L'infrastructure TDS multicouche de TAG-124 et sa vaste base d'utilisateurs
REMARQUE : Ce rapport a été mis à jour le 12 mai 2025, après qu’il a été établi que TAG-124 n’est pas lié à 404TDS. Toutes les références à 404TDS en tant qu’alias appartenant à TAG-124 ont été supprimées.
Executive Summary
Insikt Group a identifié une infrastructure multicouche liée à un système de distribution de trafic (TDS) suivi par Recorded Future sous le nom de TAG-124, qui se superpose à des clusters d’activités de menace connus sous les noms de LandUpdate808, KongTuke et Chaya_002. TAG-124 comprend un réseau de sites WordPress compromis, des serveurs de charge utile contrôlés par des acteurs, un serveur central, un serveur de gestion suspecté, un panneau supplémentaire et d’autres composants. Les acteurs de la menace TAG-124 démontrent un haut niveau d’activité, notamment en mettant régulièrement à jour les URL intégrées dans les sites WordPress compromis, en ajoutant des serveurs, en affinant la logique TDS pour échapper à la détection et en adaptant les tactiques d’infection, comme le montre leur récente mise en œuvre de la technique ClickFix.
Insikt Group a identifié de nombreux acteurs malveillants utilisant le TAG-124 dans leurs chaînes d'infection initiales, notamment les opérateurs du ransomware Rhysida, du ransomware Interlock, du TA866/Asylum Ambuscade, de SocGholish, du D3F @CK Loader, du TA582 et d'autres. L'utilisation partagée du TAG-124 renforce notamment le lien entre les ransomwares Rhysida et Interlock, qui sont déjà liés par des similitudes en termes de tactiques, d'outils, de comportements de chiffrement, de thèmes de demande de rançon, de chevauchements de code et de techniques d'exfiltration de données. Insikt Group s'attend à ce que TAG-124 continue ses opérations dans l'écosystème cybercriminel de plus en plus sophistiqué et spécialisé, améliore son efficacité et attire de nouveaux utilisateurs et partenaires.
Key Findings
- Insikt Group a identifié une infrastructure à plusieurs niveaux liée à un TDS suivi sous le nom de TAG-124. Cette infrastructure comprend, entre autres, un réseau de sites WordPress compromis, des serveurs de charges utiles probablement contrôlés par des acteurs, un serveur central, un serveur de gestion présumé et un panneau supplémentaire.
- Le ou les acteurs malveillants associés à TAG-124 semblent très actifs, mettant régulièrement à jour les URL sur les sites WordPress compromis pour échapper à la détection, ajoutant de nouveaux serveurs à leur infrastructure et améliorant la logique conditionnelle liée à TDS ainsi que les tactiques d'infection.
- De nombreux acteurs malveillants sont évalués afin d'intégrer le service du TAG-124 à leurs chaînes d'infection initiales, notamment les opérateurs du ransomware Rhysida, du ransomware Interlock, du TA866/Asylum Ambuscade, de SocGholish, du D3F @CK Loader, du TA582, etc.
- Bien que les ransomwares Rhysida et Interlock soient associés l'un à l'autre en raison de leurs similitudes en termes de tactiques, d'outils, de comportements de chiffrement, de thèmes relatifs aux demandes de rançon, de chevauchements de code et de techniques d'exfiltration de données, l'utilisation partagée du TAG-124 renforce ce lien.
Background
TAG-124, qui se recoupe avecLandUpdate808, KongTuke et Chaya_002, est un TDS utilisé pour distribuer des malwares pour le compte de divers acteurs de la menace, y compris les opérateurs de ransomware Rhysida, le ransomware Interlock, TA866/Asylum Ambuscade, SocGholish, D3F@CK Loader et TA582, entre autres (1, 2, 3). Un TDS fait généralement référence à un système utilisé pour analyser et rediriger le trafic Web en fonction de paramètres tels que la géolocalisation ou le type d’appareil, en redirigeant uniquement des visiteurs spécifiques vers des destinations malveillantes telles que des sites de phishing, des malwares ou des kits d’exploit, tout en évitant la détection et en optimisant les campagnes cybercriminelles.
Plus précisément, TAG-124 fonctionne en injectant du code JavaScript malveillant dans des sites WordPress compromis. Lorsque les visiteurs accèdent à un site web infecté, ils chargent à leur insu des ressources contrôlées par l'attaquant, conçues pour les manipuler afin qu'ils accomplissent des actions aboutissant au téléchargement et à l'exécution de malware. TAG-124 trompe souvent les victimes en présentant le malware comme une mise à jour requise du navigateur Google Chrome.
Dans des variations plus récentes, TAG-124 a été observé en utilisant la technique ClickFix. Cette méthode affiche une boîte de dialogue qui invite les visiteurs à exécuter une commande déjà copiée dans leur presse-papiers. Lorsqu'un visiteur exécute la commande, cela initie un processus en plusieurs étapes qui télécharge et exécute la charge utile du malware.
