\nScatters Casino offers Daily\r\nPromotions.pif\r\n8e4a4c5e04ff7ebacb5fe8ff6b27129c13e91a1acc829dbb3001110c84dc8633 new casino crypto.com\r\nd0899cb4b94e66cb8623e823887d87aa7561db0e9cf4028ae3f46a7b599692b9 Promo CPL CPA Traffic.com\r\n攻击流程C诱饵文件\r\n4ffa29dead7f6f7752f2f3b0a83f936f270826d2711a599233dc97e442dee85f 333TER.exe\r\n9cf7f8a93c409dd61d019ca92d8bc43cc9949e244c9080feba5bfc7aac673ac3 d33v3TER.exe\r\n259cebed2cd89da395df2a3588fadde82cd6542bc9ff456890f7ee2087dc43c9 d333TER.exe\r\n0cdf27bb8c0c90fc1d60fb07bd30b7e97b16d15e3f58fb985350091ecad51ba6 ed333TER.exe\r\n5ba84191a873d823ccf336adfa219cc191a004e22b56b99c6d0e1642144129b8 wed333TER.exe\r\n15a076c7bb6a38425d96aa08b8a15e9a838c9697d57c835aaca92fd01607b07a PayRedeemUpdateIntegration19052022.scr\r\n3329f5e3a67d13bd602dca5bbe8e2d0b5d3b5cb7cb308965fb2599a66668c207 offer crypto casino.scr\r\n8a49a7f6c95fade72ef86455794cdedfca9129aa0f5281e09929dfebfb3417c4\r\nDOCUMENTATION AGREEMENTS S\r\nCONSULTING INTEGRATION.pif\r\n下载者木马\r\n864dccbeda7d88cad91336b5ae9efd50972508d1d8044226e798d039a0bc1da2 AONNRJP.exe\r\nPikoloRAT木马\r\neb5e42c726c7b125564455d56a02b9d42672ca061575ff911672b9165e8e309d stub1.exe\r\nbe544a1f9f642bb35a9bd0942ae16a7a6e58a323d298a408a00fa4c948e8ea17 Stub1.exe\r\nDarkMe木马\r\na826570f878def28b027f6e6b2fcd8be1727e82666f8b65175d917144f5d0569 Project1.exe\r\n7b478cd8b854c9046f45f32616e1b0cbdc9436fa078ceddb13ce9891b24b30a5 Project1.exe\r\ne72337c08d6b884b64fd9945c5a01557ccf40db93af866c00c48d36b6605f3a0 Project1.exe\r\n414a11e8eabb64add97a866502edcd7e54108bd247f4ae12fe07feeae4e549f6 Projec3.exe\r\n7913cdf40cc17a28487a71ab0d7724b8bf3646a2a53e3905798ce23a657061b8 Project1.exe\r\n3a6694567e9d722357b8e92153d9c878bbcab55a2f65cd0f9a2e6579fbeb935a Projec3.exe\r\na6a70c85b8c40932678c413fde202a55fcfc9d9cae23822708be5f28f9d5b6d2 Projec3.exe\r\nc50ebe13972e6e378248d80d53478d8e01e754c5d87113d9b6f93bf3b84380b4 Project1.exe\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 15 of 17\n\n1ac7715b1762788b5dc1f5f2fc35243a072fe77053df46101ce05413cca62666 Projec3.exe\r\n4ecc2925cfb073323314611a3892d476a58ff2f6b510b434996686e2f0ac3af7 Projec3.exe\r\n541b3011953a3ce1a3a4a22c8c4f58c6a01df786a7cc10858649f8f70ee0a2f3 Projec3.exe\r\nf25cbc53d0cc14b715ee83e51946d5793e4e86e71e96f68e9b6c839b514e8cb8 Projec3.exe\r\n4244f274a12f4672f2dda1190559d96c5a9631c9ee573b853c89e30701819b63 Projec24.pif\r\n1f0d908c677fb3ec5b9422eb5f7d2a2b3ffa01659521afc07cc4dfaea27aa532 Nuovo.pif\r\n028057e54a2e813787a14b7d33e6a2caa91485ed879ef1bbcb94df0e1cf91356 bvo.exe\r\n0a9c183f0b5a225228da5e8589fac8b3affe2e51c790a08148ef72481de610c4 bvo.exe\r\n3eb84676249cb26dd3d1962cfca2a9fde442d0feaa1b0351f6331313f3ac1138 bvo.exe\r\n46fbfc263959084d03bd72c5b6ee643711f79f7d76b391d4a81f95b2d111b44e bvofinal.pif\r\n5e04dd49b82320eca63b483e87453d2a68a9f4873f47d37e5080d537bc811d0e