{ "id": "8d41b3bd-8a05-4cb9-9ff3-04fb58a32a93", "created_at": "2026-04-06T00:12:16.912336Z", "updated_at": "2026-04-10T03:37:41.017318Z", "deleted_at": null, "sha1_hash": "c9fcfbefb97fcbf98e543eaba94dde7b66b81858", "title": "Operation RestyLink: 日本企業を狙った標的型攻撃キャンペーン", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 2380818, "plain_text": "Operation RestyLink: 日本企業を狙った標的型攻撃キャンペーン\r\nBy NTTセキュリティ・ジャパン株式会社\r\nPublished: 2022-05-11 · Archived: 2026-04-05 21:25:23 UTC\r\nBy Rintaro Koike\r\nPublished May 11, 2022 | Japanese\r\n本日の記事は、SOC アナリスト 小池 倫太郎の記事です。\r\n---\r\n2022年4月中旬から日本企業を狙った標的型攻撃キャンペーンを複数の組織で観測しています。この攻\r\n撃キャンペーンは2022年3月にも活動していたと考えられ、また2021年10月にも関連した攻撃が行われ\r\nていた可能性があります。このことから、短期・単発的な攻撃キャンペーンではなく、今後も攻撃が\r\n継続する可能性があります。\r\n本稿では、この攻撃キャンペーンについて詳細な解析を行い、その攻撃主体の帰属について検討しま\r\nす。\r\n攻撃概要\r\n2022年4月中旬に観測した攻撃の流れは以下のとおりです。 \r\nhttps://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink\r\nPage 1 of 10\n\nスピアフィッシングメールに書かれたURLにアクセスすると、攻撃者の管理するサーバからZIPファイ\r\nルがダウンロードされます。ユーザがZIPファイル内のLNKファイルを実行すると、Windowsコマンド\r\nを使用し、攻撃者サーバからDOTファイルをダウンロードし、Microsoft Wordのスタートアップディレ\r\nクトリへ配置します。その際、デコイとなるPDFファイルをユーザに表示されます。\r\n次回以降、ユーザがWordファイルを開くと、スタートアップディレクトリに置かれたDOTファイルが\r\nロードされ、仕込まれたマクロが発火します。マクロは更に攻撃者サーバからDOTファイルをダウン\r\nロードし、実行しますが、私達の調査時点ではこのDOTファイルの入手ができませんでした。\r\n詳細解析\r\nLNKファイル\r\nLNKファイルのアイコンはPDFファイルになっていますが、実際にはScriptRunner.exeを使用し、大きく\r\n2つの処理が行われます。\r\n1. デコイのPDFファイルを表示\r\n2. DOTファイルをダウンロードし、Microsoft Wordのスタートアップディレクトリへ配置\r\n表示されるデコイのPDFファイルは2種類ありますが、ともに日韓関係に関するものでした。黒塗りし\r\nているところには実在する人物の名前が書かれていました。\r\nDOTファイル\r\nhttps://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink\r\nPage 2 of 10\n\nユーザがWordファイルを開くと、スタートアップディレクトリに配置されたDOTファイルが読み込ま\r\nれます。DOTファイルには以下のようなマクロが仕込まれていました。\r\nマクロは更にDOTファイルを読み込み、実行します。この際、ファイル名にユーザ名を含んでおり、\r\n攻撃者が被害ユーザの環境を把握していたことが分かります。調査時点で、追加のDOTファイルは入\r\n手できませんでした。 \r\n関連した攻撃\r\n2022年4月下旬の事例\r\n2022年4月下旬、今回の攻撃キャンペーンと同一のインフラからISOファイルがダウンロードできたこ\r\nとを確認しています。攻撃の流れは以下のようになっています。\r\nそのISOファイルにはデコイファイルの他に、正規のMicrosoft WordのEXEファイルと、悪意のあるDLL\r\nファイルが含まれていました。DLLファイルはEXEファイルを実行時にサイドロードされ、実行されま\r\nす。\r\nhttps://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink\r\nPage 3 of 10\n\nDLLファイルはUPXでパックされていますが、Golangで書かれたダウンローダでした。DLLファイルは\r\nサーバ上からCobalt StrikeのStagerをダウンロードし、実行します。攻撃者はCobalt Strikeを使用して\r\n様々なコマンドを実行し、環境の調査などを行いました。\r\n実行されたCobalt Strike StagerのConfigは以下のとおりです。\r\n2022年4月上旬の事例\r\n2022年4月上旬、日本企業において、本攻撃キャンペーンのインフラ(IPアドレス)に対するアクセス\r\nを確認しました。詳細は不明ですが、標的・時期・インフラの重複から、同一の攻撃キャンペーンで\r\nある可能性が高いと考えられます。\r\n2022年3月の事例\r\nVirusTotal上には今回の攻撃と極めて類似したLNKファイルが2022年3月時点で日本から投稿されていま\r\nす。\r\n2022年3月の検体はScriptRunner.exeではなくcmd.exeを使用していますが、実行されるコマンドや攻撃イ\r\nンフラは重複しており、これらは高い確度で同一の攻撃キャンペーンであると言えます。\r\n調査時点で1段階目のDOTファイルは入手できませんでした。デコイとして表示されるPDFファイルは\r\n以下のように、東アジアにおける日本の外交に関する文書でした。\r\nhttps://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink\r\nPage 4 of 10\n\n2022年1月の事例\r\n2022年4月下旬の事例で使用されたGolang製のダウンローダは奇妙なUser-Agentを使用し、 /Events とい\r\nうパスからCobalt Strike Stagerをダウンロードします。このUser-AgentはロシアのYandex Browserのもの\r\nで、日本では一般的な値ではありません。