BlueDelta’s Persistent Campaign Against UKR.NET
La date limite d'analyse pour ce rapport était le 30 juillet 2025.
Executive Summary
Entre juin 2024 et avril 2025, le site Recorded Future's Insikt Group a identifié une campagne soutenue de collecte d'identifiants ciblant les utilisateurs de UKR.NET, un service ukrainien de courrier électronique et d'actualités très répandu. Cette activité est attribuée au groupe de menace BlueDelta (également connu sous les noms d'APT28, Fancy Bear et Forest Blizzard), parrainé par l'État russe. Cette campagne s'appuie sur les opérations antérieures de BlueDelta décrites dans le Insikt Group rapport de mai 2024intitulé " GRU's BlueDelta Targets Key Networks in Europe with Multi-Phase Espionage Campagne" ( BlueDelta du GRU cible des réseaux clés en Europe avec une campagne d'espionnage en plusieurs phases), qui documente le vol d'identifiants et les activités d'espionnage liés au GRU. Bien que cette campagne ne révèle pas de cibles spécifiques, l'accent mis par BlueDelta sur le vol d'identifiants pour permettre la collecte de renseignements fournit de solides indications sur l'intention probable de collecter des informations sensibles auprès d'utilisateurs ukrainiens pour répondre aux besoins plus larges du GRU en matière de renseignements.
Insikt Group a observé que BlueDelta déployait plusieurs pages de collecte d'identifiants sous la forme de portails de connexion UKR.NET. Le groupe a utilisé des services web gratuits, notamment Mocky, DNS EXIT et, plus tard, des plateformes de tunneling proxy telles que ngrok et Serveo, pour collecter des noms d'utilisateur, des mots de passe et des codes d'authentification à deux facteurs. BlueDelta a distribué des leurres PDF contenant des liens intégrés vers ces pages de collecte d'identifiants, susceptibles de contourner l'analyse automatique des courriels et la détection des bacs à sable. Les outils, les choix d'infrastructure et le langage JavaScript utilisé dans le présent rapport sont conformes à la technique établie de BlueDelta et n'ont pas été observés par d'autres groupes russes de lutte contre la menace.
L'utilisation abusive par BlueDelta de l'hébergement gratuit et de l'infrastructure de tunnelisation anonyme reflète probablement une réponse adaptative aux fermetures d'infrastructures menées par l'Occident au début de 2024. La campagne met en évidence l'intérêt persistant du GRU pour la compromission des identifiants des utilisateurs ukrainiens afin de soutenir les opérations de collecte de renseignements dans le cadre de la guerre que la Russie mène actuellement en Ukraine.
Key Findings
- BlueDelta a continué à se concentrer sur les utilisateurs de UKR.NET, en poursuivant son activité de récolte d'identifiants tout au long des années 2024 et 2025.
- Le groupe a distribué des PDF malveillants qui renvoient à des pages de collecte d'identifiants par le biais d'URL intégrées, ce qui lui permet d'échapper au filtrage des courriels et à la détection des bacs à sable TTPs.
- BlueDelta est passé des routeurs de compromission aux plateformes de tunneling proxy, telles que ngrok et Serveo, pour relayer les identifiants et contourner les CAPTCHA et les défis d'authentification à deux facteurs.
- L'activité entre mars et avril 2025 a révélé des mises à jour de l'infrastructure à plusieurs niveaux de BlueDelta, y compris de nouveaux composants de niveau 3 et des composants de niveau 4 jamais vus auparavant, ce qui indique une superposition et une sophistication accrues des opérations.
- La Campagne démontre le perfectionnement continu des opérations de vol d'identifiants de BlueDelta, reflétant l'intérêt soutenu du GRU pour la collecte d'identifiants d'utilisateurs ukrainiens à des fins de renseignement.
