{ "id": "27f68890-1353-400b-ba04-e30acc7b2403", "created_at": "2026-04-06T00:22:31.347486Z", "updated_at": "2026-04-10T13:11:48.233299Z", "deleted_at": null, "sha1_hash": "a631aeebe8791d1354dda316276380f42472ffe0", "title": "継続するEAGERBEE(Thumtais)マルウェアの活動 | LAC WATCH", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1089314, "plain_text": "継続するEAGERBEE(Thumtais)マルウェアの活動 | LAC\r\nWATCH\r\nBy 石川 芳浩\r\nPublished: 2025-05-14 · Archived: 2026-04-02 12:01:45 UTC\r\n2024年6月にLAC WATCHで、中国圏を拠点とする攻撃者グループによる、日本の組織を対象にした\r\nEAGERBEE(別名:Thumtais)マルウェアを用いた標的型攻撃について報告しました。このマルウェ\r\nアがWindivertパッケージを悪用する点が、大きな特徴の1つとして挙げられています。\r\nラックのサイバー救急センターは、EAGERBEEの調査を継続する中で、以下のような亜種が存在する\r\nことを確認しました。\r\n感染端末上でポートを開放し、C2サーバからの通信を待ち受けるListenモードで動作する検体\r\n文字列や通信先、通信データを暗号化する機能を実装した検体\r\n今回は、これらEAGERBEE亜種の機能について詳しくご紹介します。\r\n目次\r\n1. EAGERBEE\r\n2. EAGERBEEを利用した攻撃キャンペーン\r\n3. EAGERBEEを利用する攻撃者グループ\r\n4. 攻撃痕跡の確認と検出\r\n5. さいごに\r\n6. Appendix\r\nEAGERBEE\r\nEAGERBEEは、Microsoft Visual C/C++で開発されたダウンローダ型マルウェアであり、C2サーバから\r\nダウンロードしたファイルをメモリ上で実行する機能を備えています。Kaspersky社によれば、ダウン\r\nロードされるマルウェアはプラグイン管理機能(plugin orchestrator)を持つと報告されています。※1\r\nEAGERBEEは、通信機能としてReverseモードとListenモードの2種類をサポートしており、検体ごとに\r\nその実装方法に違いがあります。例えば図1の例では、両方の機能をサポートしていますが、設定値が\r\n0であるため、Reverseモードで動作します。\r\n※1 The EAGERBEE backdoor may be related to the CoughingDown actor | Securelist\r\nhttps://www.lac.co.jp/lacwatch/report/20250514_004379.html\r\nPage 1 of 13\n\n図1 EAGERBEEの通信機能\r\nReverseモードでは、マルウェアが実行されるとコールバック通信を発生させ、感染端末からC2サーバ\r\nへ接続します。一方、Listenモードでは、感染端末のポートを開放し、C2サーバからの通信を待ち受け\r\nます(図2)。多くのEAGERBEE検体はReverseモードで構成されていますが、Listenモードで動作する\r\n検体も確認されています。\r\n図2 EAGERBEEのReverseモードとListenモード例\r\nEAGERBEEを利用した攻撃キャンペーン\r\n図3は、2022年頃から確認されているEAGERBEEを用いた攻撃キャンペーンの概要を示しています。赤\r\n色で表示された「Op Japan Campaign」は、前回のLAC WATCHで紹介されたものです。2022年後半から\r\n2023年後半にかけて、広範囲にわたるアジア地域への攻撃が確認されています。※2 ※3\r\n※2 Introducing the REF5961 intrusion set -- Elastic Security Labs\r\n※3 Operation Crimson Palace: Sophos threat hunting unveils multiple clusters of Chinese state-sponsored activity\r\ntargeting Southeast Asian government - Sophos News\r\nhttps://www.lac.co.jp/lacwatch/report/20250514_004379.html\r\nPage 2 of 13\n\n図3 EAGERBEEを利用した攻撃キャンペーン\r\n2024年以降、EAGERBEEはアジア地域だけでなく、中東地域でも攻撃が観測されるようになりまし\r\nた。また、VirusTotalにアップロードされたEAGERBEEのサンプルから、ロシア地域が標的となってい\r\nることも確認されています。攻撃の範囲は年々拡大しており、マルウェアの機能にもいくつかの変更\r\nが見られます。\r\n以下では、新たに確認されたEAGERBEE亜種の特徴をいくつか紹介します。