これと同様の特徴を持つサンプルが2022年1月に日本から\r\nVirusTotalへ投稿されました。インフラも近く、本攻撃キャンペーンと関連している可能性がありま\r\nす。\r\nまた、異なるサブドメインに紐づくIPアドレスを調査した結果、オープンソースのC2フレームワーク\r\nであるCovenantの痕跡を発見しました。攻撃者はCobalt Strike以外にも、Covenantを使用していた可能\r\n性があります。\r\nhttps://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink\r\nPage 5 of 10\n\n2021年11月の事例\r\n2022年1月と4月下旬のCobalt Strikeの事例に関連して、2021年11月に取得された differentfor[.]com という\r\nドメインが挙げられます。インフラやドメイン、ファイルパス、HTTPヘッダ、Cobalt StrikeのConfigな\r\nどが重複しており、本攻撃キャンペーンと関連している可能性があります。\r\n2021年10月の事例\r\n本攻撃キャンペーンについて調査を行った結果、今回と類似した攻撃インフラを使用した攻撃が2021\r\n年10月下旬に行われていた可能性があることを発見しました。\r\n調査時点では攻撃ファイルを入手することはできませんでしたが、笹川平和財団のWebサイトのように\r\n見せかけたWebサイトから悪性ファイルがダウンロードされた可能性があります。\r\nhttps://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink\r\nPage 6 of 10\n\n帰属\r\n本攻撃キャンペーンについて、その特徴を整理します。\r\n様々な特徴がありますが、特に注目すべきは明確に日本を標的としていることです。標的ユーザを絞\r\nり込み、自然な日本語を扱い、日本のIPアドレスを使用するなど、単なる流れ弾的な攻撃ではなく、日\r\n本を標的とすべきモチベーションが高いと考えられます。また、本攻撃キャンペーンで使用されるWeb\r\nサーバは地理的情報によってアクセス制御を行っている可能性があり、攻撃者の慎重さ、狡猾さを感\r\nじます。日本に対する高い攻撃モチベーションと能力を兼ね備えた攻撃グループは少なく、候補は限\r\nられてきます。\r\nhttps://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink\r\nPage 7 of 10\n\nこれらのことから、私達が関連性を疑っている標的型攻撃グループを4つ挙げます。本稿では言及して\r\nいない様々な要素を考慮した上で、私達はDarkHotelである可能性を他の候補よりも検討しています\r\nが、どの場合でも決定的な要素はないため確度は低く、今後のリサーチで大きく変化する可能性があ\r\nります。\r\nDarkHotel\r\nDarkHotelは韓国に帰属すると言われている標的型攻撃グループ[1]で、日本でも度々攻撃を観測してい\r\nます[2][3][4][5][6]。DarkHotelは日本のメディア企業やシンクタンクを執拗に攻撃し続けており、日本\r\n語のメールとデコイファイルを用いてスピアフィッシングを行い、LNKファイルを用いて多段のダウ\r\nンローダ・ローダを実行します。これらの特徴は本攻撃キャンペーンと近しく、関連性が疑われま\r\nす。\r\nKimsuky\r\nKimsukyは北朝鮮に帰属すると言われている攻撃グループ[7]で、日本でも時折攻撃を観測しています\r\n[8][9]。Kimsukyは脱北者やそれに関わる組織を標的としているとされ、日本のメディア企業が標的と\r\nなったこともあります。 また、直近ではLNKファイルを用いた攻撃も報告[10]されており、これらの\r\n特徴は本攻撃キャンペーンと類似しています。\r\nAPT29\r\nAPT29はロシアに帰属すると言われている標的型攻撃グループ[11]で、日本ではほとんどその攻撃につ\r\nいて報告されることはありません。しかし、昨今のウクライナ情勢から攻撃の動機となりうると考え\r\nられます。 また、APT29はLNKファイル[12]やISOファイル[13]を用いた攻撃が既に報告されており、\r\nさらにCobalt Strike[14]やGolangマルウェア [15]を使用することも知られています。これらは本攻撃キャ\r\nンペーンと類似しています。\r\nTA416\r\nTA416は中国に帰属すると言われている標的型攻撃グループ[16]で、日本では時折攻撃を観測していま\r\nす。TA416はLNKファイルやCobalt Strikeを使用して攻撃[17][18]を行いますが、これらは本攻撃キャン\r\nペーンと類似しています。\r\nおわりに\r\n2022年4月現在、日本企業を狙った標的型攻撃キャンペーンが観測されています。本攻撃キャンペーン\r\nはいくつかの帰属が考えられますが、明確な要素は発見できていません。類似した攻撃は数ヶ月前か\r\nら行われていた可能性があり、今後も継続的に注視していく必要があります。\r\nIoCs\r\n*.disknxt[.]com\r\n*.officehoster[.]com\r\n*.youmiuri[.]com\r\nhttps://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink\r\nPage 8 of 10\n\n*.spffusa[.]org\r\n*.sseekk[.]xyz\r\n*.mbusabc[.]com\r\n*.differentfor[.]com\r\n103[.]29.69.155\r\n149[.]28.16.63\r\n172[.]104.122.93\r\n172[.]105.229.93\r\n172[.]105.229.216\r\n207[.]148.91.243\r\n45[.]77.179.110\r\nReferences\r\n[1] MITRE ATT\u0026CK, \"Darkhotel\", https://attack.mitre.org/groups/G0012/\r\n[2] NTTセキュリティ・ジャパン, \"マルウエアが含まれたショートカットファイルをダウンロードさせ\r\nる攻撃のさらにその先\", https://techblog.security.ntt/102fmlc\r\n[3] JPCERT/CC, \"マルウエアが含まれたショートカットファイルをダウンロードさせる攻\r\n撃\", https://blogs.jpcert.or.jp/ja/2019/05/darkhotel_lnk.html\r\n[4] マクニカ, \"標的型攻撃の実態と対策アプローチ 