Background
BlueDelta est un groupe de menace parrainé par l'État russe et associé à la direction principale de l'état-major général des forces armées de la Fédération de Russie (GRU). Également connu sous les noms d'APT28, Fancy Bear et Forest Blizzard, le groupe mène des opérations d'espionnage et de collecte d'identifiants depuis plus de dix ans. L'activité décrite dans ce rapport s'aligne sur la Campagne BlueDelta précédente suivie par Insikt Group et constamment attribuée par de nombreux gouvernements occidentaux au GRU.
Depuis au moins le milieu des années 2000, BlueDelta a mené des opérations d'hameçonnage et de vol d'identité contre un large éventail de cibles, notamment des institutions gouvernementales, des entreprises de défense, des fournisseurs d'armes, des entreprises de logistique et des groupes de réflexion politique. Ces efforts visent à collecter des identifiants et des renseignements pertinents pour les opérations militaires et les intérêts stratégiques de la Russie. Les activités précédemment signalées se concentraient sur UKR.NET et d'autres services de messagerie web utilisant de faux portails de connexion hébergés sur une infrastructure web gratuite et des routeurs compromis pour capturer les noms d'utilisateur, les mots de passe et les codes d'authentification.
Analyse technique
Le 14 juin 2024, Insikt Group a identifié une nouvelle page de collecte d'identifiants BlueDelta, présentée comme une page de connexion UKR.NET, comme le montre la figure 1. La page a été hébergée à l'aide du service API gratuit Mocky, que BlueDelta a régulièrement utilisé pour la plupart de ses pages de collecte d'identifiants tout au long de l'année 2024.
Figure 1: La page de collecte d'identifiants affichait une page de connexion UKR.NET (sources : Recorded Future).
La page malveillante UKR.NET avait une fonctionnalité très similaire à celle observée précédemment par Insikt Group. La page utilisait JavaScript pour exfiltrer des identifiants et relayer les informations CAPTCHA vers le domaine et fixait une combinaison de port élevée, kfghjerrlknsm[.]line[.]pm[ :]11962, comme indiqué à la figure 2.
Figure 2: UKR.NET identifiant capture page JavaScript (sources : Recorded Future)
Le domaine line[.]pm apex appartient à l'hébergeur gratuit DNS EXIT, qui propose l'hébergement gratuit de sous-domaines.
Au moment de l'analyse, le domaine a été résolu à l'adresse IP 18[.]157[.]68[.]73, qui est une instance Amazon Elastic Compute Cloud (EC2) soupçonnée d'être utilisée par le service de proxy inverse mondialement distribué ngrok. ngrok offre un service gratuit qui permet aux utilisateurs de connecter des serveurs situés derrière un pare-feu à un serveur proxy et d'exposer ce serveur à l'internet sans modifier les règles du pare-feu. Dans ce cas, le service est probablement utilisé de manière abusive par BlueDelta pour masquer l'emplacement réel de son infrastructure en amont.
L'utilisation de ngrok représente un changement notable dans l'infrastructure de BlueDelta, car le groupe de menace utilisait auparavant des routeurs Ubiquiti compromis pour héberger des scripts Python qui capturaient les identifiants et géraient les défis 2FA et CAPTCHA. Ce changement est probablement une réponse aux efforts du Federal Bureau of Investigation (FBI), de la National Security Agency (NSA), de l'US Cyber Command et des partenaires internationaux pour démanteler l'infrastructure de BlueDelta au début de 2024.
BlueDelta a ajouté une nouvelle fonctionnalité à la page hébergée sur kfghjerrlknsm[.]line[.]pm pour capturer les adresses IP des victimes à l'aide du service API gratuit de demande et de réponse HTTPBin, comme le montre la figure 3.
var respIP=$.getJSON('hxxps://httpbin[.]org/ip');
Figure 3: page de récolte identifiante JavaScript, utilisée pour capturer l'adresse IP de la victime (sources : Recorded Future)
Deux autres pages de collecte d'identifiants ont été découvertes en juillet et septembre 2024. Elles correspondaient à la configuration de la première page mais utilisaient des URL Mocky différentes, l'une des pages étant configurée pour utiliser un numéro de port différent. Cela est probablement dû au fait que BlueDelta a mis en place un nouveau tunnel ngrok.