\r\nListenモードの利用\r\n一部のListenモードで動作するように構成されたEAGERBEEには、図4に示されているPDBファイルパ\r\nスが含まれていました。EXE形式とDLL形式のファイルをそれぞれ確認しており、EXEファイルには\r\n「revexe.pdb」が、DLLファイルには「revdll.pdb」が含まれています。\r\n図4 EAGERBEEに含まれるPDBファイル情報\r\nこのEXE形式のEAGERBEEを実行すると、図5に示すようなGUIアプリケーション(ウィンドウタイト\r\nル:revexe)が起動し、特定のポートを開放して接続を待ち受けます。この検体では、TCP/8443でポー\r\nトが開放されています。図6は、該当するコードの一部を示します。\r\n図5 EAGERBEEによるTCP/8443ポート開放\r\nhttps://www.lac.co.jp/lacwatch/report/20250514_004379.html\r\nPage 3 of 13\n\n図6 EAGERBEEのListenモードの動作構成\r\n暗号処理の実装\r\n図7は、EAGERBEEに実装された暗号処理機能を示しています。この機能は、検体内に含まれる特徴的\r\nな文字列やハードコードされた通信先、通信データを復号するために使用されます。Appendix「復号\r\nスクリプト」に、これらを復号するためのPythonスクリプトの例を示しています。なお、この機能を持\r\nつEAGERBEEの亜種は、主にロシア地域への攻撃で利用されていることが確認されています。\r\n図7 EAGERBEEに実装された暗号処理\r\nhttps://www.lac.co.jp/lacwatch/report/20250514_004379.html\r\nPage 4 of 13\n\nさらに、この亜種ではReverseモードだけでなく、Listenモードで動作する検体も確認されています。図\r\n8に示されているコードの一部では、前述の暗号処理を利用してポート番号を復号し、感染端末上で\r\nTCP/110を開放します。\r\n図8 暗号処理機能が含まれるEAGERBEEのListenモードの動作構成\r\nまた、この亜種には、コードがVMProtectで難読化されているものや、図9に示されるように\r\nDZPROLVX.TMPを読み込み、その内容を通信先として設定するよう変更されている例も見受けられま\r\nした。従来の多くの検体では、iconcache.muiが読み込まれ、その内容が通信先として設定されていまし\r\nた。\r\nhttps://www.lac.co.jp/lacwatch/report/20250514_004379.html\r\nPage 5 of 13\n\n図9 DZPROLVX.TMPファイルの読み込み\r\nEAGERBEEを利用する攻撃者グループ\r\n2024年6月のLAC WATCHでは、EAGERBEEがTA428またはLuckyMouseと呼ばれる攻撃者グループによ\r\nって利用されている可能性について言及しました。その後の調査により、中国圏を拠点とする複数の\r\n攻撃者グループによる利用が散見され、このマルウェアが広く共有されている可能性が浮上していま\r\nす。\r\n図10は、EAGERBEEの通信先情報をもとに関連要素をマッピングし、攻撃者グループとマルウェアの\r\n関連性を確認した結果を示しています。Tonto TeamおよびREF5961によるEAGERBEEの利用は確認され\r\nる一方で、他の攻撃者グループとの関係も見受けられます。攻撃者グループ間でインフラやツールの\r\n共有が進んでいるため、背後にいる攻撃者の特定はますます困難になっていると考えます。\r\nhttps://www.lac.co.jp/lacwatch/report/20250514_004379.html\r\nPage 6 of 13\n\n図10 EAGERBEEと攻撃者グループの関連性\r\nTonto Teamによる犯行の可能性\r\nEAGERBEEが「日本」や「ロシア」といった地域を対象とした攻撃に利用されている点は、Tonto\r\nTeamの主な標的と一致しており、注目すべきポイントです。また、2023年2月に確認された日本への攻\r\n撃キャンペーンや2024年にロシア地域への攻撃において、TickやTonto Teamが使用するOAED Loader※4\r\nが利用されていました。このことは、Tonto Teamの関与を裏付ける要素の1つであると考えられます。\r\n※4 標的型攻撃の実態と対策アプローチ 日本を狙うサイバーエスピオナージの動向2020年度|Macnica\r\nNetworks TeamT5\r\nここで、EAGERBEEの話題から少し逸れますが、最後に、このOAED Loaderとそのペイロードとして\r\n含まれている新しいマルウェア「NKN-goRAT」について簡単にご紹介します。\r\n攻撃の概要\r\nOAED Loaderは、DLL形式のマルウェアであり、ペイロードを内包しています。含まれるペイロードは\r\nさまざまで、今回のケースでは「NKN-goRAT」と呼ばれるRATが含まれていました。過去には、\r\nShadowPadやABK downloaderといったマルウェアが含まれていたこともあります。\r\nOAED Loaderは、図11に示されているように、正規のアプリケーションを利用してDLLサイドローディ\r\nングによって実行されます。ローダ内に埋め込まれたペイロードは復号された後、svchost.exeなどの正\r\n規プロセスにインジェクションされ、マルウェアとして活動を開始します。