{
	"id": "4648b001-cd96-49ac-a7d9-0402d460180b",
	"created_at": "2026-04-06T00:13:15.255964Z",
	"updated_at": "2026-04-10T13:12:39.424547Z",
	"deleted_at": null,
	"sha1_hash": "acf4c7e7f7deb1eccdc172177d43cc03a28ef8b7",
	"title": "Microsoft社のデジタル署名を悪用した「Cobalt Strike loader」による標的型攻撃〜攻撃者グループAPT41 | LAC WATCH",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2613807,
	"plain_text": "Microsoft社のデジタル署名を悪用した「Cobalt Strike loader」\r\nによる標的型攻撃〜攻撃者グループAPT41 | LAC WATCH\r\nBy 石川 芳浩\r\nPublished: 2021-05-27 · Archived: 2026-04-05 21:08:58 UTC\r\n更新のお知らせ\r\n「攻撃痕跡の確認と検出」と「IOC」を追記いたしました。\r\nラックの石川です。\r\n2020年12月にLAC WATCHで、Microsoft社のデジタル署名ファイルを悪用する「SigLoader」を悪用し\r\nた、APT10による新しい攻撃の手口を紹介しました。※1\r\n※1 【緊急レポート】Microsoft社のデジタル署名ファイルを悪用する「SigLoader」による標的型攻撃を\r\n確認\r\n私の所属する脅威分析チームでは、2021年に入ってからも、SigLoader（別名：DESLoader, Ecipekac）\r\nを利用した攻撃を引き続き観測しています。このSigLoaderを利用した一連の攻撃は、2021年1月に\r\nJapan Security Analyst Conference（JSAC）、さらに、2021年3月にKaspersky社のブログで攻撃キャンペ\r\nーンA41APTとしても報告されており、注意が必要な脅威であることがわかります。\r\n私たちは、Sigloaderを悪用する攻撃の調査を進める中で、SigLoaderとは異なる、Microsoft社のデジタ\r\nル署名がされたDLLファイルを悪用するマルウェア「Cobalt Strike loader※2」を複数確認しました。今\r\n回は、このCobalt Strike loaderと背後に潜む攻撃者グループ「APT41」との関連性について紹介しま\r\nす。\r\n※2 Cobalt Strike loader：多機能なペネトレーションテストツールCobalt Strike のStagerまたはBeaconを悪\r\n用したマルウェア。\r\n目次\r\n1. Cobalt Strike loaderが読み込むファイル\r\n2. Cobalt Strike loaderの特徴\r\n3. 復号されたペイロード\r\n4. Microsoft社のデジタル署名ファイルを悪用するCobalt Strike loaderとAPT41との関連性\r\n5. 攻撃キャンペーンに利用するインフラ\r\n6. 攻撃痕跡の確認と検出\r\n7. まとめ\r\n8. IOC（Indicator Of Compromised）\r\nCobalt Strike loaderが読み込むファイル\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 1 of 16\n\n図1は、Cobalt Strike loaderで悪用されるDLLファイル（KBDTAM131.DLL）のデジタル署名を\r\nSigcheck※3で確認したものです。赤線枠のように「Signed」と検証されており、署名は正しいものであ\r\nることがわかります。\r\n※3 Sigcheck - Windows Sysinternals | Microsoft Docs\r\n図1 Microsoft社のデジタル署名を持つDLLファイルの署名の有効性確認\r\nこのKBDTAM131.DLLは、「C:\\WINDOWS\\system32」に含まれるMicrosoft社のUXLibRes.dllを改ざんし\r\nたDLLファイルであり、Microsoft社のデジタル署名後に正規のUXLibRes.dllには存在しないデータが含\r\nまれていることが確認できます（図2の赤線枠）。このデータが、Cobalt Strike loaderによって読み込ま\r\nれた後、Cobalt Strike Beaconとして実行されます。\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 2 of 16\n\n図2 Microsoft社のデジタル署名ファイル（KBDTAM131.DLL）に含まれたペイロード（一\r\n部抜粋）\r\nCobalt Strike loaderの特徴\r\nCobalt Strike loaderは、攻撃者が設定した特定のWindowsサービスまたはIKE and AuthIP IPsec Keying\r\nModules（IKEEXT）サービスを悪用※4して実行されるように設計されています。サービス起動時に\r\nCobalt Strike loaderと同じディレクトリに配置されたMicrosoft社のデジタル署名されたDLLファイルを\r\n読み込み、埋め込まれたペイロードを復号して実行します。読み込むDLLのファイル名やオフセッ\r\nト、ペイロード（Cobalt Strike Beacon）などはストリーム暗号のChacha20※5で暗号化されています。\r\n※4 IKEEXTサービスが、実行時に既定では存在しない「C:\\Windows\\System32\\wlbsctrl.dll」を読み込む\r\nため、DLLハイジャックが可能であり、この手口を悪用しています。