Le 13 septembre 2024, Insikt Group a identifié une nouvelle page de collecte d'identifiants UKR.NET, qui était à nouveau hébergée sur Mocky. Pour cette page, BlueDelta a exfiltré des identifiants et relayé des informations CAPTCHA vers le domaine 5ae39a1b39d45d08f947bdf0ee0452ae[.]serveo[.]net.
Le domaine apex serveo [.]net appartient à Serveo, une société qui offre des services gratuits de transfert de port à distance similaires à ceux de ngrok.
En octobre et novembre 2024, Insikt Group a identifié trois nouvelles pages de collecte d'identifiants sur le thème UKR.NET. Là encore, ces pages ont été hébergées à l'aide de Mocky et ont été construites à l'aide de JavaScript similaires à ceux des pages précédemment signalées. Cependant, dans les pages les plus récentes, BlueDelta a déplacé la fonctionnalité de capture et de relais d'identifiants en amont vers ngrok, en utilisant le domaine DNS EXIT personnalisé jkbfgkjdffghh[.]linkpc[.]net, configuré avec deux ports éphémères fixes distincts : 10176 et 17461. Au moment de l'analyse, le lienpc[.]net Le domaine a été résolu en suspectant l'adresse IP 3[.]67[.]15[.]169.
En outre, BlueDelta a ajouté de nouveaux domaines de redirection de premier niveau pour deux des pages : ukraine[.]html-5[.]me et ukrainesafe[.]is-great[.]org. Il est probable que l'acteur malveillant ait ajouté cette étape supplémentaire pour dissimuler les URL Mocky dans les courriels d'hameçonnage. Les domaines apex html-5[.]me et is-great[.]org appartiennent à la société d'hébergement gratuit Byet Internet Services.
Le 27 décembre 2024, Insikt Group a identifié une nouvelle page de collecte d'identifiants BlueDelta UKR.NET hébergée sur l'URL Mocky run[.]mocky[.]io/v3/72fa0a52-6e6e-43ad-b1c2-4782945d6050. La page malveillante UKR.NET avait des fonctionnalités très similaires à celles des pages décrites précédemment. La page utilisait JavaScript pour exfiltrer des identifiants et relayer les informations CAPTCHA vers le même domaine DNS EXIT, avec un port fixe mis à jour, jkbfgkjdffghh[.]linkpc[.]net:17461, comme le montrent les figures 4 et 5.
Figure 4: Fonctions et variables JavaScript contenant le linkpc[.]net domaine (sources : Recorded Future)
Figure 5: Code JavaScript utilisé pour capturer les identifiants (sources : Recorded Future)
Lors de l'analyse de cette page de collecte d'identifiants, Insikt Group a détecté plus de vingt fichiers PDF liés, que BlueDelta a probablement envoyés aux victimes en tant que leurres d'hameçonnage. Le document PDF du leurre, comme le montre la figure 6, informe la cible d'une activité suspecte sur son compte UKR.NET et lui demande de cliquer sur un lien pour réinitialiser son mot de passe.
Figure 6: Leurre PDF utilisé par BlueDelta pour inciter les victimes à cliquer sur des liens menant à des pages de collecte d'identifiants.
