مروری بر فعالیت‌های گروه‌های APT منتخب که توسط تیم تحقیقاتی ESET در سه‌ماههٔ دوم و سوم سال ۲۰۲۵ بررسی و تحلیل شده‌اند.



محتوای گزارش:

در سه‌ماههٔ دوم و سوم سال ۲۰۲۵، شرکت ESET افزایش فعالیت گروه‌های APT را در تقریباً تمام مناطق جهان ثبت کرده است.
روندهای اصلی مشاهده‌شده عبارت‌اند از:
• افزایش چشمگیر حملات adversary-in-the-middle (AitM)
• افزایش حملات spear-phishing داخلی
• حملات supply-chain
• استفاده از آسیب‌پذیری‌های روز صفر (0-day) برای تحویل بدافزار



🇨🇳 گروه‌های منتسب به چین

بازیگران چینی به‌طور فعال از روش AitM برای رهگیری به‌روزرسانی‌ها و حرکت جانبی در شبکه استفاده می‌کنند.
گروه‌های PlushDaemon، SinisterEye، Evasive Panda، TheWizards با ربودن به‌روزرسانی‌های شبکه و تغییر مسیر DNS حمله می‌کنند.
گروه FamousSparrow کمپین‌هایی علیه نهادهای دولتی آمریکای لاتین اجرا کرده است؛ در این حملات از DLL sideloading از طریق فایل BugSplatRC.dll استفاده شده که توسط فایل‌های قانونی (مانند mantec.exe، kasper.exe، trend.exe) اجرا می‌شود و ابزار atexec-pro برای حرکت جانبی استفاده می‌شود.
گروه Flax Typhoon از سرورهای وب عمومی سوءاستفاده کرده، وب‌شل مستقر می‌کند و زیرساخت خود را بر پایهٔ SoftEther VPN و پراکسی BUUT نگه داشته است.
گروه Speccom در آسیای مرکزی سندی با نام UzGasTrade 26.06.2025.doc پخش کرده که شامل ماکرو بوده و زنجیرهٔ آلودگی آن عبارت است از:
ماکرو → لودر CalaRat → بک‌دورهای BLOODALCHEMY، kidsRAT، RustVoralix.



🇮🇷 گروه‌های منتسب به ایران

بازیگران ایرانی در حال گسترش تکنیک‌های فیشینگ خود هستند.
گروه MuddyWater به سمت spear-phishing داخلی رفته است؛ یعنی ارسال ایمیل از صندوق‌های پستی داخلی که از پیش به‌خطر افتاده‌اند؛ این کار باعث دور زدن فیلترهای ایمیل و افزایش احتمال نفوذ موفق می‌شود.
گروه GalaxyGato (C5) از PowerShell برای شناسایی و از یک backdoor مبهم‌شده (obfuscated) به نام C5 استفاده می‌کند.
کمپین‌های این گروه از تکنیک DLL search-order hijacking در مسیر Windows Defender
(Version.dll → Offline\MMpLics.dll → LSASS → MsMpCon.dll.mui) برای سرقت اعتبارنامه‌ها بهره می‌برند.



🇰🇵 گروه‌های منتسب به کرهٔ شمالی

اپراتورهای کره‌شمالی فعالیت‌های جاسوسی و مالی را ترکیب کرده و دامنهٔ جغرافیایی خود را تا ازبکستان گسترش داده‌اند.
گروه DeceptiveDevelopment با تماس‌های جعلی منابع انسانی و کدهای آلوده‌شده حمله می‌کند؛ بدافزار اصلی آن AkdoorTea است.
گروه‌های Lazarus / ScarCruft حملات زنجیرهٔ تأمین را از طریق نصاب‌های ERP و نرم‌افزارهای CCTV آلوده اجرا کرده و بدافزارهای RokRAT، ThreatNeedleTea، SIGNBT را نصب می‌کنند.
گروه Konni از مجموعه ابزارهای پس از نفوذ شامل تونل معکوس TCP سفارشی، RDP Wrapper و اکسپلویت EternalBlue استفاده می‌کند و حتی زنجیره‌ای غیرمعمول برای macOS دارد (AppleScript → EggShell).



