{
	"id": "d6462959-7479-493f-b5f8-b2f7afb54d79",
	"created_at": "2026-04-06T00:11:17.359158Z",
	"updated_at": "2026-04-10T03:33:18.504888Z",
	"deleted_at": null,
	"sha1_hash": "a0e29ee8d9648d0c0eea09e7a8d853c70a6e70c9",
	"title": "Panda's New Arsenal: Part 2 Albaniiutas",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1031760,
	"plain_text": "Panda's New Arsenal: Part 2 Albaniiutas\r\nBy NTTセキュリティ・ジャパン株式会社\r\nPublished: 2020-11-18 · Archived: 2026-04-05 21:48:53 UTC\r\nBy Hiroki Hada\r\nPublished November 18, 2020 | Japanese\r\nはじめに\r\n前回のブログでは、TA428が使用する新たなマルウェアであるTmangerについて紹介しました。\r\nTmangerは横展開後に実行され、典型的なRATとして活動するマルウェアです。Tmangerにはたくさん\r\nのバージョンがありますが、それとは様々な実装が異なるものの、明らかに関連していると思われる\r\nマルウェアが存在します。今回はそうしたTmangerに関連するマルウェアの中から、Albaniiutasを紹介\r\nします。\r\nAlbaniiutas\r\n2020年7月、私達はこれまでのTmangerと若干挙動が異なるマルウェアを発見しました。これまでに発\r\n見したTmangerは全て極めて類似した実装でしたが、今回発見したマルウェアはそれとは明らかに異な\r\nるものです。私達は発見時のファイル名から、このマルウェアをAlbaniiutasと呼んでいます。\r\nしかし、標的やタイムスタンプ（IOCの章で後述します）、リソース領域の命名規則、3つのパートか\r\nら成り立つこと、マルウェア内で使用されているディレクトリ名がTmangerと類似しています。これら\r\nのことからこのマルウェアは私達が観測したTmangerの亜種か、あるいは同一の作成者によって作られ\r\nたものであると考えています。\r\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nPage 1 of 14\n\n図 1 Tmangerのリソースデータ\r\n図 2 Albaniiutas のリソースデータ\r\nAnalysis Result\r\n攻撃はalbaniiutas.rarというファイルから始まります。このRARファイルを解凍すると utas.xlsx .exeとい\r\nう名前のファイルが得られます。XLSXファイルのように偽装されていますがEXEファイルです。この\r\nファイルを実行すると、リソース領域に保存されているXLSXファイルとEXEファイルが作成され、開\r\nかれます。\r\n作成されたXLSXファイルにはモンゴルのCitizens’ Representative Huralのメンバーの連絡先が書かれてい\r\nました。このことから、攻撃者はモンゴルの政治系の組織を標的としていると考えられます。これは\r\nTA428の特徴と一致します。\r\nEXEファイルはcssrs.exeという名前で C:\\MSBuild\\WindowsUpdate\\S-1-2\\ というディレクトリに作成され\r\nました。このファイルを起点にいくつかのファイルが生成されますが、その役割はTmangerと極めて類\r\n似しています。\r\nAlbaniiutas File Tmanger Type\r\ncssrs.exe SetUp\r\n(2nd) vjsc.dll, XpEXPrint.dll MloadDll\r\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nPage 2 of 14\n\nClientX.dll Client\r\n各ファイルは図 3のように実行されていきます。\r\n図3 全体の流れ（Adminではない場合）\r\ncssrs.exe\r\nまずCreateEventWで {F14E0EF3-E26A-4551-8F84-08E738AEC912} という名前のイベントを作成しま\r\nす。これはTmangerが作成するイベント名の規則に一致します。\r\nその後、IsUserAdminでユーザの権限を確認し、処理を分岐します。\r\nAdminの場合\r\nまずRC4を使ってデータをデコードします。使用された暗号鍵は L!Q@W#E$R%T^Y\u0026U*A|}t~k で\r\nす。デコードされたデータは XpEXPrint.dll で、以降で作成するDLLの名前となっています。\r\n次に、リソース領域から 162 というデータを取得します。このデータをWinAPIのCrypto系のAPIを使っ\r\nて、AES-256でデコードします。そのときの鍵を生成するために e4e5276c00001ff5 という文字列が使用\r\nされます。復号すると、deflateされたデータになります。