pppppesst.exe\r\ndc8190279dcea4f9a36208ba48b14e6c8313ef061252027ef8110b2d0bd84640 pppppesst.exe\r\n4959cdba7edee68b5116cc1b8ef5016978d3dff2016f027a4f76b080b7c3849a faster.exe\r\n24ace8fd73b2a5a13f3e5b459f0764dd4b5bda2cea2b0e13bbf88a88afe0cdac fastest.exe\r\nc66e6ee55e9799a8a32b7a2c836c26bb7ebea98d09c1535ad9ae59e9628835fb fastest.exe\r\n32ce8d0dcbfcc2517480d0e08f8896ab4f6ea13ccb0eefe7205cd352c7b359c3 h5a.exe\r\nc192684d296ea587e93457d060cbef900143cf1a11301e6c2e34e264e3e55ef6 h5a.exe\r\n1d01b143a56eba431387b9b973790d174deb48c2e3445d96b131a7d8e0a9d4ef vvt1.exe\r\nb8ba2c0478649dc099d0a869755a7e205173a9b0d15fad920317a89d07eaa930 vvt1.exe\r\nd95853e6e16d90c00fd72aaeaca9885b953dae14d7d6aa7fedcc6150fb788667 656.exe\r\n7add6700c6e1aa1ac8782fdd26a11283d513302c672e3d62f787572d8ad97a21 ShellRunDllVb.dll\r\n17fe047b9a3695d4fd8ad9d2f7f37486c0bc85db0f9770471442d31410ff26a1 ShellRunDllVb.dll\r\n2665a09ec5b4ca913f9f3185df62495f13611831dba9073779a36df088db143b ShellRunDllVb.dll\r\n7c06a03d712be8c0df410bea5d1c2004c6247bcde5a46ce51746f18de9621ac1 ShellRunDllVb.dll\r\nURL\r\nhttps[:]//puccino.altervista.org/wp-content/uploads/2022/05/6h.txt\r\nhttps[:]//storangefilecloud.vip/IMG.jpg\r\nhttps[:]//storangefilecloud.vip/PI.txt\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 16 of 17\n\nhttps[:]//storangefilecloud.vip/PRGx.jpg\r\nhttps[:]//bukjut11.com/FRIGO.JPG\r\nhttps[:]//bukjut11.com:443/AEVC.JPG\r\nhttps[:]//imagizer.imageshack.com/img922/1527/sKr93I.png\r\nhttps[:]//imagizer.imageshack.com/img923/7651/jMwIGI.png\r\nhttps[:]//i.imgur.com/fkNiY9Z.png\r\nhttps[:]//laurentprotector.com/LRGBPFV.bin\r\nhttps[:]//laurentprotector.com/NnQFqsOEUtkezvIEcLpfa.bin\r\nDarkme CnC\r\naka7newmalp23.com\r\ncsmmmsp099q.com\r\nmuasaashishaj.com\r\ncspapop110.com\r\n938jss.com\r\n8as1s2.com\r\nkalpoipolpmi.net\r\npallomnareraebrazo.com\r\n185.236.231.74\r\nPikoloRAT CnC\r\n51.195.57.232\r\n版权声明\r\n本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司（“绿盟科技”）。作为分享技术资讯的平台，\r\n绿盟科技期待与广大用户互动交流，并欢迎在标明出处（绿盟科技-技术博客）及网址的情形下，全文转发。\r\n上述情形之外的任何使用形式，均需提前向绿盟科技（010-68438880-5462）申请版权授权。如擅自使用，绿盟科\r\n技保留追责权利。同时，如因擅自使用博客内容引发法律纠纷，由使用者自行承担全部法律责任，与绿盟科技无\r\n关。\r\nSource: http://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nhttp://blog.nsfocus.net/darkcasino-apt-evilnum/\r\nPage 17 of 17",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"references": [
		"http://blog.nsfocus.net/darkcasino-apt-evilnum/"
	],
	"report_names": [
		"darkcasino-apt-evilnum"
	],
	"threat_actors": [
		{
			"id": "059b16f8-d4e0-4399-9add-18101a2fd298",
			"created_at": "2022-10-25T15:50:23.29434Z",
			"updated_at": "2026-04-10T02:00:05.380938Z",
			"deleted_at": null,
			"main_name": "Evilnum",
			"aliases": [
				"Evilnum"
			],
			"source_name": "MITRE:Evilnum",
