{ "id": "d519d28e-0584-453b-9ba9-212b3b97dfa4", "created_at": "2026-04-06T00:13:26.756711Z", "updated_at": "2026-04-10T03:36:06.648794Z", "deleted_at": null, "sha1_hash": "f3eba556376960381206b627375d2c40d6ae5232", "title": "Panda's New Arsenal: Part 3 Smanager", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 837167, "plain_text": "Panda's New Arsenal: Part 3 Smanager\r\nBy NTTセキュリティ・ジャパン株式会社\r\nPublished: 2020-12-11 · Archived: 2026-04-05 13:07:07 UTC\r\nBy Hiroki Hada\r\nPublished December 11, 2020 | Japanese\r\nはじめに\r\nこれまでのブログ [1] [2] でTmangerとAlbaniiutasについて紹介しました。TmangerにはAlbaniiutas以外に\r\nも、類似したマルウェアが存在します。今回は私達がTmangerの亜種であると考えているSmanagerにつ\r\nいて紹介します。\r\nSmanager\r\nSmanagerはTmangerとは異なり、ベトナムで発見されることが多く、ベトナムに関連する組織に対する\r\n攻撃で使用された可能性があります。細かな部分ではTmangerおよびAlbaniiutasに類似した点が多くあ\r\nります。具体的には、以下のような類似点が挙げられます。\r\nTmangerのSetup、MlloadDllに相当する検体の存在\r\nConfigデータの上書き処理\r\nServiceによる永続化時の値\r\nExport関数名 Entery\r\nConfigデータの構造\r\nAES鍵データの後半6byte\r\nOutputDebugStringAによる出力\r\n私達はSmanagerを実行する2つのEXEファイル(VVSup.exeとSACEventLog.exe)を発見しました。以降\r\nではそれぞれの詳細な解析結果を示します。\r\nVVSup.exe\r\nVVSup.exeはTmangerのSetupに相当する検体で、後続の検体を展開し、実行する機能を有しています。\r\n以下、挙動を説明します。\r\nVVSup.exeは実行されると自身が持っているCABファイルを %USERPROFILE%\\test\\7z.cab に書き込み\r\nます。その後 7z.cab を展開しますが、管理者権限で実行されている場合は\r\nC:\\windows\\apppatch\\netapi32.dll として、そうではない場合は %TEMP%\\\\WMedia\\[GetTickCount()].tmp\r\nとして展開されます。このDLLは Smanager_ssl.dll という内部名が付与されており、このことから私達\r\nはこれをSmanagerと呼んでいます。\r\nhttps://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager\r\nPage 1 of 11\n\nその後、DLLの中から 192.168 というデータを検索することでConfigデータの場所を特定し、以下のよ\r\nうにダミーデータをConfigデータに上書きします。暗号鍵を生成するための文字列である\r\nf4f5276c00001ff5だけは同じ値で上書きされました。\r\n192.168.0.107:8888 -\u003e vgca.homeunix[.]org:443\r\n(null) -\u003e office365.blogdns[.]com:443\r\n(null) -\u003e 10[.]0.14.196:53\r\nf4f5276c00001ff5 -\u003e f4f5276c00001ff5\r\nそして、管理者権限で実行されている場合は HKLM\\SOFTWARE\\Wow6432Node\\Microsoft\\Windows\r\nNT\\CurrentVersion\\Svchost などを書き込み、DLLをサービスとして登録し、ServiceMainを実行します。\r\n管理者権限で実行されていない場合、WinExecでrundll32.exeを実行し、 DLLのExport関数である Entery\r\nから実行します。\r\nSACEventLog.exe\r\nSACEventLog.exeはVVSup.exeと同じくTmangerのSetupに相当する検体です。VVSup.exeとほぼ全く同じ\r\n実装で、Configデータ部分のみを差分とします。SACEventLog.exeが書き込むConfigデータは以下のと\r\nおりです。\r\n192.168.0.107:8888 -\u003e office365.blogdns[.]com:443\r\n(null) -\u003e office365.blogdns[.]com:80\r\n(null) -\u003e 154[.]202.56.188:80\r\nf4f5276c00001ff5 -\u003e f4f5276c00001ff5\r\nSmanager_ssl.dll\r\nSmanager_ssl.dllはVVSup.exe及びSACEventLog.exeに展開され実行される検体であり、私達はこれを\r\nTmangerのMlloadDllに相当する検体であると考えています。