\r\n※5 rfc7539\r\nまた、マルウェアで利用される一部のWindows APIもChacha20で暗号化されています。図3は、読み込\r\nむDLLのファイル名やオフセットなどを復号する関数の一部抜粋です。図4は、復号時に利用するハー\r\nドコードされたChacha20のキー（赤線枠）、nonce（橙線枠）、暗号化された文字列（青線枠）や暗号\r\n化された文字列長（緑線枠）を示しています。\r\n図3 読み込むDLLのファイル名などを復号する関数（一部抜粋）\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 3 of 16\n\n図4 ハードコードされている暗号化キーや暗号化された文字列（一部抜粋）\r\n暗号化された文字列を復号すると、図5の下の画像に示すように、「KBDTAM131.DLL」が読み込むフ\r\nァイルであることが確認できます。また、図5の赤線枠の値（0x2E10）は、データの読み込み開始オフ\r\nセット（ペイロードのスタート位置）、青線枠の値は、KBDTAM131.DLLに含まれた暗号化されたペ\r\nイロード（Cobalt Strike Beacon）を復号する際に利用するChacha20のnonceです。\r\n図5 暗号化された文字列の比較（上：復号前／下：復号後）\r\nCobalt Strike loaderは、KBDTAM131.DLLのオフセット0x2E10から暗号化されたペイロードを読み込\r\nみ、Chacha20を利用して復号し、メモリ領域に展開後、実行します。図6は、KBDTAM131.DLLに含ま\r\nれた暗号化されたペイロードと復号したペイロードを比較したものです。復号する際に利用する\r\nChacha20のキーは、図4の赤線枠であり、nonceは、図5の青線枠です。\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 4 of 16\n\n図6 暗号化されたペイロードの比較（上：復号前／下：復号後）（一部抜粋）\r\n復号されたペイロード\r\n図7に示すように、復号されたペイロードは、Cobalt Strike Beaconです。設定情報を確認すると、Cobalt\r\nStrike 4.xのリーク/クラックされたバージョン（watermark：0x12345678）で、HTTPS（0x08）プロトコ\r\nルを利用して、443/TCPでTeam Server（C2サーバ）と通信するように設定されていました。※6（図8）\r\n※6 他のペイロードでは、HTTPとDNSプロトコルで通信を行うように設定されているものも確認して\r\nいます。\r\n図7 エクスポートされるDLLファイル（beacon.x64.dll）\r\n図8 設定情報（一部抜粋）\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 5 of 16\n\nMicrosoft社のデジタル署名ファイルを悪用するCobalt Strike loaderとAPT41と\r\nの関連性\r\n私たちは、Cobalt Strike loaderを調べる中で、FireEye社が2020年3月に報告するAPT41のレポート※7で紹\r\n介する痕跡と類似するものを確認しました。以降では、類似する痕跡を2つ紹介します。「FireEye サン\r\nプル」が、FireEye社が公開する痕跡で、「NEWサンプル」がMicrosoft社のデジタル署名されたDLLフ\r\nァイルを悪用するCobalt Strike loaderの攻撃で利用された痕跡です。\r\n※7 This Is Not a Test: APT41 Initiates Global Intrusion Campaign Using Multiple Exploits\r\n1. インストールスクリプト\r\n  ファイル名 ハッシュ値（MD5）\r\nFireEyeサンプル install.bat 7966c2c546b71e800397a67f942858d0\r\nNEWサンプル install.bat fef94f9977f6c9da0d8e006a5fefc5c1\r\n図9に示すように、バッチファイルの内容を比較すると、サービス登録するDLLファイルは異なります\r\nが、他の要素は、ほぼ同一であることが確認できます。なお、NEWサンプルに含まれる2つのDLLは、\r\n前項で紹介した、Cobalt Strike loader（AacSvc.dll）とMicrosoft社のデジタル署名ファイルを持つ暗号化\r\nされたペイロード（KBDTAM131.DLL）です。\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 6 of 16\n\n図9 インストールスクリプトの比較（上：FireEyeサンプル／下：NEWサンプル）\r\n2. Cobalt Strike loaderのWindows APIアドレス解決とエクスポートされるDLLファイル\r\n  ファイル名 ハッシュ値（MD5）\r\nFireEyeサンプル storesyncsvc.dll 5909983db4d9023e4098e56361c96a6f\r\nNEWサンプル AacSvc.dll 1e750c5cf5c68443b17c15f4aac4d794\r\n図10に示すように、コードの内容を比較すると、呼び出されている特定のWindows APIは異なります\r\nが、Windows APIのアドレス解決を呼び出すコードに類似性が見られます。また、エクスポートされる\r\nDLLのファイル名も命名規則が似ている※8ことも確認できます。\r\n※8 Ecoco.dllといった命名規則が類似しないCobalt Strike loaderも一部確認しています。