			"tools": [
				"More_eggs",
				"EVILNUM",
				"LaZagne"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "0bc63952-5795-4fc7-85c1-50a7f207f2f0",
			"created_at": "2023-11-14T02:00:07.095723Z",
			"updated_at": "2026-04-10T02:00:03.450401Z",
			"deleted_at": null,
			"main_name": "DarkCasino",
			"aliases": [],
			"source_name": "MISPGALAXY:DarkCasino",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "f7aa6029-2b01-4eee-8fe6-287330e087c9",
			"created_at": "2022-10-25T16:07:23.536763Z",
			"updated_at": "2026-04-10T02:00:04.646542Z",
			"deleted_at": null,
			"main_name": "Deceptikons",
			"aliases": [
				"DeathStalker",
				"Deceptikons"
			],
			"source_name": "ETDA:Deceptikons",
			"tools": [
				"EVILNUM",
				"Evilnum",
				"Janicab",
				"PowerPepper",
				"Powersing",
				"VileRAT"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "a5bd315b-6220-441f-8ed1-39e194dcd0e3",
			"created_at": "2023-12-01T02:02:33.667762Z",
			"updated_at": "2026-04-10T02:00:04.641333Z",
			"deleted_at": null,
			"main_name": "DarkCasino",
			"aliases": [
				"Water Hydra"
			],
			"source_name": "ETDA:DarkCasino",
			"tools": [
				"CloudEyE",
				"DarkMe",
				"GuLoader",
				"PikoloRAT",
				"vbdropper"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "8ce861d7-7fbd-4d9c-a211-367c118bfdbd",
			"created_at": "2023-01-06T13:46:39.153487Z",
			"updated_at": "2026-04-10T02:00:03.232006Z",
			"deleted_at": null,
			"main_name": "Evilnum",
			"aliases": [
				"EvilNum",
				"Jointworm",
				"KNOCKOUT SPIDER",
				"DeathStalker",
				"TA4563"
			],
			"source_name": "MISPGALAXY:Evilnum",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "39ea99fb-1704-445d-b5cd-81e7c99d6012",
			"created_at": "2022-10-25T16:07:23.601894Z",
			"updated_at": "2026-04-10T02:00:04.684134Z",
			"deleted_at": null,
			"main_name": "Evilnum",
			"aliases": [
				"G0120",
				"Jointworm",
				"Operation Phantom in the [Command] Shell",
				"TA4563"
			],
			"source_name": "ETDA:Evilnum",
			"tools": [
				"Bypass-UAC",
				"Cardinal RAT",
				"ChromeCookiesView",
				"EVILNUM",
				"Evilnum",
				"IronPython",
				"LaZagne",
				"MailPassView",
				"More_eggs",
				"ProduKey",
				"PyVil",
				"PyVil RAT",
				"SONE",
				"SpicyOmelette",
				"StealerOne",
				"Taurus Loader Stealer Module",
				"Taurus Loader TeamViewer Module",
				"Terra Loader",
				"TerraPreter",
				"TerraStealer",
				"TerraTV"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775438987,
	"ts_updated_at": 1775792063,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/47f9a3fc3f7c1f9e0e851b71627c13e12cf74915.pdf",
		"text": "https://archive.orkl.eu/47f9a3fc3f7c1f9e0e851b71627c13e12cf74915.txt",
		"img": "https://archive.orkl.eu/47f9a3fc3f7c1f9e0e851b71627c13e12cf74915.jpg"
	}
}