今回のケースでは、\r\nNVIDIA製の正規アプリケーションが悪用されています。\r\nhttps://www.lac.co.jp/lacwatch/report/20250514_004379.html\r\nPage 7 of 13\n\n図11 NKN-goRATの実行フロー\r\nペイロード(NKN-goRAT)\r\nNKN-goRATは、Go言語で開発されたDLL形式のマルウェアで、ダウンロード、アップロード、コマン\r\nド実行などのRAT機能を備えています。コマンドは、未実装のものも含めて35種類存在しますが、検体\r\nによっては33種類のみが確認される場合もあります。コマンドの詳細については、Appendix「NKN-goRAT C2コマンド」を参照ください。このマルウェアは、C2通信に特徴があり、ブロックチェーンを\r\n活用したP2Pネットワーク接続プロトコルであるNKN(New Kind of Network)※5を利用する特徴があ\r\nります(図12)。\r\n※5 NKN | Network Infrastructure for Decentralized Internet\r\n図12 NKNデータネットワーク例\r\nNKN機能の実装には、オープンソースで公開されているnkn-sdk-go※6が利用されています。また、コ\r\nンパイル環境には「nkn-go」という文字列が含まれていることから、このマルウェアの名前もそれに由\r\n来して命名しています(図13)。\r\n※6 GitHub - nknorg/nkn-sdk-go: Go implementation of NKN client and wallet\r\n図13 NKN-goRATに含まれる文字列\r\nNKNプロトコルを悪用するマルウェアは過去にも報告されており、Palo Alto Networks社が報告した\r\nNGLite※7や、Kaspersky社が報告したNKAbuse※8が該当します。このマルウェアは、NGLiteとはいくつ\r\nかの類似点がありますが、CrossC2フレームワークの利用の有無やC2コマンドの実装が異なるため、現\r\n状では異なるものと位置付けています。\r\nhttps://www.lac.co.jp/lacwatch/report/20250514_004379.html\r\nPage 8 of 13\n\n※7 KdcSponge, NGLite, Godzilla Webshell Used in Targeted Attack Campaign\r\n※8 Unveiling NKAbuse: a new multiplatform threat abusing the NKN protocol | Securelist\r\n図14は、NKN-goRATによるNKNクライアントの作成コードの一部を示しています。NKNクライアント\r\nが作成されると、C2通信が開始されます。図15は、初期通信の例を示しており、POSTリクエストを利\r\n用して、seed.nkn.org(30003/TCP)にJSONフォーマットでクライアント情報を送信します。その後\r\nは、レスポンスデータに応じてマルウェアが動作します。\r\n図14 NKNクライアントの設定\r\n図15 NKN-goRATによる初期通信例\r\n攻撃痕跡の確認と検出\r\n今回紹介したマルウェアは、実行時に特定のファイルを作成または読み込むため、これらのファイル\r\nの有無や、不審なプログラムによるTCP/UDPポートの開放状況、不審な自動起動エントリの存在を確\r\n認することで攻撃痕跡を調査できます。また、NKN-goRATに関しては、NKNプロトコルを利用した通\r\n信が行われているかどうかを調査することで、攻撃の痕跡を明らかにできます。\r\nhttps://www.lac.co.jp/lacwatch/report/20250514_004379.html\r\nPage 9 of 13\n\n以下に、その痕跡を確認する方法の一例を紹介します。\r\n特定のファイルの確認\r\nEAGERBEEは、「%TEMP%¥DZPROLVX.TMP」や「C:¥Users¥Public¥iconcache.mui」を作成または読み\r\n込むため、これらのファイルの存在を確認します。また、NKN-goRATは、「C:¥ProgramData¥Service」\r\n配下に、クライアント識別子となる「.conf」や「client.dll.old」を作成するため、当該ファイルの有無\r\nを確認します。\r\nTCP/UDPポートの利用状況の確認\r\nEAGERBEEは、Listenモードで動作するよう構成されている場合、指定されたポートを開放してC2サー\r\nバからの通信を待ち受けます。TcpViewなどのツールを用いて、不審なプログラムにより意図しない\r\nTCP/UDPポートが開放されていないか確認します。\r\n自動起動エントリポイントの確認\r\nEAGERBEEやNKN-goRATは、Windowsサービスとして実行されます。そのため、Autorunsなどのツー\r\nルを用いて自動起動アプリケーション、レジストリ、関連ファイルを監査し、不審なプログラムが登\r\n録されていないかを確認します。\r\nNKNプロトコルを利用する通信の確認\r\nNKN-goRATは、30003/TCPを利用してseed.nkn[.]orgに通信を発生させるため、通信機器のログを監査\r\nし、当該通信が記録されているかを確認します。