\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 7 of 16\n\n図10 Windows APIのアドレス解決を呼び出すコードの比較（上：FireEyeサンプル／下：\r\nNEWサンプル）\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 8 of 16\n\n図11 エクスポートされるDLLファイルの比較（上：FireEyeサンプル／下：NEWサンプ\r\nル）\r\nこのような類似点を踏まえると、Microsoft社のデジタル署名されたDLLファイルを悪用するCobalt\r\nStrike loaderもAPT41が利用したものである可能性が高いと考えます。\r\nAPT41は、少なくとも2020年3月頃からCobalt Strike loaderを利用しており、攻撃を仕掛けるごとに機能\r\nを追加または変更し、攻撃キャンペーン毎に使い分けて利用しています。上記2つのサンプルの亜種以\r\n外にも、ペイロードを読み込まずDLL内にシェルコードが内包されるものも確認しています。なお、\r\nPositive Technologies社のブログ※9でAPT41のCobalt Strike loaderに関連する痕跡情報がいくつか公開さ\r\nれています。\r\n※9 Higaisa or Winnti? APT41 backdoors, old and new（https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/higaisa-or-winnti-apt-41-backdoors-old-and-new/）\r\n攻撃キャンペーンに利用するインフラ\r\nここでは、攻撃者がC2サーバまたはツール置き場として悪用していた通信先に目を向けてみます。図\r\n12は、Microsoft社のデジタル署名されたDLLファイルを悪用するCobalt Strike loaderやそのペイロード\r\nが配置されていた通信先（119.45.238[.]189）を元に、Maltegoで関連する要素を一部マッピングしたも\r\nのです。赤線枠で示す、Cobalt Strike loaderに注目してみると、ハイライトするものとは別に、青線枠\r\nで示す、デジタル署名ファイルが付与されていない「systems.log」ファイルをペイロードとして読み込\r\nむ別のCobalt Strike loader（tools.exe）が確認できます。\r\nPassive DNSなどの情報からツール置き場として悪用されていた時期を確認してみると、\r\n「119.45.238[.]189」が、2020年11月下旬、一方で「192.109.98[.]187」が2020年10月下旬に使われてお\r\nり、攻撃者は、攻撃キャンペーンによって、Cobalt Strike loaderを使い分けていることが窺えます。\r\n次に、左上にマッピングされた緑枠線のLNKファイル「Top-up Scheme_Member List as of\r\n20201022v1_for Nomination.pdf.lnk」に着目してみます。このファイルは、図13に示すように、Cobalt\r\nStrike Becon（const.exe）のダウンローダであり、初期侵入で利用されたと考えられます。また、ダウ\r\nンロードされたCobalt Strike Beconの通信先は、「www.microsofthelp.dns1[.]us」であり、正引きしたIPア\r\nドレスは、「192.109.98[.]187」とここでも関連性が見えます。図14は、LNKファイル実行後に表示さ\r\nれるデコイファイルの内容です。\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 9 of 16\n\n図12 Cobalt Strike loaderと通信先の関連性\r\n図13 LNKファイルの内容\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 10 of 16\n\n図14 デコイファイルの内容（一部抜粋）\r\n攻撃痕跡の確認と検出\r\n今回紹介した、Cobalt Strike loaderは、Windowsサービスを利用して実行されるため、レジストリキーや\r\nイベントログにいくつか関連する痕跡が残る可能性が高いです。以下にその痕跡を確認する方法を一\r\n例として紹介します。また、最後にCobalt Strike loaderが悪用するMicrosoft社のデジタル署名された\r\nDLLファイルを適切に署名検証するための、レジストリ設定を紹介します。\r\n1. Autoruns※10による自動起動プログラムの確認\r\nAutorunsを利用して、自動起動アプリケーションやレジストリ、ファイルを監査し、不審なプログラム\r\nが登録されていないか確認します。図15に示す通り、Cobalt Strike loaderがサービス登録された場合、\r\nコード署名を確認するオプションを有効にしたAutorunsでは、ピンク色にハイライトされており、\r\nAacSvc.dllが不正ファイルであることが確認できます。ただし、IKEEXTサービスを悪用する手口の場\r\n合は、IKEEXTサービスはOSに元から存在する正規サービスであり、このサービスが不正なwlbsctrl.dll\r\nを読み込む事はAutoruns上から確認できないため（図16）、イベントログ（システム）で不審なサービ\r\nスの停止および開始がないか等を確認する必要があります。\r\n※10 Autoruns for Windows - Windows Sysinternals | Microsoft Docs\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 11 of 16\n\n図15 Autoruns実行結果（AacSvc.dllの例）\r\n図16 Autoruns実行結果（IKEEXTサービスの例）\r\n2. イベントログの確認\r\nCobalt Strike Loaderに関連する攻撃を受けた場合、サービスのインストールが発生する可能性があるこ\r\nとから、イベントログ（システム）に、イベントID 7045でサービスのインストールが記録されている\r\n場合があります。