(source : Recorded Future)
Chacun des PDF comportait un lien hypertexte vers une page de récolte identifiée. La plupart de ces liens ont été raccourcis à l'aide de services de raccourcissement de liens ou ont utilisé un domaine enregistré par l'intermédiaire d'un fournisseur d'hébergement gratuit. Depuis 2023, BlueDelta utilise les plateformes de raccourcissement de liens suivantes :
- doads[.]org
- in[.]run
- t[.]ly
- tiny[.]cc
- tinyurl[.]com
- linkcuts[.]com
Outre les services de raccourcissement de liens, BlueDelta a utilisé des domaines gratuits de l'hébergeur InfinityFree ou de Byet Internet Services, ou des sous-domaines fournis par la plateforme de blogs gratuits Blogger (anciennement Blogspot) pour la redirection de liens de niveau 2, en conjonction avec les services de raccourcissement de liens. Les domaines apex suivants ont été utilisés dans BlueDelta Campagne depuis 2023 :
- *.blogspot[.]com
- *.html-5[.]me
- *.is-great[.]org
- *.mydiscussion[.]net
- *.rf[.]gd
- *.synergize[.]co
- *.talebco[.]ir
La configuration de l'infrastructure de BlueDelta est restée essentiellement statique entre décembre 2024 et avril 2025, en s'appuyant sur six étapes distinctes dans sa configuration de récolte d'identifiants, comme le montre la figure 7.
Pour le deuxième niveau, BlueDelta a continué à utiliser le service API gratuit Mocky pour héberger toutes ses pages de collecte d'identifiants. Le HTML et le JavaScript des dernières pages restent très similaires à ceux décrits précédemment, à l'exception de l'ajout d'une nouvelle ligne de code(figure 8), qui s'ajoute en trois endroits à des fonctions JavaScript existantes.
req.setRequestHeader("ngrok-skip-browser-warning", "1");
Figure 8: La nouvelle ligne de code ajoutée pour désactiver l'avertissement du navigateur ngrok (sources : Recorded Future)
La ligne supplémentaire de JavaScript ajoute un nouvel en-tête de requête HTTP à toutes les requêtes sortantes de la page vers le service ngrok. Ce nouvel en-tête est utilisé pour désactiver la page d'avertissement du navigateur de ngrok, une fonction de sécurité qui affiche un avertissement dans le navigateur lorsque les connexions sont dirigées via son service proxy. Sans cet en-tête supplémentaire, les cibles de BlueDelta recevraient un avertissement lorsqu'elles interagiraient avec la page, ce qui pourrait les alerter sur sa nature malveillante.
Entre le 13 mars et le 17 avril 2025, BlueDelta a mis à jour son infrastructure de niveau 3. Au lieu d'utiliser des domaines gratuits DNS EXIT résolus vers les serveurs ngrok, les acteurs ont utilisé les sous-domaines gratuits de ngrok v3, comme le montre le tableau 1.
Table 1: Domaines gratuits de Ngrok utilisés par BlueDelta (sources : Recorded Future)
Pour le niveau 4, BlueDelta a utilisé des serveurs dédiés. La première adresse IP de niveau 4 5[.]135[.]199[.]21, situé en France, a été actif entre le 1er février et le 10 avril 2025. Au moment où il était actif, le serveur avait SSH ouvert sur le port TCP 22 et une bannière nginx par défaut sur le port TCP 80. En outre, il exécutait un serveur HTTP personnalisé sur le port TCP 4430, qui est probablement le port utilisé pour les connexions à partir du tunnel ngrok. Le certificat TLS hébergé sur ce port utilise le nom commun jkbfgkjdffghh[.]linkpc[.]net, le même domaine DNS EXIT observé sur les serveurs ngrok dans la version précédente de l'infrastructure.
Entre le 18 et le 22 avril 2025, le domaine typosquat ukrinet[.]com résolu à l'adresse IP 5[.]135[.]199[.]21. Bien que ce domaine se situe en dehors de la fenêtre de date mise en évidence par l'analyse des bannières, il est probable, en raison de sa proximité avec UKR.NET, qu'il soit lié à l'activité de BlueDelta.
En outre, entre le 24 et le 29 avril 2025, le domaine ukrinet[.]com résolu à l'adresse IP suisse 179[.]43[.]141[.]80. Le 30 avril 2025, la même adresse IP hébergeait le domaine ukrainnet[.]com, qui ressemble beaucoup à UKR.NET et qui est donc probablement lié à l'infrastructure de BlueDelta. Cependant, au moment de l'enquête, Insikt Group n'a pas été en mesure d'identifier avec certitude une activité malveillante liée à ce domaine et à ukrinet[.]com.