\r\nさいごに\r\n今回は、継続的に攻撃に利用されているEAGERBEEの変更点について紹介しました。EAGERBEEを利\r\n用する攻撃者グループは、東アジア、東南アジア、中東、およびロシア地域を中心に活動しており、\r\n攻撃対象を徐々に拡大しています。そのため、引き続き、日本の組織を攻撃してくる可能性も十分に\r\n考えられます。\r\nこのような状況を踏まえ、適切なアカウント管理やアクセス制御、EDR製品を活用したエンドポイン\r\nト監視、さらにはネットワーク機器を用いた通信制御および監視など、複数の層にわたるセキュリテ\r\nィ対策の強化を推奨します。私たちは今後もEAGERBEEの動向や背後にいる攻撃者グループについて\r\n継続的に調査を行い、最新情報を広く提供していく予定です。引き続き、ぜひご活用いただければ幸\r\nいです。\r\nAppendix\r\nIOC(Indicator Of Compromised)\r\nhttps://www.lac.co.jp/lacwatch/report/20250514_004379.html\r\nPage 10 of 13\n\nIndicator Type Context\r\n226810aa9797625bf4b7c958344b2a279a419d19e58076d15c81461f70bbd430 SHA-256 EAGERBEE\r\nad9a298f9f2468d85f60b58f06b3acaa2dfa610e4b5bdfba6810e0f11be6a233 SHA-256 EAGERBEE\r\nd529acbe8c4d8f7fffd957440f135de860a0f256c67a9d39e2ca4258ac9fd1b7 SHA-256 EAGERBEE\r\n61f44330233917f8d8f05e3c133ee85c813e64fadc3c875c4a04923766541825 SHA-256 EAGERBEE\r\n1ff1a073bc7a13599cd111eb19a7d0359286c678c6da8a80797ef7a573a4b63b SHA-256 EAGERBEE\r\n39f2a9cb17ac989d3f979060f118b2c08d13d958923346be4fb1af86f8574ad5 SHA-256 EAGERBEE\r\n06b97730ef9d29a56d3cc7434ffb29afbdfce86f369f5a2bad47c0bc2852e9fb SHA-256 EAGERBEE\r\n96f6c7d9ace2585c1fb3dea722946cd27782a76b7e40f7a29a734a7ac8388f95 SHA-256 EAGERBEE\r\n96323e18a7b9db1554d185198e3b1772f2e56377c09984c8bb53697399bf97ee SHA-256 EAGERBEE\r\n1beeadc39be7bd87125753b4df305171737565afa5f8d08fa21879367ab65f55 SHA-256 EAGERBEE\r\ne88b697a2292df01fcf8b002e8a014f8b7ea76a6d2bf927232caaa02df2453b3 SHA-256 EAGERBEE\r\nfd7afa62fdbb443120f8e842c91a69bf573b892c2fe9656bf9506f094bd1bde7 SHA-256 EAGERBEE\r\nfedc1b4f1b789982e9e6e869adc9e9771869cb2a80ac1e0c30f8d4859fe405d2 SHA-256 EAGERBEE\r\nc11d359ed350fd1f0e1c956fbe72cc154f3a54450ff3dbec6ce078005d7a3e9f SHA-256 EAGERBEE\r\nf1c8aa3fcb7d27a2d7f5645de0713803c181408c082a67c6ac24f7c3b76d3117 SHA-256 EAGERBEE\r\n33a7e9eff16020454cfec2e0fb324acd98c1f86e0904d0539f3b3592aef31158 SHA-256 EAGERBEE\r\na48b2454cd16ded43ec0cc043b7cd8646d6bd68b45bd47cbe22514d2f65a8251 SHA-256\r\nOAED Loader\r\n(NKN-goRAT)\r\napps[.]sampguide[.]com Domain C2\r\negek[.]nakuban[.]com Domain C2\r\ndom[.]pkfso[.]com Domain C2\r\nyandexcloud[.]dkclassic[.]com Domain C2\r\nnetos[.]piterconsult[.]com Domain C2\r\n192[.]53[.]118[.]62 IP C2\r\n復号スクリプト\r\nhttps://www.lac.co.jp/lacwatch/report/20250514_004379.html\r\nPage 11 of 13\n\ninput_data = [some input]\r\nprocessed_data = []\r\nfor index, i in enumerate(input_data):\r\n dec_data = (i ^ 0xB2) + 100 * (index // 100) - index\r\n