🇷🇺 گروه‌های منتسب به روسیه

در روسیه، APTهای روسی بر اهداف اوکراین و اروپا تمرکز دارند و از فیشینگ، آسیب‌پذیری‌های روز صفر و ابزارهای مخرب استفاده می‌کنند.
گروه RomCom (UNC2596) از آسیب‌پذیری روز صفر WinRAR (CVE-2025-8088) سوءاستفاده کرده که با Alternate Data Streams کار می‌کند: فایل فشرده DLLهای مخفی را در %TEMP% استخراج کرده و یک میانبر (.lnk) در مسیر Startup می‌سازد. بدافزارهای بارگذاری‌شده شامل SnipBot، RustyClaw، Mythic هستند.
گروه Gamaredon به فیشینگ انبوه در اوکراین ادامه می‌دهد و از همان اکسپلویت WinRAR نیز بهره می‌برد؛ داده‌ها را به ذخیره‌سازهای S3-compatible مانند Tebi و Wasabi می‌فرستد و از تونل‌های loca.lt، devtunnels.ms، workers.dev استفاده می‌کند؛ همچنین تحویل گزینشی نسخه‌های Turla Kazuar v2/v3 مشاهده شده است.
گروه Sandworm از پاک‌کننده‌ها (wipers) با نام‌های ZEROLOT و Sting استفاده می‌کند و آن‌ها را از طریق Group Policy و وظایف زمان‌بندی‌شده منتشر می‌کند (نمونه: DavaniGulyashaSdeshka).
گروه InedibleOchotense در ایمیل‌ها و پیام‌های Signal خود را جای ESET جا زده و آرشیوی حاوی ابزار قانونی ESET AV Remover و backdoor Kalambur ارسال کرده است (دامنه‌ها: eset-review[.]com، esetsmart[.]com، esetscanner[.]com، esetremover[.]com).



🧩 سایر فعالیت‌ها / بدون انتساب مشخص

آسیب‌پذیری XSS در Roundcube (CVE-2024-42009) شامل تزریق جاوااسکریپت از طریق نقص Roundcube است؛ اجرای JS downloader و Service Worker منجر به سرقت اعتبارنامه‌ها و پیام‌ها شده است؛ ایمیل‌های طعمه به‌سبک تولیدات هوش مصنوعی (با ایموجی و بولت‌پوینت‌ها) طراحی شده‌اند.

WinRAR 7 ≤ 7.12 Vulnerability (CVE-2025-8088) Exploitation with Multiple Payloads by Ai000 Cybernetics QLab. (Youtube)

@aioooir | #winrar

CVE-2025-60710 Local Privilege Escalation in Taskhost Windows Tasks

This is PoC for local privilege escalation vulnerability in \Microsoft\Windows\WindowsAI\Recall\PolicyConfiguration scheduled task.
When this scheduled task is started the taskhostw.exe process whill try to open the C:\Users\%username%\AppData\Local\CoreAIPlatform.00\UKP directory and search for directories using the following filter: {????????-????-????-????-????????????}. If that directory is found it will be deleted without checking for symbolic links.
As low privilege user by default can create directories in their own %LOCALAPPDATA% folder this leads to arbitrary folder delete in context of NT AUTHORITY\SYSTEM user.

⭕️ China's largest cybersecurity firm, Knownsec, was breached, exposing details of China's state cyber operations.

The data includes cyberweapon documentation, internal hacking tool source code, and global target lists covering over 20 countries, including Japan, Vietnam, and India.

A spreadsheet lists 80 hacked foreign organizations, plus evidence of 95 GB of stolen Indian immigration data and 3 TB of call records from South Korean mobile operator LG U Plus.

One of the documents mention a malicious power bank, disguised as a charging device.

Knownsec is key to China's cybersecurity, providing advanced defense and offensive capabilities, including espionage tools.

More:
https://x.com/intcyberdigest/status/1988355649269387488?s=46

@GoSecurity

#پادکست
#امنیت_کلبه_سایبرنتیک

⚡️ نوع: پادکست
⚡️ عنوان: دوره امنیت استراتژیک در نبردگاه سایبر
⚡️ قسمت نهم دکترین گوفِیس، آن روی سکه فناوری سایبر

@aioooir | #podcast

یه گروه فلسطینی زمانی در حال حمله بودن،یسری ترد هانتر میرن سراغ آدرس c2 سرورشون و کلا Opsec به‌ خطر میفته و sqli میخورن و کل دیتابیس رو دامپ میکنن و از جزئیاتی که این گروه بهش رسیده بوده مطلع میشن.