La deuxième adresse IP de niveau 4, 51[.]161[.]109[.]50, était situé au Canada et a été actif entre le 15 avril et le 15 mai 2025. Au moment où il était actif, le serveur avait SSH ouvert sur le port TCP 22 et faisait tourner un serveur HTTP personnalisé sur le port TCP 35780.
Au total, Insikt Group a pu identifier 42 nouvelles chaînes de récolte identifiables BlueDelta.
Mitigations
Les organisations peuvent atténuer les risques liés à cette campagne en prenant les mesures suivantes :
- Leverage Recorded Future® Renseignement sur les menaces :
- Les clients peuvent utiliser les listes de risques constamment mises à jour de Recorded Future pour identifier et bloquer les infrastructures BlueDelta connues.
- Activer l'alerte dans la plateforme opérationnelle de renseignement de Recorded Future pour les domaines ou IP nouvellement enregistrés liés à Mocky, Byet Internet Services, ngrok, Serveo et DNS EXIT.
- Utilisez Recorded Future renseignements sur l'identité pour surveiller les fuites ou la réutilisation d'identifiants associés à des domaines d'entreprise.
- Mettez en œuvre des mesures de protection spécifiques :
- Renforcez les mots de passe forts et uniques et activez l'authentification multifactorielle (MFA), en donnant la priorité aux méthodes résistantes au phishing telles que les authentificateurs matériels ou basés sur des applications.
- Refuser la liste des services gratuits d'hébergement et de tunneling qui ne sont pas nécessaires aux opérations commerciales, y compris Mocky, Byet, ngrok, Serveo et DNS EXIT.
- Surveillez les journaux de courrier électronique et de passerelle Web pour y trouver des pièces jointes PDF ou des liens intégrés faisant référence à la vérification du compte, à la réinitialisation du mot de passe ou à des problèmes d'ouverture de session.
- Suivre les tentatives d'authentification à partir de services proxy ou de ports non standard, en particulier ceux associés aux tunnels ngrok.
- Adoptez les meilleures pratiques générales :
- Organisez régulièrement des formations de sensibilisation au phishing axées sur les faux portails de connexion et les leurres sur le thème de la sécurité.
- Maintenir un plan de réponse incident en cas de compromission identifiée, y compris des procédures d'escalade définies, des protocoles de réinitialisation des comptes et des mesures de confinement.
- Examinez périodiquement les dépendances des services externes afin d'éviter toute exposition inutile à des services web gratuits ou non vérifiés.
Outlook
BlueDelta devrait poursuivre son activité de collecte d'identifiants jusqu'en 2025 et en 2026, en continuant à s'appuyer sur une infrastructure web anonyme et peu coûteuse. Le groupe a fait preuve d'adaptabilité en passant des routeurs de compromission aux services de tunneling proxy tels que ngrok et Serveo, une tendance qui devrait se poursuivre alors qu'il cherche à masquer l'infrastructure et à contourner la détection au cours de sa campagne.
À l'avenir, Campagne intégrera probablement une plus grande diversification des plateformes d'hébergement gratuit et de redirection afin de maintenir la continuité opérationnelle dans le cadre des efforts continus des forces de l'ordre et des partenaires en matière de démantèlement. L'utilisation systématique de leurres PDF et de liens intégrés suggère que BlueDelta continuera d'affiner les mécanismes de distribution conçus pour échapper aux défenses automatisées des courriels et exploiter la confiance des utilisateurs dans des marques familières.
Ces opérations mettent en évidence la persistance du vol d'identifiants lié au GRU en tant que méthode rentable et évolutive pour obtenir un accès initial et collecter des renseignements.