processed_data.append(dec_data)\r\nNKN-goRAT C2コマンド\r\nID Description\r\n0x1 未実装\r\n0x2 未実装\r\n0x3 未実装\r\n0x4 システム情報の取得\r\n0x5 未実装\r\n0x6 ターミナルの入出力処理\r\n0x7 ディスクドライブとファイルシステムの情報を取得\r\n0x8 ファイル閲覧関連\r\n0x9 未実装\r\n0xA 未実装\r\n0xB 未実装\r\n0xC ファイル閲覧関連\r\n0xD アップロード関連\r\n0xE 未実装\r\n0xF 未実装\r\n0x10 コマンド実行\r\n0x11 未実装\r\n0x12 Windowsタスク一覧を取得\r\n0x13 IPアドレスの取得\r\n0x14 設定ファイル(.conf)の作成または更新\r\nhttps://www.lac.co.jp/lacwatch/report/20250514_004379.html\r\nPage 12 of 13\n\nID Description\r\n0x15 指定したプロセス終了\r\n0x16 指定したプロセス終了させ、コマンド実行\r\n0x17 ダウンロード関連\r\n0x18 未実装\r\n0x19 未実装\r\n0x1A アップロード関連\r\n0x1B 未実装\r\n0x1C 未実装\r\n0x1D 未実装\r\n0x1E 環境変数の取得\r\n0x1F 指定したプロセス終了させ、コマンド実行\r\n0x20 指定したプロセス終了\r\n0x21 一定時間スリープ後、プログラムを終了\r\n0x22 サービス登録\r\n0x23 ファイル削除\r\nSource: https://www.lac.co.jp/lacwatch/report/20250514_004379.html\r\nhttps://www.lac.co.jp/lacwatch/report/20250514_004379.html\r\nPage 13 of 13", "extraction_quality": 1, "language": "JA", "sources": [ "Malpedia" ], "origins": [ "web" ], "references": [ "https://www.lac.co.jp/lacwatch/report/20250514_004379.html" ], "report_names": [ "20250514_004379.html" ], "threat_actors": [ { "id": "f8dddd06-da24-4184-9e24-4c22bdd1cbbf", "created_at": "2023-01-06T13:46:38.626906Z", "updated_at": "2026-04-10T02:00:03.043681Z", "deleted_at": null, "main_name": "Tick", "aliases": [ "G0060", "Stalker Taurus", "PLA Unit 61419", "Swirl Typhoon", "Nian", "BRONZE BUTLER", "REDBALDKNIGHT", "STALKER PANDA" ], "source_name": "MISPGALAXY:Tick", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "58db0213-4872-41fe-8a76-a7014d816c73", "created_at": "2023-01-06T13:46:38.61757Z", "updated_at": "2026-04-10T02:00:03.040816Z", "deleted_at": null, "main_name": "Tonto Team", "aliases": [ "G0131", "PLA Unit 65017", "Earth Akhlut", "TAG-74", "CactusPete", "KARMA PANDA", "BRONZE HUNTLEY", "Red Beifang" ], "source_name": "MISPGALAXY:Tonto Team", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "da483338-e479-4d74-a6dd-1fb09343fd07", "created_at": "2022-10-25T15:50:23.698197Z", "updated_at": "2026-04-10T02:00:05.355597Z", "deleted_at": null, "main_name": "Tonto Team", "aliases": [ "Tonto Team", "Earth Akhlut", "BRONZE HUNTLEY", "CactusPete", "Karma Panda" ], "source_name": "MITRE:Tonto Team", "tools": [ "Mimikatz", "Bisonal", "ShadowPad", "LaZagne", "NBTscan", "gsecdump" ], "source_id": "MITRE", "reports": null }, { "id": "2f07a03f-eb1f-47c8-a8e9-a1a00f2ec253", "created_at": "2022-10-25T16:07:24.277669Z", "updated_at": "2026-04-10T02:00:04.919609Z", "deleted_at": null, "main_name": "TA428", "aliases": [ "Operation LagTime IT", "Operation StealthyTrident", "ThunderCats" ], "source_name": "ETDA:TA428", "tools": [ "8.t Dropper", "8.t RTF exploit builder", "8t_dropper", "Agent.dhwf", "Albaniiutas", "BlueTraveller", "Chymine", "Cotx RAT", "CoughingDown", "Darkmoon", "Destroy RAT", "DestroyRAT", "Gen:Trojan.Heur.PT", "Kaba", "Korplug", "LuckyBack", "PhantomNet", "PlugX", "Poison Ivy", "RedDelta", "RoyalRoad", "SManager", "SPIVY", "Sogu", "TIGERPLUG", "TManger", "TVT", "Thoper", "Xamtrav", "pivy", "poisonivy" ], "source_id": "ETDA", "reports": null }, { "id": "e3492534-85a6-4c87-a754-5ae4a56d7c8c", "created_at": "2022-10-25T15:50:23.819113Z", "updated_at": "2026-04-10T02:00:05.354598Z", "deleted_at": null, "main_name": "Threat Group-3390", "aliases": [ "Threat Group-3390", "Earth Smilodon", "TG-3390", "Emissary Panda", "BRONZE UNION", "APT27", "Iron Tiger", "LuckyMouse", "Linen Typhoon" ], "source_name": "MITRE:Threat Group-3390", "tools": [ "Systeminfo", "gsecdump", "PlugX", "ASPXSpy", "Cobalt Strike", "Mimikatz", "Impacket", "gh0st RAT", "certutil", "China Chopper", "HTTPBrowser", "Tasklist", "netstat", "SysUpdate", "HyperBro", "ZxShell", "RCSession", "ipconfig", "Clambling", "pwdump", "NBTscan", "Pandora", "Windows Credential Editor" ], "source_id": "MITRE", "reports": null }, { "id": "f0294b63-fb00-41cc-81db-ec7c8d4bb0ca", "created_at": "2024-06-20T02:02:09.94215Z", "updated_at": "2026-04-10T02:00:04.797664Z", "deleted_at": null, "main_name": "Operation Crimson Palace", "aliases": [], "source_name": "ETDA:Operation Crimson Palace", "tools": [], "source_id": "ETDA", "reports": null }, { "id": "17d16126-35d7-4c59-88a5-0b48e755e80f", "created_at": "2025-08-07T02:03:24.622109Z", "updated_at": "2026-04-10T02:00:03.726126Z", "deleted_at": null, "main_name": "BRONZE HUNTLEY", "aliases": [ "CactusPete ", "Earth Akhlut ", "Karma Panda ", "Red Beifang", "Tonto Team" ], "source_name": "Secureworks:BRONZE HUNTLEY", "tools": [ "Bisonal", "RatN", "Royal Road", "ShadowPad" ], "source_id": "Secureworks", "reports": null }, { "id": "c39b0fe6-5642-4717-9a05-9e94265e3e3a", "created_at": "2022-10-25T16:07:24.332084Z", "updated_at": "2026-04-10T02:00:04.940672Z", "deleted_at": null, "main_name": "Tonto Team", "aliases": [ "Bronze Huntley", "CactusPete", "Earth Akhlut", "G0131", "HartBeat", "Karma Panda", "LoneRanger", "Operation Bitter