Too lazy to write my own 👀

404 not found LOL 😂😂

(this year is 1404 if you don't get it there isn't any problem)

Про OSINT и вокруг него

I wish I know Russian
But Google translate document translation is fine

Windows LNK - structure

Analysis
- https://zeifan.my/Windows-LNK
- https://u0041.co/posts/articals/lnk-files-artifact/

while reviewing sans CTI summit 2025 i see this interesting talk : "Advanced Threat Research Methodologies: Unraveling a Triple-APT Intrusion" . (by Tom Fakterman & Lior Rochberger )
which they discuss above attack 👀 and how did they cluster this attack


don't miss it

I regularly have people ask me about tools I use in my investigations so here’s a comprehensive list:

Cielo - Wallet Tracking (EVM, Bitcoin, Solana, Tron, etc)
TRM - Create graphs for addresses/transactions
MetaSuites - Chrome extension that adds additional data on block explorers
OSINT Industries - email/username/phone lookups
LeakPeek - db lookups
Snusbase - db lookups
Intelx - db lookups
Spur - IP lookups
Cavalier (Hudson Rock) - Infostealer lookups
Impersonator - Chrome extension to spoof login to dApps
MetaSleuth - Similiar to TRM but intended for retail users
Arkham - Multichain block explorer, entity labels, create graphs, alerts
Obsidian - Create flow charts / diagrams
Wayback Machine - archive web pages
Archive Today - archive web pages
Etherscan/Solscan - block explorer for EVM / Solana
Blockchair - bitcoin block explorer
Range - CCTP bridge explorer
Pulsy - bridge explorer aggregator
Socketscan - EVM bridge explorer
Dune - Analytics platform to query blockchain data
Mugetsu - X/Twitter username history & meme coin lookups
TelegramDB Search Bot - Basic Telegram OSINT
Discord[.]ID - Basic Discord account info
CryptoTaxCalculator -Track PNL for an address

Note: I am not paid by these platforms to mention them and do not have referral links to share

دیدم از افتا تشکر کردن بعد یک عمر یک گزارش داده ولی گویا افتا رول‌های کسپر دزدیده ریپلیس کرده اسم خودش گذاشته! خدایی اونجا یکتون بلد نیستید یارا رول بنویسه🤔

Astral-PE is a low-level mutator (headers obfuscator and patcher) for Windows PE files (.exe, .dll) that rewrites structural metadata after protection — without breaking execution.

It does not pack, encrypt or inject. Instead, it mutates low-hanging but critical structures like timestamps, headers, section flags, debug info, import/export names, and more.

Tempted to Classifying APT Actors: Practical Challenges of Attribution in the Case of Lazarus’s Subgroup

GOAD - part 14 - ADCS 5/7/9/10/11/13/14/15

P.S. In the previous blog post on ADCS (Goad Pwning Part 6), ESC1, ESC2, ESC3, ESC4, ESC6, and ESC8 were exploited.

Architecture Analysis of VMProtect 3.8

The focus will be on the new architecture for the latest VMProtect and techniques for attacking or reversing protected binaries. I will demonstrate how reverse engineering techniques—such as symbolic execution and binary instrumentation—can facilitate the de-virtualization or de-obfuscation of the protected code.

https://youtu.be/IMUUjTJzmFI?si=I02CASpsIo_w6G1B

#binary
#reverse
#vmp
#conference
@cafe_security

متاسفانه حمله‌ای سایبری در ایران رخ داده که توسط شرکت‌های امنیتی خارجی گزارش نشده است. احتمالا این حمله هنوز در جریان (Ongoing) باشد.

این رخداد سایبری از نوع APT (تهدید پیچیده متداوم) از نوع 0click exploit chain می‌باشد که افرادی را در ایران مورد هدف جاسوسی و سرقت اطلاعات قرار داده است.

بازیگر تهدید از نوع مستشاری-حکومتی مرتبط با شرکتی اسرائیلی-آمریکایی است.
تاکنون آلودگی دستگاه‌های گوشی همراه سه نفر توسط واحد هوش تهدید (CTI) ما مورد بررسی قرار گرفته و تایید شده است.

این حمله سایبری افرادی را بصورت هدفمند تهدید می‌کند و باتوجه به پیچیدگی آلوده‌سازی و اجرای کدمخرب، بررسی و فارنزیک تخصصی دستگاه گوشی لازم است.

اگر طی ماه‌های اخیر پیام یا اعلامیه‌ای امنیتی از سوی شرکت اپل یا اپلیکیشن واتس‌اپ دریافت کرده‌اید، حتما برای بررسی موضوع و تشخیص اطلاعات تحت مخاطره، با ما بصورت خصوصی تماس بگیرید.
تمامی اطلاعات شما محفوظ و رخداد بصورت محرمانه بررسی و پیگیری خواهد شد.

لطفا توجه داشته باشید که برای بررسی اولیه، هیچ گونه اطلاعات هویتی، شخصی یا حساس از شما گرفته نمی‌شود، همچنین بررسی تخصصی تنها در صورتی ممکن است که گوشی همراه مشکوک تاکنون خاموش/ریبوت یا آپدیت نشده باشد.

با سپاس

نویسنده مهرداد فرهادی

@aioooir | #warning

Ah shit, here we go again 🤔
https://x.com/jsrailton/status/1885517753295180248?s=19

No , they reported already