Annexe A : Indicateurs de compromission
Domains:
1961-51-161-109-50[.]ngrok-free[.]app
2884-51-161-109-50[.]ngrok-free[.]app
2a06-51-161-109-50[.]ngrok-free[.]app
3576-51-161-109-50[.]ngrok-free[.]app
3bb1-51-161-109-50[.]ngrok-free[.]app
5ae39a1b39d45d08f947bdf0ee0452ae[.]serveo[.]net
7dc8-51-161-109-50[.]ngrok-free[.]app
838f-51-161-109-50[.]ngrok-free[.]app
abaf-5-135-199-21[.]ngrok-free[.]app
c4cb-51-161-109-50[.]ngrok-free[.]app
dd06-51-161-109-50[.]ngrok-free[.]app
efbc-51-161-109-50[.]ngrok-free[.]app
jkbfgkjdffghh[.]linkpc[.]net
kfghjerrlknsm[.]line[.]pm
ukraine[.]html-5[.]me
ukrainesafe[.]is-great[.]org
IP Addresses:
3[.]67[.]15[.]169
5[.]135[.]199[.]21
18[.]157[.]68[.]73
51[.]161[.]109[.]50
73[.]80[.]9[.]137
179[.]43[.]141[.]80
PDF Lure Hash:
009440551eb6ea83da1a28361ebf44b3d022f204b99b82b83e266ec4807d18eb
1919d9c67a9ce00382f65b4bc1e1d1f4e4c0b296bc20ca45ba8fef8c188138ec
1a4c609fb75a54c7016736e471b6f92aaed7bb51257f3946e4ece9dd9125500c
20a3bf615c257d0c79ed82c428c3c182298876e52356988dd72dc20b2f12a217
2431578b5ba5a8569a689807bdb827e3d445a16cc013ed8eba7b7bfea661d76a
2f8e8b2783c8c47da0f265199671f3cae4e31b2a03999fff12aa3090c74c7a51
44935484933a13fb6632e8db92229cf1c5777333fa5a3c0a374b37428add69fb
53142380d75e3f54490f2896b58f308e6b91bec841d09b4e88985cb5b7812031
5fd8153dbb4620ab589aaa83815afce34135e5a0a5af10876fb3b0fff344c64b
64b26a92652bfb67cbe18217b6508fce460eff859526b2e256d3f1b9eab338b0
704b0a4f2f2195d22340471b9bdb06244047f7042728dd7f6aa6e3c5e30c9bc1
86a9ca34790e219ddc371fa154c51a9a2930e2afdebf4fc0889d2ba94d6acfc1
8b77e8199c61c0d97b7a40e35feedf21a168a62696b18bbb4d49766332c2c8a8
8f1994f2474512430f7c998dc6c57d0fd215860a24b58f90325122bb6d8a224c
95783d875ee50ef619f455a715150f414ed00157a6579ae6f73ccd72c394c5d8
9f394a9cb2e54e7be10c41b997e7dc85b882c4c7dd203b6984ca2aea151a47b5
c0890f375af0f503c873878b1b09a1c5147b72ab38511d9911e847c10622c0aa
ce421ab3db97f4b68d6e688c8ad5a6bafe82612d23df3257128433578c3caffb
be3cccc2c62c0033aebcf91a6587eb815a1994cf268c42cf92ed856b6cf556aa
c194f619d1ed73c0f0721d818564aa8238aceba94d1e721942c5cb67cbba68ff
f5d2edbf1af6bf7db3f29e77a99883e39b5bc4ec483af4de47e8a75574248649
fa8a4d544ffb3ca9d51448772f478f303602023e0cd70af4b9f85d3b72b4cd27
URLs:
chujdrtuityui[.]mydiscussion[.]net