\r\nSmanager_ssl.dllは実行されると、C\u0026Cサーバーとコネクションを確立します。その際、Microsoft\r\nSecurity Service Provider Interface[3]を利用して、認証や通信の暗号化を行っています。\r\nhttps://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager\r\nPage 2 of 11\n\n図 1 AcquireCredentialsHandleA()を呼び出す処理\r\nC\u0026Cサーバーとのコネクション確立後、C\u0026Cサーバーから受信したデータに応じてコマンドを実行し\r\nます。実装されているコマンドとしては、感染端末の情報をC\u0026Cサーバーに送信するコマンドや実行\r\n形式のファイルをダウンロードして実行するコマンドを確認しています。\r\n感染端末の情報を収集するコマンドでは、下記の情報を収集していることが判明しています。\r\nコンピューター名\r\nホスト名\r\nIPアドレス\r\nOSバージョン\r\n言語情報\r\nユーザー名\r\nデフォルトブラウザ\r\n管理者権限の有無\r\nSmanager_ssl.dllがC\u0026Cサーバーから実行形式のファイルをダウンロードする挙動については観測でき\r\nていませんが、MZヘッダとPEヘッダの有無を確認する処理(図 2)や、実行形式のファイルの関数を\r\n呼び出す処理(図 3)が確認されていることから、実行形式のファイルをダウンロードして実行するコマ\r\nンドが実装されていると考えています。\r\n図2 MZヘッダとPEヘッダの有無を確認している処理\r\nhttps://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager\r\nPage 3 of 11\n\n図3 実行形式のファイルからGetPluginObject()という関数を呼び出す処理\r\nSmanager_ssl.dllはC\u0026Cサーバーから受信したデータに応じたコマンドを実行するため、RATの機能を持\r\nつTmangerのClientに相当する検体であると解釈することもできます。しかし、私達は下記の理由か\r\nら、Smanager_ssl.dllはMlloadDllに相当する検体であると考えています。また、Smanager_ssl.dllがダウン\r\nロードして実行する検体が、RATとしての機能を有した、TmangerのClientに相当する検体だと推測し\r\nています。\r\nTmangerやAlbaniiutasのMlloadDllと同じく、EnteryというExport関数が存在する\r\nコマンド数が少なく、感染端末を操作するようなコマンドが実装されていない\r\n実行形式のファイルを実行するという部分がMlloadDllの役割と一致している\r\n実行形式のファイルから関数を呼び出す処理が他のMlloadDllと類似しており、特にAlbaniiutasの\r\nMlloadDllに相当する検体については同じGetPluginObjectという名前の関数を呼び出している(図\r\n3, 図 4)\r\nhttps://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager\r\nPage 4 of 11\n\n図4 AlbaniiutasのMlloadDllがClientXの関数を呼び出している処理\r\nSmanagerx64_release_tcp.dll\r\n私達はVVSup.exeとSACEventLog.exe以外に、Smanagerx64_release_tcp.dll というファイルも発見しまし\r\nた。この検体はSmanager_ssl.dllと挙動が似ており、C\u0026Cサーバーから受信したデータに応じて、感染\r\n端末の情報をC\u0026Cサーバーに送信するコマンドや実行形式のファイルをダウンロードして実行するコ\r\nマンドを実行します。また、EnteryやServiceMainというExport関数が実装されているという特徴も\r\nSmanager_ssl.dllと共通であり、Smanager_ssl.dllと同様の手法で実行されると考えています。しかし、\r\nSmanager_ssl.dllと違い、Microsoft Security Service Provider Interfaceを用いた、通信の認証や暗号化とい\r\nった処理は実装されていませんでした。Smanagerx64_release_tcp.dllのConfigは以下のとおりです。\r\ncoms.documentmeda[.]com:443\r\nf4f5276c00001ff5\r\nTmangerおよびAlbaniiutasとの比較\r\n私達はTmangerをベースに、AlbaniiutasとSmanagerについて情報を整理しました。これらには表 1のよ\r\nうな特徴があります。\r\nhttps://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager\r\nPage 5 of 11\n\n表1 マルウェアの特徴\r\nTmanger、Albaniiutas、Smanagerは共にSetup、MlloadDll、Clientという役割を持った検体から構成され\r\nており、Setup、MlloadDllについては3者の間で共通点が複数存在していることが分かっています\r\n(SmanagerのClientに相当する検体は観測できていません)。