それをinflateし、XpEXPrint.dllという名前で\r\nSystem32へ保存します。\r\nその後、同様にリソース領域からデータを取得します。取得するデータは 163 と 165 です。取得した\r\nデータは L!Q@W#E$R%T^Y\u0026U*A|}t~k を鍵としてRC4でデコードされます。163は vjsc.dll というフ\r\nァイル名で、165は Scrpt.exe という名前でSystem32へ保存されます。\r\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nPage 3 of 14\n\nファイルへ書き込むとき、vjsc.dllには C:\\Users\\power\\AppData\\Local\\Microsoft\\Internet Explorer\\CXXX.dll\r\nという文字列が含まれていますが、その部分を自分自身のファイルパスに書き換えます。このパスは\r\n攻撃者がマルウェアを作成する際に使用している可能性があります。続いて、ファイルの更新時刻を\r\n10年前の値に設定します。これはSystem32でファイルが目立たないようにするためだと考えられま\r\nす。\r\n図 4 ファイルの更新時刻を書き換え\r\nそしてScrpt.exeをShellExecuteExWで実行します。Scrpt.exeはMicrosoftのVisual J#のコマンドラインツー\r\nルで、電子署名が付与されている正規バイナリです。Scrpt.exeは実行時に同じディレクトリにある\r\nvjsc.dll をサイドロードし、VJSCCommandLineCompile というエクスポート関数を実行します。\r\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nPage 4 of 14\n\n図 5 Scrpt.exeのプロパティ\r\n図 6 Scrpt.exeが呼び出すvjsc.dllの関数\r\nvjsc.dllは、まずXOR 0x88でデータをデコードします。デコードされた文字列は以下のとおりです。\r\nDFS Replication\r\nFTP Publishing Service\r\nReadyBoost\r\nSoftware Licensing\r\nSL UI Notification Service\r\nTerminal Services Configuration\r\nWindows Media Center Extender Service\r\nWindows Media Center Service Launcher\r\nSOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Svchost\r\nRegOpenKeyExA\r\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nPage 5 of 14\n\nnetsvcs\r\nRegQueryValueExA\r\nOpenSCManagerA\r\n%SystemRoot%\\System32\\svchost.exe -k netsvcs\r\nMACHINE\\SYSTEM\\CurrentControlSet\\Services\\\r\nRegSetValueExA\r\nGetSystemDirectoryA\r\nその後、XpEXPrint.dllをランダムな4文字のファイル名でコピーします。そして、先にデコードした文\r\n字列を使って、サービスとして登録し、起動します。\r\nAdminではない場合\r\nリソース領域から 161 と 164 と 165 を読み込み、RC4でデコードします。そのときに使用する暗号鍵は\r\nL!Q@W#E$R%T^Y\u0026U*A|}t~k です。161は vjsc.dll、164は Xwreg.exe、165は Scrpt.exe というファイル\r\n名で AppData\\Local\\Microsoft\\Internet Explorer へ書き込まれます。\r\nその際、vjsc.dllは C:\\Users\\Waston\\AppData\\Local\\Microsoft\\Internet Explorer\\FindX.exe を、Xwreg.exeは\r\nC:\\Users\\Waston\\AppData\\Local\\Microsoft\\Internet Explorer\\WSMprovhost.exe という文字列を含んでいます\r\nが、これらを自分自身のパスに置き換えます。 C:\\Users\\Waston はTmangerのPDBのパスと一致してお\r\nり、攻撃者がマルウェアを作成する際に使用している環境であると推測できます。その後、ファイル\r\nの更新時刻を10年前の値に設定します。\r\nその後、ShellExecuteExWでScrpt.exeを実行し、同じディレクトリに存在する vjsc.dll をサイドロードし\r\nます。\r\nvjsc.dllの内部名は RegAdd.dll で、その名のとおり同じディレクトリに存在する Xwreg.exe をレジストリ\r\nのCurrentVersion\\Runを使って自動起動の設定を行います。\r\n次にcssrs.exeはvjsc.dllを削除し、リソース領域から 162 を読み込み、AES-256でデコードします。