システムログを確認し、不審なWindowsサービスのインストールが行われていないか\r\n確認します。また、イベントID 7036において、IKEEXTサービスが意図せず、停止および開始されてい\r\nないか確認します。※11なお、OSによっては、既定ではIKEEXTサービスは手動実行となっており、サ\r\nービスを開始することで、イベントID 7040が記録されるため、このタイプのイベントログが意図しな\r\nいものでないか確認します。\r\n※11 OS種別によっては、イベントID 7036が記録されない場合があります。\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 12 of 16\n\n図17 システムログ（イベントID:7045）の一部抜粋\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 13 of 16\n\n図18 システムログ（イベントID:7036）の一部抜粋\r\n3. FalconNestのLive Investigatorの利用\r\n弊社が提供する無料調査ツール「FalconNest」※12のLive Investigatorを利用することで、イベントログ\r\nの不審点または不審な自動実行ファイルが登録されていないか確認することが可能です。\r\n※12 無料調査ツール「FalconNest（ファルコンネスト）」\r\n4. Yaraを利用した検出\r\nMicrosoft社のデジタル署名されたDLLファイルを悪用するCobalt Strike loaderのYaraルールです。この検\r\n知ルールを利用することで、Cobalt Strike loaderを検出することが可能です。なお、本検知ルールの利\r\n用により過検出が発生する可能性があるため、本番システムへ導入する場合は、事前にテスト、チュ\r\nーニング頂くことをお勧めします。\r\nrule apt41_ms_codesign_cobalt_strike_loader\r\n{\r\n meta:\r\n author = \"LAC Co., Ltd.\"\r\n strings:\r\n $str1 = \"sysinfotool\" fullword wide\r\n $str2 = \"Microsoft system info\" fullword wide\r\n $str3 = \"ComSpec\" fullword wide\r\n $str4 = \"\u003e\u003e NUL\" fullword wide\r\n $str5 = \"system\" fullword ascii\r\n condition:\r\n uint16(0) == 0x5A4D and (all of ($str*)) and filesize \u003c 100KB\r\n}\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 14 of 16\n\n5. デジタル署名されたファイルの署名検証\r\nMicrosoft社のセキュリティアドバイザリ（2915720）※13を参考に、Windows Authenticode 署名検証の機\r\n能を有効化するためのレジストリを追加することで、SigLoaderやCobalt Strike loaderが悪用するデジタ\r\nル署名されたファイルを適切に検証することが可能です（図19）。\r\nただし、通常のWindows環境では、この機能は既定で無効になっており、当該アドバイザリを参考に、\r\nユーザが手動で有効にする必要があります。また、Microsoft社のブログ※14によれば、この署名検証機\r\n能について、「既定で有効にした場合の既存のソフトウェアへの影響が大きい」と報告しているた\r\nめ、有効化する前にシステム環境における影響の有無をご確認頂くことを推奨します。\r\n図19 Microsoft社のデジタル署名を持つDLLファイルの署名の有効性確認（署名検証の機能\r\nを有効）\r\n※13 Microsoft Security Advisory 2915720 | Microsoft Docs\r\n※14 Windows Authenticode 署名検証の変更は 6 月に自動更新で有効化 - Microsoft Security Response\r\nCenter\r\nまとめ\r\n今回は、Microsoft社のデジタル署名されたDLLファイルを悪用するCobalt Strike loaderについて紹介し\r\nました。Microsoft社のデジタル署名されたファイルを悪用する攻撃は、APT10が利用する\r\n「SigLoader」に次いで2例目の確認になります。コンパイル日時が最も古い2つのマルウェアを比較し\r\nてみると、Cobalt Strike loaderは、2020年10月下旬、SigLoaderは、2020年10月上旬と近い日時で作成さ\r\nれていることが確認できました。このようなことから、攻撃者グループは、グループ間において、技\r\n術情報や開発したマルウェア、ノウハウ等を共有している可能性が高いと考えます。\r\n昨今、サイバー攻撃の起点は、添付ファイルや本文にリンクを含むスピアフィッシングメールより\r\nも、SSL-VPN製品、ルータ・ゲートウェイ製品などの脆弱性を悪用するケースの割合が高くなってい\r\nます。攻撃者は、コロナ禍でインターネットに露出したネットワーク機器の脆弱な部分を見逃さず悪\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 15 of 16\n\n用してきています。