特に、TmangerとAlbaniiutasは、未来のコ\r\nンパイル時間が設定されている点や、PDBパスに共通点があるなど、特徴的な類似点をいくつも確認\r\nしています。TmangerとAlbaniiutasのタイムスタンプを見てみると、Albaniiutasのほうが4カ月ほど新し\r\nいことが分かります。このことから、私たちはAlbaniiutasが最新版のTmanger、あるいはTmangerの後継\r\nであると考えています。\r\n次に、Smanagerについてですが、AlbaniiutasとSmanagerの間にもいくつかの類似点があります。例え\r\nば、Export関数名や暗号鍵の特徴は偶然一致するものではありません。コンパイル時間を基に推測する\r\nと、SmanagerはTmangerとAlbaniiutasの間に作成されたものであると考えられます。ただし、標的国に\r\nついては3者間で違いがあり、TmangerやAlbaniiutasは東アジアの国々に対して使用されていると考えら\r\nれますが、Smanagerのほとんどはベトナムからオンラインサービスに投稿されています。\r\nしばしば他のグループと混同されがちですが、TA428はロシアやモンゴルなどの東アジアの国々を標的\r\nとしているとされています。ベトナムなどの東南アジアを標的とする類似グループとしては、\r\nKeyBoy、Tropic Trooper、BRONZE HOBART、Pirate Panda、あるいはTA413と呼ばれているグループが\r\n挙げられます。SmanagerはTA428ではなくそうしたグループによって使用された可能性もあります。し\r\nかし、残念ながらその明確な証拠を示すことはできません。あくまで推測の域を出ません。\r\n以上のことから、私たちはSmanagerをTmangerの亜種、あるいは関連性のあるマルウェアであると考え\r\nます。類似の特徴から考察すると、SmanagerはTmangerと同一の人物・組織によって開発された、ある\r\nいはTmangerを参考に開発されたかもしれません。\r\nPhantomNetとの関連性\r\n私達はSmanagerに関連するマルウェアについて、さらにリサーチを行いました。SmanagerはC\u0026Cサー\r\nバーから実行可能ファイルをダウンロードし、ロードする機能を有していますが、この際に使われる\r\nhttps://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager\r\nPage 6 of 11\n\nGetPluginInformationやGetPluginObject、GetRegisterCode、DeletePluginObjectといった特徴的な文字列を\r\nもとに関連検体を探してみると、いくつかのファイルを発見することができました。これらのファイ\r\nルはPhantomNetというPDBを含んでいたことから、以下ではPhantomNetと呼びます。\r\n私達が発見したPhantomNetの中で最も古いものは2017年3月にVirusTotalに投稿されており、その時点で\r\n既に開発されていたと考えられます。PhantomNetはSmanagerと同様にTCP版とSSL版の2種類が存在し\r\nますが、両者にはC\u0026Cサーバーとの通信時のプロトコル以外には大きな差はありません。\r\n具体的な攻撃事例についてみてみましょう。リサーチの結果、私達は「A Letter of Complaint.docx」と\r\nいうドキュメントファイル(図 5)を発見しました。このドキュメントファイルは2020年6月に作成さ\r\nれたもので、香港の裁判所に関する内容を含んでおり、香港の司法関係組織を標的としていると考え\r\nられます。\r\n図5 A Letter of Complaint.docx\r\nこのドキュメントファイルには図 6のようなデータが含まれており、SCTファイルをダウンロードし、\r\n実行してしまいます。SCTファイルにはVBScriptコードが含まれており、最終的にwinhepp.exeというフ\r\nァイルをダウンロードして実行しました。\r\n図6 ドキュメントファイルに含まれている悪性コード\r\nwinhepp.exeには図 7のようなPDBパスが残されており、これがPhantomNet-TCPのバージョン3.1である\r\nことが分かります。私達は他にもいくつかのPhantomNetを発見しましたが、そのほとんどがバージョ\r\nン3や3.1でした。これはTCP版でもSSL版でも共通しています。\r\nhttps://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager\r\nPage 7 of 11\n\n図7 winhepp.exeのPDBパス\r\nPhantomNetの挙動はTmangerやSmanagerと類似しています。例えば、PhantomNetがCreateEventする際の\r\nイベント名はTmangerと共通していますし、PhantomNetとSmanagerはコマンド処理を含めほとんどの実\r\n装が極めて類似しています。例として、C\u0026Cサーバーからのコマンドが0x110040だった場合の処理を\r\n見てみましょう(図 8)。両者がほぼ同一の実装であることが分かります。\r\n図8 SmanagerとPhantomNetの比較\r\nさらにPhantomNetについてリサーチを続けていると、興味深い情報を2つ発見しました。1つ目は、\r\nPhantomNetとFunnyDreamの関係性です。