Biscuit", "TAG-74", "Tonto Team" ], "source_name": "ETDA:Tonto Team", "tools": [ "8.t Dropper", "8.t RTF exploit builder", "8t_dropper", "Bioazih", "Bisonal", "CONIME", "Dexbia", "Korlia", "LOLBAS", "LOLBins", "Living off the Land", "Mimikatz", "POISONPLUG.SHADOW", "RoyalRoad", "ShadowPad Winnti", "XShellGhost" ], "source_id": "ETDA", "reports": null }, { "id": "115ee14e-a122-47a4-bef7-5d3668cda109", "created_at": "2025-01-10T02:00:03.15179Z", "updated_at": "2026-04-10T02:00:03.800179Z", "deleted_at": null, "main_name": "CoughingDown", "aliases": [], "source_name": "MISPGALAXY:CoughingDown", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "54e55585-1025-49d2-9de8-90fc7a631f45", "created_at": "2025-08-07T02:03:24.563488Z", "updated_at": "2026-04-10T02:00:03.715427Z", "deleted_at": null, "main_name": "BRONZE BUTLER", "aliases": [ "CTG-2006 ", "Daserf", "Stalker Panda ", "Swirl Typhoon ", "Tick " ], "source_name": "Secureworks:BRONZE BUTLER", "tools": [ "ABK", "BBK", "Casper", "DGet", "Daserf", "Datper", "Ghostdown", "Gofarer", "MSGet", "Mimikatz", "Netboy", "RarStar", "Screen Capture Tool", "ShadowPad", "ShadowPy", "T-SMB", "down_new", "gsecdump" ], "source_id": "Secureworks", "reports": null }, { "id": "20b5fa2f-2ef1-4e69-8275-25927a762f72", "created_at": "2025-08-07T02:03:24.573647Z", "updated_at": "2026-04-10T02:00:03.765721Z", "deleted_at": null, "main_name": "BRONZE DUDLEY", "aliases": [ "TA428 ", "Temp.Hex ", "Vicious Panda " ], "source_name": "Secureworks:BRONZE DUDLEY", "tools": [ "NCCTrojan", "PhantomNet", "PoisonIvy", "Royal Road" ], "source_id": "Secureworks", "reports": null }, { "id": "a4aca3ca-9e04-42d1-b037-f7fb3fbab0b1", "created_at": "2023-01-06T13:46:39.042499Z", "updated_at": "2026-04-10T02:00:03.194713Z", "deleted_at": null, "main_name": "TA428", "aliases": [ "BRONZE DUDLEY", "Colourful Panda" ], "source_name": "MISPGALAXY:TA428", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "6957eadc-136d-4e6c-b158-4035175b2db4", "created_at": "2023-11-07T02:00:07.106754Z", "updated_at": "2026-04-10T02:00:03.410616Z", "deleted_at": null, "main_name": "REF5961", "aliases": [], "source_name": "MISPGALAXY:REF5961", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "5c13338b-eaed-429a-9437-f5015aa98276", "created_at": "2022-10-25T16:07:23.582715Z", "updated_at": "2026-04-10T02:00:04.675765Z", "deleted_at": null, "main_name": "Emissary Panda", "aliases": [ "APT 27", "ATK 15", "Bronze Union", "Budworm", "Circle