デコ\r\nードする際はWinAPIのCrypto系のAPIを使用します。鍵を生成する文字列は e4e5276c00001ff5 です。得\r\nられたデータは vjsc.dll という名前で先程と同じように AppData\\Local\\Microsoft\\Internet Explorer へ書き\r\n込まれます。\r\n最後に、再びShellExecuteExWでScrpt.exeを実行し、同じディレクトリに存在する vjsc.dll をサイドロー\r\nドします。\r\nXpEXPrint.dll\r\nAdminの場合に起動される XpEXPrint.dll と、Adminではない場合にScrpt.exe経由で実行される vjsc.dllは\r\n同一のファイルです。\r\nServiceMainから起動した場合、 {A24D0DC3-E26A-4551-8F84-08E738AEC718} というイベントを作成し\r\nます。その後の挙動は同一です。\r\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nPage 6 of 14\n\nまず、リソース領域に保存されている T というデータの 104 を読み込みます。これを e4e5276c00001ff5\r\nをいう文字列を鍵の生成データとしてAES-256でデコードします。そうすると、DLLファイルが得ら\r\nれ、それをロードして実行します。そのDLLの内部名は ClientX.dll でした。\r\nClientX.dll\r\nClientX.dllはTmangerのClientと同様にRAT本体です。まず、L!Q@W#E$R%T^Y\u0026U*A|}t~k を鍵とした\r\nRC4でconfigをデコードします。得られたconfigは以下のとおりです。\r\nhttp[:]//go.vegispaceshop[.]org/shop.htm\r\n0\r\nAppData\r\nRoaming\r\n0.0.0.0:\r\n同様にUser-AgentをRC4でデコードします。その後、gethostnameでホスト名を取得し、User-Agentに追\r\n加します。以下のようなUser-Agentが使用されます。\r\nMozilla/5.0 (Windows NT 6.1; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0 [HOSTNAME])\r\nRC4のデコードが完了した後、デコードされたURLに対してアクセスし、ダウンロードしたHTMLファ\r\nイルから新しいC\u0026CサーバーのIPアドレスをデコードします。デコードされたC\u0026CサーバーのIPアド\r\nレスは、この後説明する、感染端末の情報送信やコマンド実行をする際に使用されます。\r\n図 7 ダウンロードされたHTMLファイル\r\nimport sys\r\ndef main():\r\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nPage 7 of 14\n\ninput_bin = read_htmlfile()\r\n extracted_data = extract_data(input_bin)\r\n result = decode_bin(extracted_data)\r\n with open(\"result.bin\",\"wb\") as f:\r\n for b in result:\r\n f.write(b.to_bytes(1,byteorder=\"big\"))\r\ndef extract_data(input_bin):\r\n index = 0\r\n data = list()\r\n while index+2 \u003c len(input_bin):\r\n if input_bin[index] != 0x3E or input_bin[index+1] != 0x9:\r\n index = index + 1\r\n continue\r\n index = index + 2\r\n sub_bin_ary = get_unitl_cr(input_bin[index:])\r\n if len(sub_bin_ary) == 0:\r\n return list()\r\n data = data + sub_bin_ary\r\n index = index + len(sub_bin_ary) + 1\r\n return data\r\ndef get_unitl_cr(bin_ary):\r\n if len(bin_ary) == 0 or bin_ary[0] == 0x0d:\r\n return list()\r\n last_index = len(bin_ary) -1\r\n ret = list()\r\n for ii in range(0,len(bin_ary)-1):\r\n if bin_ary[ii] == 0x0d:\r\n break\r\n if bin_ary[ii] == 0x0a:\r\n return list()\r\n ret.append(bin_ary[ii])\r\n \r\n return ret\r\ndef decode_bin(bin_ary):\r\n ret = list()\r\n for ii in range(0,len(bin_ary)//8):\r\n