第3\r\n版\", https://www.macnica.co.jp/business/security/manufacturers/files/mpressioncss_ta_report_2019_2_nopw.pdf\r\n[5] マクニカ, \"標的型攻撃の実態と対策アプローチ 第5\r\n版\", https://www.macnica.co.jp/business/security/manufacturers/files/mpressioncss_ta_report_2020_5.pdf\r\n[6] IPA, \"サイバーレスキュー隊(J-CRAT) 活動状況 [2019 年度下半\r\n期]\", https://www.ipa.go.jp/files/000083013.pdf\r\n[7] Mandiant, \"Not So Lazarus: Mapping DPRK Cyber Threat Groups to Government\r\nOrganizations\", https://www.mandiant.com/resources/mapping-dprk-groups-to-government\r\n[8] IPA, \"サイバーレスキュー隊(J-CRAT) 活動状況 [2021 年度上半\r\n期]\", https://www.ipa.go.jp/files/000094548.pdf\r\n[9] Cybereason, \"Kimsukyが利用しているKGHスパイウェアスイートの内部解\r\n析\", https://www.cybereason.co.jp/blog/cyberattack/5373/\r\n[10] Stairwell, \"The ink-stained trail of GOLDBACKDOOR\", https://stairwell.com/news/threat-research-the-ink-stained-trail-of-goldbackdoor/\r\n[11] MITRE ATT\u0026CK, \"APT29\", https://attack.mitre.org/groups/G0016/\r\n[12] Volexity, \"Suspected APT29 Operation Launches Election Fraud Themed Phishing\r\nCampaigns\", https://www.volexity.com/blog/2021/05/27/suspected-apt29-operation-launches-election-fraud-https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink\r\nPage 9 of 10\n\nthemed-phishing-campaigns/\r\n[13] Microsoft, \"Breaking down NOBELIUM’s latest early-stage\r\ntoolset\", https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/\r\n[14] Mandiant, \"Not So Cozy: An Uncomfortable Examination of a Suspected APT29 Phishing\r\nCampaign\", https://www.mandiant.com/resources/not-so-cozy-an-uncomfortable-examination-of-a-suspected-apt29-phishing-campaign\r\n[15] JPCERT/CC, \"LinuxとWindowsを狙うマルウエアWellMess(2018-06-\r\n28)\", https://blogs.jpcert.or.jp/ja/2018/06/wellmess.html\r\n[16] Proofpoint, “The Good, the Bad, and the Web Bug: TA416 Increases Operational Tempo Against European\r\nGovernments as Conflict in Ukraine Escalates”, https://www.proofpoint.com/us/blog/threat-insight/good-bad-and-web-bug-ta416-increases-operational-tempo-against-european\r\n[17] CrowdStrike, “Meet CrowdStrike’s Adversary of the Month for June: MUSTANG\r\nPANDA”, https://www.crowdstrike.com/blog/meet-crowdstrikes-adversary-of-the-month-for-june-mustang-panda/\r\n[18] Cisco, “Mustang Panda deploys a new wave of malware targeting\r\nEurope”, https://blog.talosintelligence.com/2022/05/mustang-panda-targets-europe.html\r\nSource: https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink\r\nhttps://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink\r\nPage 10 of 10", "extraction_quality": 1, "language": "JA", "sources": [ "Malpedia" ], "references": [ "https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink" ], "report_names": [ "operation-restylink" ], "threat_actors": [ { "id": "1dadf04e-d725-426f-9f6c-08c5be7da159", "created_at": "2022-10-25T15:50:23.624538Z", "updated_at": "2026-04-10T02:00:05.286895Z", "deleted_at": null, "main_name": "Darkhotel", "aliases": [ "Darkhotel", "DUBNIUM", "Zigzag Hail" ], "source_name": "MITRE:Darkhotel", "tools": null, "source_id": "MITRE", "reports": null }, { "id": "b43e5ea9-d8c8-4efa-b5bf-f1efb37174ba", "created_at": "2022-10-25T16:07:24.36191Z", "updated_at": "2026-04-10T02:00:04.954902Z", "deleted_at": null, "main_name": "UNC2452", "aliases": [ "Dark Halo", "Nobelium", "SolarStorm", "StellarParticle", "UNC2452" ], "source_name": "ETDA:UNC2452", "tools": [], "source_id": "ETDA", "reports": null }, { "id": "1d3f9dec-b033-48a5-8b1e-f67a29429e89", "created_at": "2022-10-25T15:50:23.739197Z", "updated_at": "2026-04-10T02:00:05.275809Z", "deleted_at": null, "main_name": "UNC2452", "aliases": [ "UNC2452", "NOBELIUM", "StellarParticle", "Dark Halo" ], "source_name": "MITRE:UNC2452", "tools": [ "Sibot", "Mimikatz", "Cobalt Strike", "AdFind", "GoldMax" ], "source_id": "MITRE", "reports": null }, { "id": "46818902-c96d-445c-afdb-075ef6b4afab", "created_at": "2023-02-18T02:04:24.443028Z", "updated_at": "2026-04-10T02:00:04.828275Z", "deleted_at": null, "main_name": "Operation RestyLink", "aliases": [ "Earth Yako", "Operation Enelink" ], "source_name": "ETDA:Operation RestyLink", "tools": [], "source_id": "ETDA", "reports": null }, { "id": "65e1eee1-bc35-4093-9554-1a668e1bc30a", "created_at": "2024-02-08T02:00:04.320426Z", "updated_at": "2026-04-10T02:00:03.583546Z", "deleted_at": null, "main_name": "Earth Yako", "aliases": [ "Operation RestyLink", "Enelink" ], "source_name": "MISPGALAXY:Earth Yako", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "5b748f86-ac32-4715-be9f-6cf25ae48a4e", "created_at": "2024-06-04T02:03:07.956135Z", "updated_at": "2026-04-10T02:00:03.689959Z", "deleted_at": null, "main_name": "IRON HEMLOCK", "aliases": [ "APT29 ", "ATK7 ", "Blue Kitsune ", "Cozy Bear ", "The Dukes", "UNC2452 ", "YTTRIUM " ], "source_name": "Secureworks:IRON HEMLOCK", "tools": [ "CosmicDuke", "CozyCar", "CozyDuke", "DiefenDuke", "FatDuke", "HAMMERTOSS", "LiteDuke", "MiniDuke", "OnionDuke", "PolyglotDuke", "RegDuke", "RegDuke Loader", "SeaDuke", "Sliver" ], "source_id": "Secureworks", "reports": null }, { "id": "b13c19d6-247d-47ba-86ba-15a94accc179", "created_at": "2024-05-01T02:03:08.149923Z", "updated_at": "2026-04-10T02:00:03.763147Z", "deleted_at": null, "main_name": "TUNGSTEN BRIDGE", "aliases": [ "APT-C-06 ", "ATK52 ", "CTG-1948 ", "DUBNIUM ", "DarkHotel ", "Fallout Team ", "Shadow Crane ", "Zigzag Hail " ], "source_name": "Secureworks:TUNGSTEN BRIDGE", "tools": [ "Nemim", "Tapaoux" ], "source_id": "Secureworks", "reports": null }, { "id": "191d7f9a-8c3c-442a-9f13-debe259d4cc2", "created_at": "2022-10-25T15:50:23.280374Z", "updated_at": "2026-04-10T02:00:05.305572Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "Kimsuky", "Black Banshee", "Velvet Chollima", "Emerald Sleet", "THALLIUM", "APT43", "TA427", "Springtail" ], "source_name": "MITRE:Kimsuky", "tools": [ "Troll Stealer", "schtasks", "Amadey", "GoBear", "Brave Prince", "CSPY Downloader", "gh0st RAT", "AppleSeed", "Gomir", "NOKKI", "QuasarRAT", "Gold Dragon", "PsExec", "KGH_SPY", "Mimikatz", "BabyShark", "TRANSLATEXT" ], "source_id": "MITRE", "reports": null }, { "id": "a241a1ca-2bc9-450b-a07b-aae747ee2710", "created_at": "2024-06-19T02:03:08.150052Z", "updated_at": "2026-04-10T02:00:03.737173Z", "deleted_at": null, "main_name": "IRON RITUAL", "aliases": [ "APT29", "Blue Dev 5 ", "BlueBravo ", "Cloaked Ursa ", "CozyLarch ", "Dark Halo ", "Midnight Blizzard ", "NOBELIUM ", "StellarParticle ", "UNC2452 " ], "source_name": "Secureworks:IRON RITUAL", "tools": [ "Brute Ratel C4", "Cobalt Strike", "EnvyScout", "GoldFinder", "GoldMax", "NativeZone", "RAINDROP", "SUNBURST", "Sibot", "TEARDROP", "VaporRage" ], "source_id": "Secureworks", "reports": null }, { "id": "b69037ec-2605-4de4-bb32-a20d780a8406", "created_at": "2023-01-06T13:46:38.790766Z", "updated_at": "2026-04-10T02:00:03.101635Z", "deleted_at": null, "main_name": "MUSTANG PANDA", "aliases": [ "Stately Taurus", "LuminousMoth", "TANTALUM", "Twill Typhoon", "TEMP.HEX", "Earth Preta", "Polaris", "BRONZE PRESIDENT", "HoneyMyte", "Red Lich", "TA416" ], "source_name": "MISPGALAXY:MUSTANG PANDA", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "2b4eec94-7672-4bee-acb2-b857d0d26d12", "created_at": "2023-01-06T13:46:38.272109Z", "updated_at": "2026-04-10T02:00:02.906089Z", "deleted_at": null, "main_name": "DarkHotel", "aliases": [ "T-APT-02", "Nemim", "Nemin", "Shadow Crane", "G0012", "DUBNIUM", "Karba", "APT-C-06", "SIG25", "TUNGSTEN BRIDGE", "Zigzag Hail", "Fallout Team", "Luder", "Tapaoux", "ATK52" ], "source_name": "MISPGALAXY:DarkHotel", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "c0cedde3-5a9b-430f-9b77-e6568307205e", "created_at": "2022-10-25T16:07:23.528994Z", "updated_at": "2026-04-10T02:00:04.642473Z", "deleted_at": null, "main_name": "DarkHotel", "aliases": [ "APT-C-06", "ATK 52", "CTG-1948", "Dubnium", "Fallout Team", "G0012", "G0126", "Higaisa", "Luder", "Operation DarkHotel", "Operation Daybreak", "Operation Inexsmar", "Operation PowerFall", "Operation The Gh0st Remains the Same", "Purple Pygmy", "SIG25", "Shadow Crane", "T-APT-02", "TieOnJoe", "Tungsten Bridge", "Zigzag Hail" ], "source_name": "ETDA:DarkHotel", "tools": [ "Asruex", "DarkHotel", "DmaUp3.exe", "GreezeBackdoor", "Karba", "Nemain", "Nemim", "Ramsay", "Retro", "Tapaoux", "Trojan.Win32.Karba.e", "Virus.Win32.Pioneer.dx", "igfxext.exe", "msieckc.exe" ], "source_id": "ETDA", "reports": null }, { "id": "760f2827-1718-4eed-8234-4027c1346145", "created_at": "2023-01-06T13:46:38.670947Z", "updated_at": "2026-04-10T02:00:03.062424Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "G0086", "Emerald Sleet", "THALLIUM", "Springtail", "Sparkling Pisces", "Thallium", "Operation Stolen Pencil", "APT43", "Velvet Chollima", "Black Banshee" ], "source_name": "MISPGALAXY:Kimsuky", "tools": [ "xrat", "QUASARRAT", "RDP Wrapper", "TightVNC", "BabyShark", "RevClient" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "c8bf82a7-6887-4d46-ad70-4498b67d4c1d", "created_at": "2025-08-07T02:03:25.101147Z", "updated_at": "2026-04-10T02:00:03.846812Z", "deleted_at": null, "main_name": "NICKEL