インターネットに直結しているネットワーク機器は、常にサイバー攻撃にさらさ\r\nれているため注意が必要であり、これら機器の脆弱性を悪用されないためにも、日々の脆弱性情報の\r\n管理と修正パッチの適用や緩和策の適用などの早急な対応が求められます。\r\nラックの脅威分析チームでは、今後もこのCobalt Strike loaderやAPT41について、継続的に調査し、広\r\nく情報を提供していきますので、ご活用いただければ幸いです。\r\nIOC（Indicator Of Compromised）\r\nCobalt Strike Loaderハッシュ値（MD5）\r\n1e750c5cf5c68443b17c15f4aac4d794\r\n083eae61806f710ba2fa8fb368f7e998\r\n420c09296ae836a853c5968a2a554f96\r\n955f71062d06ebca0c9852ae3ec2965b\r\n6e17ee7ca6fddf28a47cc07d5524ce5c\r\nf5158addf976243ffc19449e74c4bbad\r\n79175a12c63c4f4980f09d9dd41ce64a\r\nペイロード（MD5）\r\n89c6ccd4785f58b7cb253045ef662476\r\n2f2e724dd7d726d34b3f2cfad92e6f9a\r\naf9959184a17de5dcd717882b2d58103\r\n03f7b36b33e30023d34adf80165b7dbb\r\nインストールスクリプト（MD5）\r\nfef94f9977f6c9da0d8e006a5fefc5c1\r\n通信先\r\nwww.corpsolution[.]net\r\nwww.mircoupdate.https443[.]net\r\nns1.mssetting[.]com\r\nns.cloud01[.]tk\r\n119.45.238[.]189\r\nSource: https://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nhttps://www.lac.co.jp/lacwatch/report/20210521_002618.html\r\nPage 16 of 16",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.lac.co.jp/lacwatch/report/20210521_002618.html"
	],
	"report_names": [
		"20210521_002618.html"
	],
	"threat_actors": [
		{
			"id": "ec14074c-8517-40e1-b4d7-3897f1254487",
			"created_at": "2023-01-06T13:46:38.300905Z",
			"updated_at": "2026-04-10T02:00:02.918468Z",
			"deleted_at": null,
			"main_name": "APT10",
			"aliases": [
				"Red Apollo",
				"HOGFISH",
				"BRONZE RIVERSIDE",
				"G0045",
				"TA429",
				"Purple Typhoon",
				"STONE PANDA",
				"Menupass Team",
				"happyyongzi",
				"CVNX",
				"Cloud Hopper",
				"ATK41",
				"Granite Taurus",
				"POTASSIUM"
			],
			"source_name": "MISPGALAXY:APT10",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "610a7295-3139-4f34-8cec-b3da40add480",
			"created_at": "2023-01-06T13:46:38.608142Z",
			"updated_at": "2026-04-10T02:00:03.03764Z",
			"deleted_at": null,
			"main_name": "Cobalt",
			"aliases": [
				"Cobalt Group",
				"Cobalt Gang",
				"GOLD KINGSWOOD",
				"COBALT SPIDER",
				"G0080",
				"Mule Libra"
			],
			"source_name": "MISPGALAXY:Cobalt",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "873919c0-bc6a-4c19-b18d-c107e4aa3d20",
			"created_at": "2023-01-06T13:46:39.138138Z",
			"updated_at": "2026-04-10T02:00:03.227223Z",
			"deleted_at": null,
			"main_name": "Higaisa",
			"aliases": [],
			"source_name": "MISPGALAXY:Higaisa",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "ba9fa308-a29a-4928-9c06-73aafec7624c",
			"created_at": "2024-05-01T02:03:07.981061Z",
			"updated_at": "2026-04-10T02:00:03.750803Z",
			"deleted_at": null,
			"main_name": "BRONZE RIVERSIDE",