ret.append(0)\r\n start_index = 0\r\n for ii in range(7,-1,-1):\r\n kk = 0\r\n while kk \u003c (len(bin_ary)//8):\r\n val = bin_ary[kk*8+start_index]\r\n ret[kk] += ( val \u0026 0x1 ) \u003c\u003c ii\r\n kk += 1\r\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nPage 8 of 14\n\nstart_index = start_index + 1\r\n return ret\r\ndef read_htmlfile():\r\n with open(sys.argv[1],\"rb\") as f:\r\n return f.read()\r\nif __name__ == \"__main__\":\r\n main()\r\n図 8 新しいC\u0026Cサーバーをデコードするロジック\r\nIPアドレスのデコード後、ClientX.dllは感染端末の情報やコマンド処理に必要な情報をC\u0026Cサーバーに\r\n送信します。送信されるURLは下記のような形式となっており、URLのパス部に感染端末の情報やコ\r\nマンド処理の通信暗号化に必要な情報が含まれています。URLのパス部の末尾は、「hostnameコマンド\r\nの実行結果」と「CoCreateGuid()で生成されたGUID」と「GetTickCount()の戻り値」がAES256で暗号化\r\nされ、Base64でエンコードした文字列です。この暗号化された文字列を復号するコードは以下の通り\r\nです。以下のコードの変数encryptedに暗号化された文字列を設定することで、復号することができま\r\nす。\r\n① 新しく取得したC\u0026CサーバーのIPアドレス\r\n② “home”という固定の文字列\r\n③ システム時間を基にしたランダムな値であり、 コマンド実行の際に利用される\r\n④ ⑤の文字数を10進数で表した数値\r\n⑤ 暗号化された文字列\r\n図9 感染端末の情報やコマンド実行の際に必要な情報を送信する際のURL\r\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nPage 9 of 14\n\n図10 URLパスに含まれる暗号化された文字列のデータ構造\r\nimport hashlib\r\nfrom Crypto.Cipher import AES\r\nfrom binascii import a2b_hex\r\nimport base64\r\nBS = 16\r\ndef aes_decrypt(hash_seed,encrypted_data):\r\n aes_key = hashlib.sha256(hash_seed).hexdigest()\r\n encrypted_data = pcks_pad(encrypted_data)\r\n cipher_aes = AES.new(key=a2b_hex(aes_key),mode=AES.MODE_CBC,IV=b\"\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\\r\n return cipher_aes.decrypt(encrypted_data)\r\ndef pcks_pad(raw):\r\n result = list(raw)\r\n pad_ch = BS - len(result) % BS\r\n for ii in range(0,pad_ch):\r\n result.append(pad_ch)\r\n return bytes(result)\r\nhash_seed = \"3033303432373663663466333133343500000000000000000000000000000000\"\r\nencrypted = \"426d62484c4d2f495a734a6c444a716d335037784e6451534c6a534761636a6954694864454d4636776a6347366e71692f4\r\nencrypted = a2b_hex(encrypted)\r\nplain = aes_decrypt(a2b_hex(hash_seed),base64.b64decode(encrypted))\r\nprint(\"DecryptedData:\" + bytes.hex(plain))\r\n図 11 URLのパス部に含まれる暗号化された文字列を復号するコード\r\nその後、ClientX.dllはC\u0026Cサーバーから受信したデータを基にコマンドを実行します。cmd.exeの実行\r\nの他、ファイルのアップロードやダウンロードを実行できます。\r\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nPage 10 of 14\n\nコマンド\r\nID\r\nオプション 説明\r\n(コマンド) ・ コマンドの引数 cmd.exeを用いてコマンドを実行し、結果をC\u0026Cサー\r\nバーに返す\r\n-upload\r\n・ 感染端末上のファイルパ\r\nス\r\n・ アップロード時のURLの\r\nパス部\r\nファイルをアップロードする\r\n-download\r\n・ ダウンロードURL\r\n・ 保存先のファイルパス\r\nファイルをダウンロードする\r\n-exit 何もしない\r\n図 12 コマンドのリスト\r\nコマンド実行する際の通信はAES256で暗号化されており、ClientX.dllは下記のような処理でデータを復\r\n号していました。