@GoSecurity
https://youtu.be/StSLxFbVz0M?si=2p3yP2OES1p9T6cd

CVE-2025-10230: OS Command Injection in Samba, 10.0 rating 🔥

An October vuln in the popular Samba AD package allows attackers to execute commands on a server by sending just one specially crafted packet.

@GoSecurity

Types of Virtualization

ریپوی زیر یک رودمپ خوب و عملی برای یادگیری C ارائه می‌ده؛ از پروژه‌های کوچک تا مفاهیم عمیق. برای رسیدن به جایگاه سنیور در ردتیمینگ، تسلط روی یه زبان سطح پایین یک الزام واقعیه. اگر از امروز شروع کنی، تا پایان سال ۴۰۴ به درک قابل‌قبولی از زبان‌های سطح‌پایین می‌رسی و با تمرین مداوم می‌تونی کاملاً مسلط بشی؛

هرکی هم بهتون گفته لازم نیست برنامه‌نویسی بلد باشین و ..، هیچی حالیش نبوده، استارتشو بزنید و از کارهای راحت دوری کنید.
کنار این ریپو حتما از کتاب استفاده کنید؛ کتاباشو میزارم و سراغ یوتیوب نرید، دوره‌هم نخرید؛ بزارید پنج بار با سر برید تو دیوار و با آزمون و خطا به جواب درست برسید، اینطوری یه سنیور ساخته میشه.
انتظار نداشته باشید سریع به جواب برسید، هیچ چیز خوبی سریع بدست نمیاد.

github.com/h0mbre/Learning-C

تو یادگیری C با گرایش offensive، تمرکز اصلی روی systems programming و exploit development هستش.
چندتا مثال از مباحثی‌هایی که باید بلد باشید میزنم ولی قطعا کامل نیست و باید برید دنبالش و خودتون تهشو دربیارید اما بهتون یک دید نسبی میده.




1) Memory Management and Pointers

• مدل حافظه: stack، heap، data segments
• ساختار stack frame و چیدمان متغیرها
• pointer arithmetic و مدیریت ایمن پوینتر
• انواع خطاهای حافظه: UAF، OOB، double free، heap corruption
• رفتار allocatorها: glibc malloc، ptmalloc، Windows Heap
• اصول PIC و کدنویسی غیر وابسته به آدرس
• ASLR bypass
• DEP bypass
• ROP chain basics



2) Syscalls and Direct Kernel Interaction

• تفاوت API سطح‌بالا با syscall
• استفاده از raw syscall
• الگوهای indirect syscall و syscall stubbing
• رجیسترها و calling convention ویندوز در syscall
• رجیسترها و calling convention لینوکس در syscall
• inline assembly برای کنترل مسیر اجرای سطح پایین



3) Assembly and Reverse Engineering

• تسلط بر x86/x64 در Intel و AT&T
• تفاوت inline asm در GCC/Clang/MSVC
• تفاوت calling convention در ویندوز و لینوکس
• ساخت کد PIC و شل‌کد
• تحلیل خروجی اسمبلی کامپایلر
• شناسایی Hookها در DLLها و تفاوت IAT/Inline
• IDA Pro
• Ghidra
• Binary Ninja
• DWARF / PDB basics



4) Networking and Protocols

• کار با Winsock و Berkeley Sockets
• ساخت و استفاده از Raw Sockets
• طراحی پروتکل باینری اختصاصی
• ایجاد Covert Channels
• تنظیم beacon jitter
• الگوهای Traffic Shaping و domain fronting
• TLS/SSL
• crypto libs در C
• shared library hijacking (LD_PRELOAD / LD_AUDIT)
• DLL search‑order hijacking
• systemd service persistence
• cron + at jobs



5) File I/O and Persistence

• memory mapping با mmap / MapViewOfFile
• ذخیره‌سازی در : ADS، cache، Registry
• پایدار کردن دسترسی در سطح یوزر اسپیس
• مفهوم rootkit در یوزر اسپیس
• ساختارهای کلی روتکیت تو کرنل اسپیس
و DKOM
• CreateRemoteThread
• APC injection
• process hollowing
• reflective DLL injection