私達はFunnyDreamについても調査を行っていますが、\r\nFunnyDreamが使用するFunnyDream backdoor[4]だと思われるhelper.exe(図 9)という検体がPhantomNet\r\nをダウンロードして実行したかもしれないという情報を手に入れました。\r\nhttps://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager\r\nPage 8 of 11\n\n図9 helper.exeに含まれている文字列\r\nFunnyDreamは主に東南アジアの国々に対して攻撃を行っており、中国に帰属すると考えられている攻\r\n撃グループです。FunnyDreamはTA428と同様にRoyal Road RTF Weaponizerを共有していることが知られ\r\nており、TA428とSmanagerおよびPhantomNetの共有を行っている可能性が考えられます。Smanagerがベ\r\nトナムに対する攻撃で使用された可能性が高いという点でも、FunnyDreamとの関連は不思議ではあり\r\nません。\r\n2つ目に、いくつかのPhantomNetは図10のように、起動時にGlobal\\\\GlobalAcProtectMutexというMutexを\r\n作成します。これは過去にPalo Alto Networksによって報告されたBBSRATの特徴[5][6]と類似していま\r\nす。\r\n図10 PhantomNetのMutex処理\r\nPalo Alto Networksの報告によると、BBSRATはRoaming Tigerと関連しているとされており、ロシアやモ\r\nンゴルなどの東アジアの国々を標的とする攻撃で使用されていたようです。他にもRTFファイルを用い\r\nhttps://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager\r\nPage 9 of 11\n\nて脆弱性を悪用すること、CABファイルを用いること、サブコマンドを用いること、Export関数名など\r\nが類似しています。\r\n特にExport関数は興味深い類似点です。BBSRATがrundll32.exeによって起動されるとき、Enterという\r\nExport関数が指定される場合がありますが、これはSmanagerやTmangerで使用される特徴的なExport関\r\n数であるEnteryとの関連が疑われます。これらのことから、SmanagerおよびPhantomNetはRoaming Tiger\r\nのBBSRATと関連している可能性があると考えられます。\r\nこの数日の間に、AvastおよびESETからTmangerファミリに関するブログ[7][8]が公開されました。そこ\r\nでは特にTmangerとAlbaniiutasについて、私達が観測したものとは異なる経路でモンゴルの政府機関な\r\nどを標的としていたことが報告されています。その際、LuckyMouseやShadowPadとの関連性が示され\r\nています。今回、私達はTmangerファミリがFunnyDreamやRoaming Tigerと関連している可能性について\r\n示しました。これらのことは、中国に帰属すると考えられているこれらのグループが同一あるいは極\r\nめて近しい関係であり、Royal Road RTF WeaponizerのようにTmangerファミリも共有されている可能性\r\nが高いことを示唆しています。\r\nさいごに\r\n今回はTmangerに関連するマルウェアとしてSmanagerを紹介しました。SmanagerはTmangerとAlbaniiutas\r\nのどちらにも類似した特徴も持ち、同一の人物・組織によって開発された可能性があります。Tmanger\r\nやAlbaniiutasとは異なり、東南アジア(特にベトナム)の組織に対する攻撃で使用された可能性があり\r\nます。\r\nTmangerおよび関連マルウェアは日々開発が続けられており、今後も攻撃に利用される可能性がありま\r\nす。2020年11月にはTmanger v6.2と、そのビルダーの存在を観測しています。Tmanger v6.2はこれまで\r\nのTmangerよりもAlbaniiutasに類似しており、現在でも継続的に開発が続いていることが伺えます。今\r\n後もTmangerの動向に注視すべきでしょう。\r\nIOC\r\nC\u0026C Server\r\nvgca.homeunix[.]org\r\noffice365.blogdns[.]com\r\ncoms.documentmeda[.]com\r\nfreenow.chickenkiller[.]com\r\nwww.eofficeupdating[.]com\r\n154[.]210.12.20\r\n45[.]77.45.228\r\nFile Hash\r\nSHA256\r\nf659b269fbe4128588f7a2fa4d6022cc74e508d28eee05c5aff26cc23b7bd1a5\r\nhttps://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager\r\nPage 10 of 