KIMBALL", "aliases": [ "APT43 ", "ARCHIPELAGO ", "Black Banshee ", "Crooked Pisces ", "Emerald Sleet ", "ITG16 ", "Kimsuky ", "Larva-24005 ", "Opal Sleet ", "Ruby Sleet ", "SharpTongue ", "Sparking Pisces ", "Springtail ", "TA406 ", "TA427 ", "THALLIUM ", "UAT-5394 ", "Velvet Chollima " ], "source_name": "Secureworks:NICKEL KIMBALL", "tools": [ "BabyShark", "FastFire", "FastSpy", "FireViewer", "Konni" ], "source_id": "Secureworks", "reports": null }, { "id": "6daadf00-952c-408a-89be-aa490d891743", "created_at": "2025-08-07T02:03:24.654882Z", "updated_at": "2026-04-10T02:00:03.645565Z", "deleted_at": null, "main_name": "BRONZE PRESIDENT", "aliases": [ "Earth Preta ", "HoneyMyte ", "Mustang Panda ", "Red Delta ", "Red Lich ", "Stately Taurus ", "TA416 ", "Temp.Hex ", "Twill Typhoon " ], "source_name": "Secureworks:BRONZE PRESIDENT", "tools": [ "BlueShell", "China Chopper", "Claimloader", "Cobalt Strike", "HIUPAN", "ORat", "PTSOCKET", "PUBLOAD", "PlugX", "RCSession", "TONESHELL", "TinyNote" ], "source_id": "Secureworks", "reports": null }, { "id": "46b3c0fc-fa0c-4d63-a38a-b33a524561fb", "created_at": "2023-01-06T13:46:38.393409Z", "updated_at": "2026-04-10T02:00:02.955738Z", "deleted_at": null, "main_name": "APT29", "aliases": [ "Cloaked Ursa", "TA421", "Blue Kitsune", "BlueBravo", "IRON HEMLOCK", "G0016", "Nobelium", "Group 100", "YTTRIUM", "Grizzly Steppe", "ATK7", "ITG11", "COZY BEAR", "The Dukes", "Minidionis", "UAC-0029", "SeaDuke" ], "source_name": "MISPGALAXY:APT29", "tools": [ "SNOWYAMBER", "HALFRIG", "QUARTERRIG" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "b5449533-0ff1-4048-999d-7d4bfd8e6da6", "created_at": "2022-10-25T16:07:24.114365Z", "updated_at": "2026-04-10T02:00:04.869887Z", "deleted_at": null, "main_name": "RedDelta", "aliases": [ "Operation Dianxun", "TA416" ], "source_name": "ETDA:RedDelta", "tools": [ "Agent.dhwf", "Agentemis", "Chymine", "Cobalt Strike", "CobaltStrike", "Darkmoon", "Destroy RAT", "DestroyRAT", "Gen:Trojan.Heur.PT", "Kaba", "Korplug", "PlugX", "Poison Ivy", "RedDelta", "SPIVY", "Sogu", "TIGERPLUG", "TVT", "Thoper", "Xamtrav", "cobeacon", "pivy", "poisonivy" ], "source_id": "ETDA", "reports": null }, { "id": "70872c3a-e788-4b55-a7d6-b2df52001ad0", "created_at": "2023-01-06T13:46:39.18401Z", "updated_at": "2026-04-10T02:00:03.239111Z", "deleted_at": null, "main_name": "UNC2452", "aliases": [ "DarkHalo", "StellarParticle", "NOBELIUM", "Solar Phoenix", "Midnight Blizzard" ], "source_name": "MISPGALAXY:UNC2452", "tools": [ "SNOWYAMBER", "HALFRIG", "QUARTERRIG" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "9baa7519-772a-4862-b412-6f0463691b89", "created_at": "2022-10-25T15:50:23.354429Z", "updated_at": "2026-04-10T02:00:05.310361Z", "deleted_at": null, "main_name": "Mustang Panda", "aliases": [ "Mustang Panda", "TA416", "RedDelta", "BRONZE PRESIDENT", "STATELY TAURUS", "FIREANT", "CAMARO DRAGON", "EARTH PRETA", "HIVE0154", "TWILL TYPHOON", "TANTALUM", "LUMINOUS MOTH", "UNC6384", "TEMP.Hex", "Red Lich" ], "source_name": "MITRE:Mustang