6) Executable File Formats (PE / ELF)

• ساختارهای PE و ELF
• manual mapping
• reflective loading
• relocation و import resolution
• اجرای memory-only



7) Code Obfuscation

• string encryption
• API hashing
• control flow flattening
• opaque predicates
• MBA transformations
• junk code insertion
• anti-debugging techniques
• timing checks
• hardware breakpoints detection
• anti-VM / anti-sandbox
• exception-based checks




8) Linux Internals

• ساختار ELF زمان load شدن و نقش ld.so در dynamic linking
• جریان resolve شدن symbol از طریق PLT/GOT
• لایه‌ی syscall در لینوکس (glibc wrapper، direct syscall، VDSO)
• مدل memory layout پروسه‌ها شامل stack، heap، anon maps، VDSO
• رفتار ptrace و سطح دسترسی debugger نسبت به رجیسترها و memory
• مکانیزم seccomp-bpf و محدودیت‌های syscalls در sandbox
• معماری LSM مثل AppArmor و SELinux و نقش آن‌ها در enforcement
• ساختار audit subsystem و eventهای قابل مانیتور
• رفتار loader در اجرای باینری‌های PIE و نحوهٔ ASLR لینوکس
• فایل‌های کلیدی procfs برای enumeration و injection
• مدل threading لینوکسی مبتنی بر NPTL
• ساختار cgroup و namespaceها برای isolation و evasion
• تکنیک‌های user-mode hooking در لینوکس
• سطح حملهٔ kernel شامل syscall table، kprobes، eBPF، module loading
• تعامل با /dev/mem و /proc/kcore برای RE و memory analysis
• basic filesystem internals



9) Windows Internals

• تفاوت Win32 API و NTAPI
• دسترسی مستقیم به NTAPI
• ساختار PEB و TEB و روش‌های دسترسی مستقیم
• رفتار loader در بارگذاری PE
• تعامل ETW با رفتار پردازه
• مکانیزم‌های AMSI و WLDP
• مبانی kernel debugging (WinDbg)
• driver development
• SSDT hooking
• Ring 0 exploits
• Thread hiding techniques




10) Multithreading

• ایجاد thread در Win32 API و NTAPI
• استفاده از TLS
• sync: mutex، semaphore، critical section، atomic ops
• ‌I/O: blocking، non‑blocking، overlapped، IOCP
• thread-based vs event-driven


ساختار می‌تونه بسته به هدف شما تغییر کنه و حتی بعضی از مبحث‌ها حذف یا چیزهای جدیدی بهش اضافه بشه. اول باید مشخص کنید دقیقاً دنبال چه کاری هستید، بعد بر اساس اون مسیر مناسب رو انتخاب کنید.

@GoSecurity
#exploit
#low_level
#linux #windows
#security

یه نفر به مدت چندساله تمام چیزایی که یاد می‌گرفته رو توی یه ریپو نوشته و مثل یه دفترچه‌ جیبییه؛
میتونید از این روش استفاده کنید و مسیر یادگیری‌تونو بهبود بدید.

github.com/jbranchaud/til


@GoSecurity

Popular bulletproof hosting provider Media Land has been sanctioned by the US for working with Ransomware gangs as well as other cybercrime.

@GoSecurity

#RaaS
#hosting

اگر میخواید توان کشورهایی مثل اسرائیل یا آمریکا رو بدونید؛ این پادکست رو گوش بدید.
بعد از این کار اگر خواستید خیلی بیشتر مطالعه کنید راجبشون؛ برید و لیست کنفرانس‌های امنیتی رو گیر بیارید( مث دفکان و ..)؛ برید و داخل یوتیوب‌شون یا بلاگ‌هاشون اسامی ارائه دهنده‌هارو دربیارید و امریکا/اسرائیلی هارو از لیست نهایی‌ جدا کنید؛ بعدش برید و ارائه‌هاشونو ببینید و سوشال مدیاشونو دنبال کنید.

اگر این کارارو انجام بدید و بعدش برید هی مطالعه‌تونو ادامه بدید؛ دید خوبی به مباحث تحقیقاتی و توان سایبری غرب پیدا خواهید کرد.

#usa #isreal
#nsa #security