11\n\n1d9bc6939e2eceb3e912f158e05e04cadc1965849c4eb2c96e37e51a7d4f7aa5\r\n97a5fe1d2174e9d34cee8c1d6751bf01f99d8f40b1ae0bce205b8f2f0483225c\r\n02f1244310dd527d407ebcef07c5431306c56c1b28272b8d4e59902b3df537c8\r\nc129d892a5e2d17c38950fdf77a0838edc1fa297a4787414e90906f7cb8f43b8\r\n1fff4faa83678564aefb30363f0cbe2917d2a037d3d8e829a496e8fd1eca24c9\r\n58012504861dee4663ecaa4f2b93ca245521103f4c653b2dd0032a583db8f0af\r\n17bc9b7c7df4acd42e795591731e568cb040d6908d892f853af777d5f05c8806\r\n338502691f6861ae54e651a25a08e62eeca9febc6830978a670d44caf3d5d056\r\nd5f96b3b677ac68e45d4297e392b14a52678c2758a4030d2f6ad158027508c6d\r\n00badf016953ec740b61f4ba27c5886a6460f6abba98819e00bde51574e0ebf4\r\ne8156ec1706716cada6f57b6b8ccc9fb0eb5debe906ac45bdc2b26099695b8f5\r\nfeaba29072531b312e3bd0152b9c17c48901db7c8d31019944e453ca9b1572e2\r\n参考文献\r\n[1] NTT Security Japan, Panda’s New Arsenal: Part 1 Tmanger\r\n[2] NTT Security Japan, Panda’s New Arsenal: Part 2 Albaniiutas\r\n[3] Microsoft, Security Support Providers (SSPs)\r\n[4] BitDefender, Dissecting a Chinese APT Targeting South Eastern Asian Government Institutions\r\n[5] Palo Alto Networks, BBSRAT Attacks Targeting Russian Organizations Linked to Roaming Tiger\r\n[6] Palo Alto Networks, Digital Quartermaster Scenario Demonstrated in Attacks Against the Mongolian\r\nGovernment\r\n[7] Avast, APT Group Targeting Governmental Agencies in East Asia\r\n[8] ESET, Operation StealthyTrident: corporate software under attack\r\nSource: https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager\r\nhttps://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager\r\nPage 11 of 11", "extraction_quality": 1, "language": "JA", "sources": [ "Malpedia", "ETDA" ], "references": [ "https://insight-jp.nttsecurity.com/post/102glv5/pandas-new-arsenal-part-3-smanager" ], "report_names": [ "pandas-new-arsenal-part-3-smanager" ], "threat_actors": [ { "id": "b98eb1ec-dc8b-4aea-b112-9e485408dd14", "created_at": "2022-10-25T16:07:23.649308Z", "updated_at": "2026-04-10T02:00:04.701157Z", "deleted_at": null, "main_name": "FunnyDream", "aliases": [ "Bronze Edgewood", "Red Hariasa", "TAG-16" ], "source_name": "ETDA:FunnyDream", "tools": [ "Chinoxy", "Filepak", "FilepakMonitor", "FunnyDream", "Keyrecord", "LOLBAS", "LOLBins", "Living off the Land", "Md_client", "PCShare", "ScreenCap", "TcpBridge", "Tcp_transfer", "ccf32" ], "source_id": "ETDA", "reports": null }, { "id": "866c0c21-8de3-4ad5-9887-cecd44feb788", "created_at": "2022-10-25T16:07:24.130298Z", "updated_at": "2026-04-10T02:00:04.875929Z", "deleted_at": null, "main_name": "Roaming Tiger", "aliases": [ "Bronze Woodland", "CTG-7273", "Rotten Tomato" ], "source_name": "ETDA:Roaming Tiger", "tools": [ "Agent.dhwf", "AngryRebel", "BBSRAT", "Destroy