CryptHashData()の第2引数には図 8で説明したGUIDが指定されます。\r\n図 13 コマンド実行時の通信を復号する処理\r\nコマンド実行時に受信するデータの形式は下記のようになっています。また、各コマンドについて、\r\n受信するデータの例を示します。\r\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nPage 11 of 14\n\n① コマンドを複数回実行する場合、前回と異なる値を指定しないとコマンドが実行されない。\r\n② 区切り文字\r\n③ 図 7の③の値と一致していない場合、コマンドが実行されない。\r\n④ コマンドIDとコマンドのオプションを意味しており、スペースで区切られている。\r\n図 14 コマンド実行時に受信するデータの形式\r\n図 15 cmd.exeを実行する場合のデータ例\r\n図 16 ファイルをアップロードする場合のデータ例\r\n図 17 ファイルをダウンロードする場合のデータ例\r\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nPage 12 of 14\n\n図 18 何もしない場合のデータ例\r\nさいごに\r\n今回はTmangerに関連すると思われるマルウェアの中から、Albaniiutasを紹介しました。Albaniiutasは\r\nTmangerに類似していますが、C\u0026Cサーバーとの通信処理やコマンド処理などの細部では大きな差が存\r\n在します。コンパイルタイムやリソース名を比較することで分かりますが、AlbaniiutasはTmangerと同\r\nじ人物によって実装されたマルウェアであり、Tmangerを参考にして作成された可能性が高いです。こ\r\nのようなマルウェアはAlbaniiutas以外にも存在し、今後様々な攻撃に利用される恐れがあります。今後\r\nの動向に注視すべきでしょう。次回はAlbaniiutasと同じようにTmangerに関連すると思われるマルウェ\r\nアの中から、Smanagerについて紹介します。\r\nIOC\r\nC\u0026C Server\r\nhttp[:]//go.vegispaceshop[.]org/shop.html\r\nhttp[:]//209[.]250.239.96/index.html\r\nhttp[:]//209[.]250.239.96/home/\r\nFile Hash\r\nSHA256 Timestamp\r\n5eb4a19fbd25ecdabf2a456a23251f13 fa938400cb32cfe87a62e8c168f9b841 (UTC) 2025-12-10 23:12:16\r\n29152de94199d77b0da9fc89d5b80bd4 692f4aadf9e8362a2aee0a3b455c4e76 (UTC) 2025-12-10 23:12:21\r\nfd43fa2e70bcc3b60236366756049422 9287bf4716638477889ae3f816efc705 (UTC) 2025-12-21 03:43:51\r\ncf36344673a036f5a96c1c63230c9c15 bb5e4f440eafd4ba0dc01d44bb1df3bf (UTC) 2025-12-22 13:21:31\r\nd94f404b2b5bafa0d9ce66219b268418 6715f5ef20a69f036a06d465177d5769 (UTC) 2025-12-23 10:06:11\r\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nPage 13 of 14\n\n71750c58eee35107db1a8e4d583f3b1a 918dbffbd42a6c870b100a98fd0342e0 (UTC) 2025-12-23 11:00:09\r\nSource: https://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas\r\nPage 14 of 14\n\nhttps://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas  \nコマンド  \n オプション 説明\nID  \n  cmd.exeを用いてコマンドを実行し、結果をC\u0026Cサー\n(コマンド) ・ コマンドの引数 \n  バーに返す\n ・ 感染端末上のファイルパ \n ス \n-upload  ファイルをアップロードする\n ・ アップロード時のURLの \n パス部 \n ・ ダウンロードURL \n-download  ファイルをダウンロードする\n ・ 保存先のファイルパス \n-exit  何もしない\n図 12 コマンドのリスト  \nコマンド実行する際の通信はAES256で暗号化されており、ClientX.dllは下記のような処理でデータを復  \n号していました。CryptHashData()の第2引数には図  8で説明したGUIDが指定されます。\n図 13 コマンド実行時の通信を復号する処理  \nコマンド実行時に受信するデータの形式は下記のようになっています。また、各コマンドについて、  \n受信するデータの例を示します。  \n  Page 11 of 14",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://insight-jp.nttsecurity.com/post/102gkfp/pandas-new-arsenal-part-2-albaniiutas"