			"aliases": [
				"APT10 ",
				"CTG-5938 ",
				"CVNX ",
				"Hogfish ",
				"MenuPass ",
				"MirrorFace ",
				"POTASSIUM ",
				"Purple Typhoon ",
				"Red Apollo ",
				"Stone Panda "
			],
			"source_name": "Secureworks:BRONZE RIVERSIDE",
			"tools": [
				"ANEL",
				"AsyncRAT",
				"ChChes",
				"Cobalt Strike",
				"HiddenFace",
				"LODEINFO",
				"PlugX",
				"PoisonIvy",
				"QuasarRAT",
				"QuasarRAT Loader",
				"RedLeaves"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "30c9c492-afc6-4aa1-8fe6-cecffed946e0",
			"created_at": "2022-10-25T15:50:23.400822Z",
			"updated_at": "2026-04-10T02:00:05.350302Z",
			"deleted_at": null,
			"main_name": "Higaisa",
			"aliases": [
				"Higaisa"
			],
			"source_name": "MITRE:Higaisa",
			"tools": [
				"PlugX",
				"certutil",
				"gh0st RAT"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "c7d9878a-e691-4c6f-81ae-84fb115a1345",
			"created_at": "2022-10-25T16:07:23.359506Z",
			"updated_at": "2026-04-10T02:00:04.556639Z",
			"deleted_at": null,
			"main_name": "APT 41",
			"aliases": [
				"BrazenBamboo",
				"Bronze Atlas",
				"Double Dragon",
				"Earth Baku",
				"G0096",
				"Grayfly",
				"Operation ColunmTK",
				"Operation CuckooBees",
				"Operation ShadowHammer",
				"Red Kelpie",
				"SparklingGoblin",
				"TA415",
				"TG-2633"
			],
			"source_name": "ETDA:APT 41",
			"tools": [
				"9002 RAT",
				"ADORE.XSEC",
				"ASPXSpy",
				"ASPXTool",
				"AceHash",
				"Agent.dhwf",
				"Agentemis",
				"AndroidControl",
				"AngryRebel",
				"AntSword",
				"BLUEBEAM",
				"Barlaiy",
				"BlackCoffee",
				"Bladabindi",
				"BleDoor",
				"CCleaner Backdoor",
				"CHINACHOPPER",
				"COLDJAVA",
				"China Chopper",
				"ChyNode",
				"Cobalt Strike",
				"CobaltStrike",
				"Crackshot",
				"CrossWalk",
				"CurveLast",
				"CurveLoad",
				"DAYJOB",
				"DBoxAgent",
				"DEADEYE",
				"DEADEYE.APPEND",
				"DEADEYE.EMBED",
				"DEPLOYLOG",
				"DIRTCLEANER",
				"DUSTTRAP",
				"Derusbi",
				"Destroy RAT",
				"DestroyRAT",
				"DodgeBox",
				"DragonEgg",
				"ELFSHELF",
				"EasyNight",
				"Farfli",
				"FunnySwitch",
				"Gh0st RAT",
				"Ghost RAT",
				"HDD Rootkit",
				"HDRoot",
				"HKDOOR",
				"HOMEUNIX",
				"HUI Loader",
				"HidraQ",
				"HighNoon",
				"HighNote",
				"Homux",
				"Hydraq",
				"Jorik",
				"Jumpall",
				"KEYPLUG",
				"Kaba",
				"Korplug",
				"LATELUNCH",
				"LOLBAS",
				"LOLBins",
				"LightSpy",
				"Living off the Land",
				"Lowkey",
				"McRAT",
				"MdmBot",
				"MessageTap",
				"Meterpreter",
				"Mimikatz",
				"MoonBounce",
				"MoonWalk",
				"Motnug",
				"Moudour",
				"Mydoor",