Panda", "tools": [ "CANONSTAGER", "STATICPLUGIN", "ShadowPad", "TONESHELL", "Cobalt Strike", "HIUPAN", "Impacket", "SplatCloak", "PAKLOG", "Wevtutil", "AdFind", "CLAIMLOADER", "Mimikatz", "PUBLOAD", "StarProxy", "CorKLOG", "RCSession", "NBTscan", "PoisonIvy", "SplatDropper", "China Chopper", "PlugX" ], "source_id": "MITRE", "reports": null }, { "id": "2ee03999-5432-4a65-a850-c543b4fefc3d", "created_at": "2022-10-25T16:07:23.882813Z", "updated_at": "2026-04-10T02:00:04.776949Z", "deleted_at": null, "main_name": "Mustang Panda", "aliases": [ "Bronze President", "Camaro Dragon", "Earth Preta", "G0129", "Hive0154", "HoneyMyte", "Mustang Panda", "Operation SMUGX", "Operation SmugX", "PKPLUG", "Red Lich", "Stately Taurus", "TEMP.Hex", "Twill Typhoon" ], "source_name": "ETDA:Mustang Panda", "tools": [ "9002 RAT", "AdFind", "Agent.dhwf", "Agentemis", "CHINACHOPPER", "China Chopper", "Chymine", "ClaimLoader", "Cobalt Strike", "CobaltStrike", "DCSync", "DOPLUGS", "Darkmoon", "Destroy RAT", "DestroyRAT", "Farseer", "Gen:Trojan.Heur.PT", "HOMEUNIX", "Hdump", "HenBox", "HidraQ", "Hodur", "Homux", "HopperTick", "Hydraq", "Impacket", "Kaba", "Korplug", "LadonGo", "MQsTTang", "McRAT", "MdmBot", "Mimikatz", "NBTscan", "NetSess", "Netview", "Orat", "POISONPLUG.SHADOW", "PUBLOAD", "PVE Find AD Users", "PlugX", "Poison Ivy", "PowerView", "QMAGENT", "RCSession", "RedDelta", "Roarur", "SPIVY", "ShadowPad Winnti", "SinoChopper", "Sogu", "TIGERPLUG", "TONEINS", "TONESHELL", "TVT", "TeamViewer", "Thoper", "TinyNote", "WispRider", "WmiExec", "XShellGhost", "Xamtrav", "Zupdax", "cobeacon", "nbtscan", "nmap", "pivy", "poisonivy" ], "source_id": "ETDA", "reports": null }, { "id": "20d3a08a-3b97-4b2f-90b8-92a89089a57a", "created_at": "2022-10-25T15:50:23.548494Z", "updated_at": "2026-04-10T02:00:05.292748Z", "deleted_at": null, "main_name": "APT29", "aliases": [ "APT29", "IRON RITUAL", "IRON HEMLOCK", "NobleBaron", "Dark Halo", "NOBELIUM", "UNC2452", "YTTRIUM", "The Dukes", "Cozy Bear", "CozyDuke", "SolarStorm", "Blue Kitsune", "UNC3524", "Midnight Blizzard" ], "source_name": "MITRE:APT29", "tools": [ "PinchDuke", "ROADTools", "WellMail", "CozyCar", "Mimikatz", "Tasklist", "OnionDuke", "FatDuke", "POSHSPY", "EnvyScout", "SoreFang", "GeminiDuke", "reGeorg", "GoldMax", "FoggyWeb", "SDelete", "PolyglotDuke", "AADInternals", "MiniDuke", "SeaDuke", "Sibot", "RegDuke", "CloudDuke", "GoldFinder", "AdFind", "PsExec", "NativeZone", "Systeminfo", "ipconfig", "Impacket", "Cobalt Strike", "PowerDuke", "QUIETEXIT", "HAMMERTOSS", "BoomBox", "CosmicDuke", "WellMess", "VaporRage", "LiteDuke" ], "source_id": "MITRE", "reports": null }, { "id": "71a1e16c-3ba6-4193-be62-be53527817bc", "created_at": "2022-10-25T16:07:23.753455Z", "updated_at": "2026-04-10T02:00:04.73769Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "APT 43", "Black Banshee", "Emerald Sleet", "G0086", "G0094", "ITG16", "KTA082", "Kimsuky", "Larva-24005", "Larva-25004", "Operation Baby Coin", "Operation Covert Stalker", "Operation