	],
	"report_names": [
		"pandas-new-arsenal-part-2-albaniiutas"
	],
	"threat_actors": [
		{
			"id": "2f07a03f-eb1f-47c8-a8e9-a1a00f2ec253",
			"created_at": "2022-10-25T16:07:24.277669Z",
			"updated_at": "2026-04-10T02:00:04.919609Z",
			"deleted_at": null,
			"main_name": "TA428",
			"aliases": [
				"Operation LagTime IT",
				"Operation StealthyTrident",
				"ThunderCats"
			],
			"source_name": "ETDA:TA428",
			"tools": [
				"8.t Dropper",
				"8.t RTF exploit builder",
				"8t_dropper",
				"Agent.dhwf",
				"Albaniiutas",
				"BlueTraveller",
				"Chymine",
				"Cotx RAT",
				"CoughingDown",
				"Darkmoon",
				"Destroy RAT",
				"DestroyRAT",
				"Gen:Trojan.Heur.PT",
				"Kaba",
				"Korplug",
				"LuckyBack",
				"PhantomNet",
				"PlugX",
				"Poison Ivy",
				"RedDelta",
				"RoyalRoad",
				"SManager",
				"SPIVY",
				"Sogu",
				"TIGERPLUG",
				"TManger",
				"TVT",
				"Thoper",
				"Xamtrav",
				"pivy",
				"poisonivy"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "20b5fa2f-2ef1-4e69-8275-25927a762f72",
			"created_at": "2025-08-07T02:03:24.573647Z",
			"updated_at": "2026-04-10T02:00:03.765721Z",
			"deleted_at": null,
			"main_name": "BRONZE DUDLEY",
			"aliases": [
				"TA428 ",
				"Temp.Hex ",
				"Vicious Panda "
			],
			"source_name": "Secureworks:BRONZE DUDLEY",
			"tools": [
				"NCCTrojan",
				"PhantomNet",
				"PoisonIvy",
				"Royal Road"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "a4aca3ca-9e04-42d1-b037-f7fb3fbab0b1",
			"created_at": "2023-01-06T13:46:39.042499Z",
			"updated_at": "2026-04-10T02:00:03.194713Z",
			"deleted_at": null,
			"main_name": "TA428",
			"aliases": [
				"BRONZE DUDLEY",
				"Colourful Panda"
			],
			"source_name": "MISPGALAXY:TA428",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434277,
	"ts_updated_at": 1775791998,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/a0e29ee8d9648d0c0eea09e7a8d853c70a6e70c9.pdf",
		"text": "https://archive.orkl.eu/a0e29ee8d9648d0c0eea09e7a8d853c70a6e70c9.txt",
		"img": "https://archive.orkl.eu/a0e29ee8d9648d0c0eea09e7a8d853c70a6e70c9.jpg"
	}
}