				"NTDSDump",
				"PACMAN",
				"PCRat",
				"PINEGROVE",
				"PNGRAT",
				"POISONPLUG",
				"POISONPLUG.SHADOW",
				"POTROAST",
				"PRIVATELOG",
				"PipeMon",
				"PlugX",
				"PortReuse",
				"ProxIP",
				"ROCKBOOT",
				"RbDoor",
				"RedDelta",
				"RedXOR",
				"RibDoor",
				"Roarur",
				"RouterGod",
				"SAGEHIRE",
				"SPARKLOG",
				"SQLULDR2",
				"STASHLOG",
				"SWEETCANDLE",
				"ScrambleCross",
				"Sensocode",
				"SerialVlogger",
				"ShadowHammer",
				"ShadowPad Winnti",
				"SinoChopper",
				"Skip-2.0",
				"SneakCross",
				"Sogu",
				"Speculoos",
				"Spyder",
				"StealthReacher",
				"StealthVector",
				"TERA",
				"TIDYELF",
				"TIGERPLUG",
				"TOMMYGUN",
				"TVT",
				"Thoper",
				"Voldemort",
				"WIDETONE",
				"WINNKIT",
				"WINTERLOVE",
				"Winnti",
				"WyrmSpy",
				"X-Door",
				"XDOOR",
				"XMRig",
				"XShellGhost",
				"Xamtrav",
				"ZXShell",
				"ZoxPNG",
				"certutil",
				"certutil.exe",
				"cobeacon",
				"gresim",
				"njRAT",
				"pwdump",
				"xDll"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "c0cedde3-5a9b-430f-9b77-e6568307205e",
			"created_at": "2022-10-25T16:07:23.528994Z",
			"updated_at": "2026-04-10T02:00:04.642473Z",
			"deleted_at": null,
			"main_name": "DarkHotel",
			"aliases": [
				"APT-C-06",
				"ATK 52",
				"CTG-1948",
				"Dubnium",
				"Fallout Team",
				"G0012",
				"G0126",
				"Higaisa",
				"Luder",
				"Operation DarkHotel",
				"Operation Daybreak",
				"Operation Inexsmar",
				"Operation PowerFall",
				"Operation The Gh0st Remains the Same",
				"Purple Pygmy",
				"SIG25",
				"Shadow Crane",
				"T-APT-02",
				"TieOnJoe",
				"Tungsten Bridge",
				"Zigzag Hail"
			],
			"source_name": "ETDA:DarkHotel",
			"tools": [
				"Asruex",
				"DarkHotel",
				"DmaUp3.exe",
				"GreezeBackdoor",
				"Karba",
				"Nemain",
				"Nemim",
				"Ramsay",
				"Retro",
				"Tapaoux",
				"Trojan.Win32.Karba.e",
				"Virus.Win32.Pioneer.dx",
				"igfxext.exe",
				"msieckc.exe"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "4d5f939b-aea9-4a0e-8bff-003079a261ea",
			"created_at": "2023-01-06T13:46:39.04841Z",
			"updated_at": "2026-04-10T02:00:03.196806Z",
			"deleted_at": null,
			"main_name": "APT41",
			"aliases": [
				"WICKED PANDA",
				"BRONZE EXPORT",
				"Brass Typhoon",
				"TG-2633",
				"Leopard Typhoon",
				"G0096",
				"Grayfly",
				"BARIUM",
				"BRONZE ATLAS",
				"Red Kelpie",
				"G0044",
				"Earth Baku",
				"TA415",
				"WICKED SPIDER",
				"HOODOO",
				"Winnti",
				"Double Dragon"
			],
			"source_name": "MISPGALAXY:APT41",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "e698860d-57e8-4780-b7c3-41e5a8314ec0",