DEEP#DRIVE", "Operation DEEP#GOSU", "Operation Kabar Cobra", "Operation Mystery Baby", "Operation Red Salt", "Operation Smoke Screen", "Operation Stealth Power", "Operation Stolen Pencil", "SharpTongue", "Sparkling Pisces", "Springtail", "TA406", "TA427", "Thallium", "UAT-5394", "Velvet Chollima" ], "source_name": "ETDA:Kimsuky", "tools": [ "AngryRebel", "AppleSeed", "BITTERSWEET", "BabyShark", "BoBoStealer", "CSPY Downloader", "Farfli", "FlowerPower", "Gh0st RAT", "Ghost RAT", "Gold Dragon", "GoldDragon", "GoldStamp", "JamBog", "KGH Spyware Suite", "KGH_SPY", "KPortScan", "KimJongRAT", "Kimsuky", "LATEOP", "LOLBAS", "LOLBins", "Living off the Land", "Lovexxx", "MailPassView", "Mechanical", "Mimikatz", "MoonPeak", "Moudour", "MyDogs", "Mydoor", "Network Password Recovery", "PCRat", "ProcDump", "PsExec", "ReconShark", "Remote Desktop PassView", "SHARPEXT", "SWEETDROP", "SmallTiger", "SniffPass", "TODDLERSHARK", "TRANSLATEXT", "Troll Stealer", "TrollAgent", "VENOMBITE", "WebBrowserPassView", "xRAT" ], "source_id": "ETDA", "reports": null }, { "id": "f27790ff-4ee0-40a5-9c84-2b523a9d3270", "created_at": "2022-10-25T16:07:23.341684Z", "updated_at": "2026-04-10T02:00:04.549917Z", "deleted_at": null, "main_name": "APT 29", "aliases": [ "APT 29", "ATK 7", "Blue Dev 5", "BlueBravo", "Cloaked Ursa", "CloudLook", "Cozy Bear", "Dark Halo", "Earth Koshchei", "G0016", "Grizzly Steppe", "Group 100", "ITG11", "Iron Hemlock", "Iron Ritual", "Midnight Blizzard", "Minidionis", "Nobelium", "NobleBaron", "Operation Ghost", "Operation Office monkeys", "Operation StellarParticle", "SilverFish", "Solar Phoenix", "SolarStorm", "StellarParticle", "TEMP.Monkeys", "The Dukes", "UNC2452", "UNC3524", "Yttrium" ], "source_name": "ETDA:APT 29", "tools": [ "7-Zip", "ATI-Agent", "AdFind", "Agentemis", "AtNow", "BEATDROP", "BotgenStudios", "CEELOADER", "Cloud Duke", "CloudDuke", "CloudLook", "Cobalt Strike", "CobaltStrike", "CosmicDuke", "Cozer", "CozyBear", "CozyCar", "CozyDuke", "Danfuan", "EnvyScout", "EuroAPT", "FatDuke", "FoggyWeb", "GeminiDuke", "Geppei", "GoldFinder", "GoldMax", "GraphDrop", "GraphicalNeutrino", "GraphicalProton", "HAMMERTOSS", "HammerDuke", "LOLBAS", "LOLBins", "LiteDuke", "Living off the Land", "MagicWeb", "Mimikatz", "MiniDionis", "MiniDuke", "NemesisGemina", "NetDuke", "OnionDuke", "POSHSPY", "PinchDuke", "PolyglotDuke", "PowerDuke", "QUIETEXIT", "ROOTSAW", "RegDuke", "Rubeus", "SNOWYAMBER", "SPICYBEAT", "SUNSHUTTLE", "SeaDaddy", "SeaDask", "SeaDesk", "SeaDuke", "Sharp-SMBExec", "SharpView", "Sibot", "Solorigate", "SoreFang", "TinyBaron", "WINELOADER", "WellMail", "WellMess", "cobeacon", "elf.wellmess", "reGeorg", "tDiscoverer" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434336, "ts_updated_at": 1775792261, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/c9fcfbefb97fcbf98e543eaba94dde7b66b81858.pdf", "text": "https://archive.orkl.eu/c9fcfbefb97fcbf98e543eaba94dde7b66b81858.txt", "img": "https://archive.orkl.eu/c9fcfbefb97fcbf98e543eaba94dde7b66b81858.jpg" } }