Typhoon", "Earth Smilodon", "Emissary Panda", "G0027", "Group 35", "Iron Taurus", "Iron Tiger", "Linen Typhoon", "LuckyMouse", "Operation DRBControl", "Operation Iron Tiger", "Operation PZChao", "Operation SpoiledLegacy", "Operation StealthyTrident", "Red Phoenix", "TEMP.Hippo", "TG-3390", "ZipToken" ], "source_name": "ETDA:Emissary Panda", "tools": [ "ASPXSpy", "ASPXTool", "Agent.dhwf", "AngryRebel", "Antak", "CHINACHOPPER", "China Chopper", "Destroy RAT", "DestroyRAT", "FOCUSFJORD", "Farfli", "Gh0st RAT", "Ghost RAT", "HTTPBrowser", "HTran", "HUC Packet Transmit Tool", "HighShell", "HttpBrowser RAT", "HttpDump", "HyperBro", "HyperSSL", "HyperShell", "Kaba", "Korplug", "LOLBAS", "LOLBins", "Living off the Land", "Mimikatz", "Moudour", "Mydoor", "Nishang", "OwaAuth", "PCRat", "PlugX", "ProcDump", "PsExec", "RedDelta", "SEASHARPEE", "Sensocode", "SinoChopper", "Sogu", "SysUpdate", "TIGERPLUG", "TVT", "Thoper", "Token Control", "TokenControl", "TwoFace", "WCE", "Windows Credential Editor", "Windows Credentials Editor", "Xamtrav", "ZXShell", "gsecdump", "luckyowa" ], "source_id": "ETDA", "reports": null }, { "id": "d4e7cd9a-2290-4f89-a645-85b9a46d004b", "created_at": "2022-10-25T16:07:23.419513Z", "updated_at": "2026-04-10T02:00:04.591062Z", "deleted_at": null, "main_name": "Bronze Butler", "aliases": [ "Bronze Butler", "CTG-2006", "G0060", "Operation ENDTRADE", "RedBaldNight", "Stalker Panda", "Stalker Taurus", "Swirl Typhoon", "TEMP.Tick", "Tick" ], "source_name": "ETDA:Bronze Butler", "tools": [ "8.t Dropper", "8.t RTF exploit builder", "8t_dropper", "9002 RAT", "AngryRebel", "Blogspot", "Daserf", "Datper", "Elirks", "Farfli", "Gh0st RAT", "Ghost RAT", "HOMEUNIX", "HidraQ", "HomamDownloader", "Homux", "Hydraq", "Lilith", "Lilith RAT", "McRAT", "MdmBot", "Mimikatz", "Minzen", "Moudour", "Muirim", "Mydoor", "Nioupale", "PCRat", "POISONPLUG.SHADOW", "Roarur", "RoyalRoad", "ShadowPad Winnti", "ShadowWali", "ShadowWalker", "SymonLoader", "WCE", "Wali", "Windows Credential Editor", "Windows Credentials Editor", "XShellGhost", "XXMM", "gsecdump", "rarstar" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434951, "ts_updated_at": 1775826708, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/a631aeebe8791d1354dda316276380f42472ffe0.pdf", "text": "https://archive.orkl.eu/a631aeebe8791d1354dda316276380f42472ffe0.txt", "img": "https://archive.orkl.eu/a631aeebe8791d1354dda316276380f42472ffe0.jpg" } }