RAT", "DestroyRAT", "Farfli", "Gh0st RAT", "Ghost RAT", "Kaba", "Korplug", "Moudour", "Mydoor", "PCRat", "PlugX", "RedDelta", "Sogu", "TIGERPLUG", "TVT", "Thoper", "Xamtrav" ], "source_id": "ETDA", "reports": null }, { "id": "2f07a03f-eb1f-47c8-a8e9-a1a00f2ec253", "created_at": "2022-10-25T16:07:24.277669Z", "updated_at": "2026-04-10T02:00:04.919609Z", "deleted_at": null, "main_name": "TA428", "aliases": [ "Operation LagTime IT", "Operation StealthyTrident", "ThunderCats" ], "source_name": "ETDA:TA428", "tools": [ "8.t Dropper", "8.t RTF exploit builder", "8t_dropper", "Agent.dhwf", "Albaniiutas", "BlueTraveller", "Chymine", "Cotx RAT", "CoughingDown", "Darkmoon", "Destroy RAT", "DestroyRAT", "Gen:Trojan.Heur.PT", "Kaba", "Korplug", "LuckyBack", "PhantomNet", "PlugX", "Poison Ivy", "RedDelta", "RoyalRoad", "SManager", "SPIVY", "Sogu", "TIGERPLUG", "TManger", "TVT", "Thoper", "Xamtrav", "pivy", "poisonivy" ], "source_id": "ETDA", "reports": null }, { "id": "e3492534-85a6-4c87-a754-5ae4a56d7c8c", "created_at": "2022-10-25T15:50:23.819113Z", "updated_at": "2026-04-10T02:00:05.354598Z", "deleted_at": null, "main_name": "Threat Group-3390", "aliases": [ "Threat Group-3390", "Earth Smilodon", "TG-3390", "Emissary Panda", "BRONZE UNION", "APT27", "Iron Tiger", "LuckyMouse", "Linen Typhoon" ], "source_name": "MITRE:Threat Group-3390", "tools": [ "Systeminfo", "gsecdump", "PlugX", "ASPXSpy", "Cobalt Strike", "Mimikatz", "Impacket", "gh0st RAT", "certutil", "China Chopper", "HTTPBrowser", "Tasklist", "netstat", "SysUpdate", "HyperBro", "ZxShell", "RCSession", "ipconfig", "Clambling", "pwdump", "NBTscan", "Pandora", "Windows Credential Editor" ], "source_id": "MITRE", "reports": null }, { "id": "61ea51ed-a419-4b05-9241-5ab0dbba25fc", "created_at": "2023-01-06T13:46:38.354607Z", "updated_at": "2026-04-10T02:00:02.939761Z", "deleted_at": null, "main_name": "APT23", "aliases": [ "BRONZE HOBART", "G0081", "Red Orthrus", "Earth Centaur", "PIRATE PANDA", "KeyBoy", "Tropic Trooper" ], "source_name": "MISPGALAXY:APT23", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "bef7800a-a08f-4e21-b65c-4279c851e572", "created_at": "2022-10-25T15:50:23.409336Z", "updated_at": "2026-04-10T02:00:05.319608Z", "deleted_at": null, "main_name": "Tropic Trooper", "aliases": [ "Tropic Trooper", "Pirate Panda", "KeyBoy" ], "source_name": "MITRE:Tropic Trooper", "tools": [ "USBferry", "ShadowPad", "PoisonIvy", "BITSAdmin", "YAHOYAH", "KeyBoy" ], "source_id": "MITRE", "reports": null }, { "id": "20b5fa2f-2ef1-4e69-8275-25927a762f72", "created_at": "2025-08-07T02:03:24.573647Z", "updated_at": "2026-04-10T02:00:03.765721Z", "deleted_at": null, "main_name": "BRONZE DUDLEY", "aliases": [ "TA428 ", "Temp.Hex ", "Vicious Panda " ], "source_name": "Secureworks:BRONZE DUDLEY", "tools": [ "NCCTrojan", "PhantomNet", "PoisonIvy", "Royal Road" ], "source_id": "Secureworks", "reports": null }, { "id": "3b1367ff-99dc-41f0-986f-4a1dcb41bbbf", "created_at": "2022-10-25T16:07:24.273478Z", "updated_at": "2026-04-10T02:00:04.918037Z", "deleted_at": null, "main_name": "TA413", "aliases": [ "White Dev 9" ], "source_name": "ETDA:TA413", "tools": [ "Exile RAT", "ExileRAT", "Sepulcher" ], "source_id": "ETDA", "reports": null }, { "id": "578f8e62-2bb4-4ce4-a8b7-6c868fa29724", "created_at": "2022-10-25T16:07:24.344358Z", "updated_at": "2026-04-10T02:00:04.947834Z", "deleted_at": null, "main_name": "Tropic Trooper", "aliases": [ "APT 23", "Bronze Hobart", "Earth Centaur", "G0081", "KeyBoy", "Operation Tropic Trooper", "Pirate Panda", "Tropic Trooper" ], "source_name": "ETDA:Tropic Trooper", "tools": [ "8.t Dropper", "8.t RTF exploit builder", "8t_dropper", "ByPassGodzilla", "CHINACHOPPER", "CREDRIVER", "China Chopper", "Chymine", "Darkmoon", "Gen:Trojan.Heur.PT", "KeyBoy", "Neo-reGeorg", "PCShare", "POISONPLUG.SHADOW", "Poison Ivy", "RoyalRoad", "SPIVY", "ShadowPad Winnti", "SinoChopper", "Swor", "TSSL", "USBferry", "W32/Seeav", "Winsloader", "XShellGhost", "Yahoyah", "fscan", "pivy", "poisonivy" ], "source_id": "ETDA", "reports": null }, { "id": "9792e41f-4165-474b-99fa-e74ec332bd87", "created_at": "2023-01-06T13:46:38.986789Z", "updated_at": "2026-04-10T02:00:03.172308Z", "deleted_at": null, "main_name": "Lucky Cat", "aliases": [ "TA413", "White Dev 9" ], "source_name": "MISPGALAXY:Lucky Cat", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "a4aca3ca-9e04-42d1-b037-f7fb3fbab0b1", "created_at": "2023-01-06T13:46:39.042499Z", "updated_at": "2026-04-10T02:00:03.194713Z", "deleted_at": null, "main_name": "TA428", "aliases": [ "BRONZE DUDLEY", "Colourful Panda" ], "source_name": "MISPGALAXY:TA428", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "86182dd7-646c-49c5-91a6-4b62fd2119a7", "created_at": "2025-08-07T02:03:24.617638Z", "updated_at": "2026-04-10T02:00:03.738499Z", "deleted_at": null, "main_name": "BRONZE HOBART", "aliases": [ "APT23", "Earth Centaur ", "KeyBoy ", "Pirate Panda ", "Red Orthrus ", "TA413 ", "Tropic Trooper " ], "source_name": "Secureworks:BRONZE HOBART", "tools": [ "Crowdoor", "DSNGInstaller", "KeyBoy", "LOWZERO", "Mofu", "Pfine", "Sepulcher", "Xiangoop Loader", "Yahaoyah" ], "source_id": "Secureworks", "reports": null }, { "id": "5afe7b81-e99a-4c24-8fcc-250fb0cf40a3", "created_at": "2023-01-06T13:46:38.324616Z", "updated_at": "2026-04-10T02:00:02.928697Z", "deleted_at": null, "main_name": "Roaming Tiger", "aliases": [ "BRONZE WOODLAND", "Rotten Tomato" ], "source_name": "MISPGALAXY:Roaming Tiger", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "ee9a20b1-c6d6-42da-909d-66e7699723d1", "created_at": "2025-08-07T02:03:24.704306Z", "updated_at": "2026-04-10T02:00:03.722506Z", "deleted_at": null, "main_name": "BRONZE WOODLAND", "aliases": [ "CTG-7273 ", "Roaming Tiger ", "Rotten Tomato " ], "source_name": "Secureworks:BRONZE WOODLAND", "tools": [ "Appat", "BbsRAT", "PlugX", "Zbot" ], "source_id": "Secureworks", "reports": null }, { "id": "5c13338b-eaed-429a-9437-f5015aa98276", "created_at": "2022-10-25T16:07:23.582715Z", "updated_at": "2026-04-10T02:00:04.675765Z", "deleted_at": null, "main_name": "Emissary Panda", "aliases": [ "APT 27", "ATK 15", "Bronze Union", "Budworm", "Circle Typhoon", "Earth Smilodon", "Emissary Panda", "G0027", "Group 35", "Iron Taurus", "Iron Tiger", "Linen Typhoon", "LuckyMouse", "Operation DRBControl", "Operation Iron Tiger", "Operation PZChao", "Operation SpoiledLegacy", "Operation StealthyTrident", "Red Phoenix", "TEMP.Hippo", "TG-3390", "ZipToken" ], "source_name": "ETDA:Emissary Panda", "tools": [ "ASPXSpy", "ASPXTool", "Agent.dhwf", "AngryRebel", "Antak", "CHINACHOPPER", "China Chopper", "Destroy RAT", "DestroyRAT", "FOCUSFJORD", "Farfli", "Gh0st RAT", "Ghost RAT", "HTTPBrowser", "HTran", "HUC Packet Transmit Tool", "HighShell", "HttpBrowser RAT", "HttpDump", "HyperBro", "HyperSSL", "HyperShell", "Kaba", "Korplug", "LOLBAS", "LOLBins", "Living off the Land", "Mimikatz", "Moudour", "Mydoor", "Nishang", "OwaAuth", "PCRat", "PlugX", "ProcDump", "PsExec", "RedDelta", "SEASHARPEE", "Sensocode", "SinoChopper", "Sogu", "SysUpdate", "TIGERPLUG", "TVT", "Thoper", "Token Control", "TokenControl", "TwoFace", "WCE", "Windows Credential Editor", "Windows Credentials Editor", "Xamtrav", "ZXShell", "gsecdump", "luckyowa" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434406, "ts_updated_at": 1775792166, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/f3eba556376960381206b627375d2c40d6ae5232.pdf", "text": "https://archive.orkl.eu/f3eba556376960381206b627375d2c40d6ae5232.txt", "img": "https://archive.orkl.eu/f3eba556376960381206b627375d2c40d6ae5232.jpg" } }