doads[.]org/9f75f0rn
doads[.]org/nyj0zysx
doads[.]org/ojitcaie
doads[.]org/pyivk3q9
doads[.]org/ut3japnm
fghjdfhdzggjjdfd[.]rf[.]gd
fgjgjuyfkuuyk[.]blogspot[.]com
fgtufyiotgiyuidrti[.]blogspot[.]com
jkbfgkjdffghh[.]linkpc[.]net:10176
jkbfgkjdffghh[.]linkpc[.]net:17461
kfghjerrlknsm[.]line[.]pm:11962
kfghjerrlknsm[.]line[.]pm:15254
linkcuts[.]com/5xu034g2
linkcuts[.]com/8dejsa3x
linkcuts[.]com/gumcrr51
linkcuts[.]org/6bf4tq0y
linkcuts[.]org/9f75f0rn
linkcuts[.]org/fe6iazfp
linkcuts[.]org/nyj0zysx
linkcuts[.]org/ojitcaie
linkcuts[.]org/pyivk3q9
ln[.]run/IYNx4
run[.]mocky[.]io/v3/0e41f7c1-4ab8-4d69-a8a5-e872ba5e4096
run[.]mocky[.]io/v3/11273092-7220-4b85-b8d8-758c5fd141a2
run[.]mocky[.]io/v3/1a7c2ded-9e67-485d-a9f0-5bc8f2e42f0e
run[.]mocky[.]io/v3/1ec1c1ca-1116-4a92-82e4-7cd9e01bfe15
run[.]mocky[.]io/v3/2987b99c-a0fd-4f82-a772-f84b24e537c1
run[.]mocky[.]io/v3/2a14133a-bfe6-469d-8d96-8937b22b3d78
run[.]mocky[.]io/v3/47d78e98-8d12-452a-922b-bae56450a393
run[.]mocky[.]io/v3/4ddade26-9929-4860-9db1-b8a8945c3124
run[.]mocky[.]io/v3/4e14d583-bbf5-4af3-9a86-4c0938a7802a
run[.]mocky[.]io/v3/5b93a218-29cf-4f3e-9e52-bd605cb3791e
run[.]mocky[.]io/v3/6ba09505-fa73-4d92-b209-641bfc51b6e2
run[.]mocky[.]io/v3/72fa0a52-6e6e-43ad-b1c2-4782945d6050
run[.]mocky[.]io/v3/7832d0dc-ca6b-4b74-9d3d-604ad492a8d3
run[.]mocky[.]io/v3/8076bf0a-5c36-4d06-b12d-bfb2dc88aee4
run[.]mocky[.]io/v3/8f375df9-2633-4adc-b328-140cafaf3b06
run[.]mocky[.]io/v3/a6cadae8-c28a-428f-b4e9-dca5a4453f0b
run[.]mocky[.]io/v3/b07be5c3-8801-46a5-a395-43446dc1a797
run[.]mocky[.]io/v3/b66fd0ff-6a00-468a-b072-56e8e3457b75
run[.]mocky[.]io/v3/df8e33e0-4c17-4564-917f-9fbff17f4571
run[.]mocky[.]io/v3/e6e34194-3b33-4c91-9a46-8e3c8beaccf0
run[.]mocky[.]io/v3/f45d88b1-9d37-4485-9977-c98f16c8322b
run[.]mocky[.]io/v3/fe9b7278-d810-40b0-9716-776dbce2ee44
t[.]ly/XjLH2
tiny[.]cc/295kzz
tiny[.]cc/67lkzz
tinyurl[.]com/2hypvv9y
tinyurl[.]com/2mncfbc8
tinyurl[.]com/3swez53m
tinyurl[.]com/53dc5zxz
tinyurl[.]com/5ekbp2uv
tinyurl[.]com/5ekbp2uv
tinyurl[.]com/bddre9dp
tinyurl[.]com/k3r2vvjh
tuyt8erti867i[.]synergize[.]co
ukrainesafeurl[.]talebco[.]ir
Appendix B: MITRE ATT&CK Techniques
Annexe C : Chaînes d'infection UKR.NET
Annexe D : Modèle BlueDelta Diamond