			"created_at": "2022-10-25T15:50:23.287929Z",
			"updated_at": "2026-04-10T02:00:05.329769Z",
			"deleted_at": null,
			"main_name": "APT41",
			"aliases": [
				"APT41",
				"Wicked Panda",
				"Brass Typhoon",
				"BARIUM"
			],
			"source_name": "MITRE:APT41",
			"tools": [
				"ASPXSpy",
				"BITSAdmin",
				"PlugX",
				"Impacket",
				"gh0st RAT",
				"netstat",
				"PowerSploit",
				"ZxShell",
				"KEYPLUG",
				"LightSpy",
				"ipconfig",
				"sqlmap",
				"China Chopper",
				"ShadowPad",
				"MESSAGETAP",
				"Mimikatz",
				"certutil",
				"njRAT",
				"Cobalt Strike",
				"pwdump",
				"BLACKCOFFEE",
				"MOPSLED",
				"ROCKBOOT",
				"dsquery",
				"Winnti for Linux",
				"DUSTTRAP",
				"Derusbi",
				"ftp"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "2a24d664-6a72-4b4c-9f54-1553b64c453c",
			"created_at": "2025-08-07T02:03:24.553048Z",
			"updated_at": "2026-04-10T02:00:03.787296Z",
			"deleted_at": null,
			"main_name": "BRONZE ATLAS",
			"aliases": [
				"APT41 ",
				"BARIUM ",
				"Blackfly ",
				"Brass Typhoon",
				"CTG-2633",
				"Earth Baku ",
				"GREF",
				"Group 72 ",
				"Red Kelpie ",
				"TA415 ",
				"TG-2633 ",
				"Wicked Panda ",
				"Winnti"
			],
			"source_name": "Secureworks:BRONZE ATLAS",
			"tools": [
				"Acehash",
				"CCleaner v5.33 backdoor",
				"ChinaChopper",
				"Cobalt Strike",
				"DUSTPAN",
				"Dicey MSDN",
				"Dodgebox",
				"ForkPlayground",
				"HUC Proxy Malware (Htran)"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "ba3fff0c-3ba0-4855-9eeb-1af9ee18136a",
			"created_at": "2022-10-25T15:50:23.298889Z",
			"updated_at": "2026-04-10T02:00:05.316886Z",
			"deleted_at": null,
			"main_name": "menuPass",
			"aliases": [
				"menuPass",
				"POTASSIUM",
				"Stone Panda",
				"APT10",
				"Red Apollo",
				"CVNX",
				"HOGFISH",
				"BRONZE RIVERSIDE"
			],
			"source_name": "MITRE:menuPass",
			"tools": [
				"certutil",
				"FYAnti",
				"UPPERCUT",
				"SNUGRIDE",
				"P8RAT",
				"RedLeaves",
				"SodaMaster",
				"pwdump",
				"Mimikatz",
				"PlugX",
				"PowerSploit",
				"ChChes",
				"cmd",
				"QuasarRAT",
				"AdFind",
				"Cobalt Strike",
				"PoisonIvy",
				"EvilGrab",
				"esentutl",
				"Impacket",
				"Ecipekac",
				"PsExec",
				"HUI Loader"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775434395,
	"ts_updated_at": 1775826759,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/acf4c7e7f7deb1eccdc172177d43cc03a28ef8b7.pdf",
		"text": "https://archive.orkl.eu/acf4c7e7f7deb1eccdc172177d43cc03a28ef8b7.txt",
		"img": "https://archive.orkl.eu/acf4c7e7f7deb1eccdc172177d43cc03a28ef8b7.jpg"
	}
}