Threat Analysis
TAG-124
Insikt Group a identifié une infrastructure à plusieurs niveaux associée au TDS TAG-124. Cette infrastructure comprend un réseau de sites WordPress compromis, des serveurs de charge utile probablement contrôlés par des acteurs, un serveur central dont le but exact reste flou au moment de l’analyse, un serveur de gestion suspecté et un panneau de gestion supplémentaire. Si les visiteurs répondent à des critères spécifiques, les sites WordPress compromis affichent de fausses pages de destination pour les mises à jour de Google Chrome, qui finissent par provoquer des infections par des malwares, comme indiqué dans la section Utilisateurs du TAG-124 de ce rapport (voir Figure 1).
Sites WordPress compromis
L'infrastructure de TAG-124 consiste en un vaste réseau de sites web WordPress (voir l'annexe A). Ces sites web semblent manquer d'un thème cohérent en matière d'industrie, de sujet ou de géographie, ce qui suggère qu'ils ont probablement été compromis de manière opportuniste par des exploits ou par l'acquisition de données d'identification, telles que celles obtenues via des infostealers.
Sites web WordPress de première étape en livraison initiale
Les sites web compromis lors de la phase de diffusion initiale incluent généralement une balise de script avec un attribut asynchrone à un endroit arbitraire du modèle objet du document (DOM), permettant de charger un fichier JavaScript externe en parallèle à la page pour éviter les retards de rendu (voir Figure 2).
Le nom du fichier JavaScript a changé fréquemment au fil du temps, les noms antérieurs suivant des modèles reconnaissables (tels que metrics.js). et les plus récents semblent être formatés de manière aléatoire (tels que hpms1989.js). Exemples de noms de fichiers :
- 3561.js
- 365h.js
- e365r.js
- hpms1989.js
- metrics.js
- nazvanie.js
- web-analyzer.js
- web-metrics.js
- web.js
- wp-config.js
- wp.js
Il est à noter que les acteurs malveillants semblent mettre à jour régulièrement les URL sur les sites web compromis. Par exemple, le site web associé à www[.]ecowas[.]int a régulièrement changé l'URL utilisée pour récupérer le fichier JavaScript. Ce comportement indique que les acteurs malveillants conservent un accès permanent à ces sites WordPress et modifient fréquemment les URL, y compris le domaine et le nom de fichier JavaScript, afin d'échapper à la détection.
Bien que de nombreux sites web WordPress compromis semblent être associés à des organisations moins connues, Insikt Group a identifié des cas notables, notamment un sous-domaine lié au Centre polonais de test et de certification, www[.]pcbc[.]gov[.]pl, et le domaine de la Communauté économique des États de l'Afrique de l'Ouest (CEDEAO) (www[.]ecowas[.]int). Tous deux ont été compromis et utilisés dans des campagnes TAG-124.
Sites web WordPress de dernière étape en livraison initiale
Si les visiteurs répondent à des critères spécifiques, qui n'ont pas pu être entièrement déterminés, les domaines WordPress compromis présentent généralement de fausses pages de destination de Google Chrome. Ces pages incitent les utilisateurs à cliquer sur un bouton de téléchargement, ce qui déclenche le téléchargement de la charge utile réelle à partir de terminaux désignés sur un ensemble secondaire de sites WordPress compromis, y compris, mais probablement pas limité à :
- /wp-admin/images/wfgth.php
- /wp-includes/pomo/update.php
- /wp-content/upgrade/update.php
- /wp-admin/images/rsggj.php
Pages de destination de fausses mises à jour de Google Chrome
Insikt Group a découvert deux variantes de fausses pages d'atterrissage de mise à jour de Google Chrome associées à TAG-124 (voir figure 3). Selon les données de soumission d'URLScan, la variante 1 est active depuis plus longtemps, sa première soumission ayant été enregistrée le 24 avril 2024.
Seules les victimes répondant à un ensemble spécifique de conditions encore inconnues sont redirigées vers la fausse page de mise à jour de Google Chrome, ce qui permet d'observer un nombre limité de domaines (voir tableau 1). Ces domaines peuvent être attribués à TAG-124 sur la base des URL intégrées dans le DOM, des rapports publics ou d'autres indicateurs. Il est à noter que les auteurs de la menace orthographient systématiquement de manière incorrecte le mot « referer » en « refferer » dans le paramètre de requête, une erreur typographique déjà observée dans des rapports précédents.
Tableau 1 : sites web probablement compromis hébergeant de fausses pages de mise à jour de Google Chrome (Source : Recorded Future)
Domaine probablement détenu par un acteur de la menace
Bien que les domaines répertoriés dans le tableau 1 soient probablement compromis, Insikt Group a analysé les URL présentes sur les sites web hébergés sur deux domaines supplémentaires (voir tableau 2). Notre analyse suggère que ces domaines sont très probablement associés à TAG-124.
Tableau 2 : domaines supplémentaires trouvés grâce à une recherche de similarité visuelle (Source : Recorded Future)
Le domaine update-chronne[.]com, hébergé derrière Cloudflare, semble appartenir aux auteurs de la menace, car il usurpe directement l'identité de Google Chrome (voir figure 4). Au moment de l'analyse, le domaine était toujours actif, indexé par Google Search et hébergeait le fichier Release.zip, identifié comme REMCOS RAT.
Notamment, lorsqu'une victime clique sur le bouton « Mettre à jour Chrome », le site web redirige vers downloading[.]bplnetempresas[.]com, qui affiche l'adresse IP 146.70.41[.]191 combiné à trois ports différents (voir Figure 5). Cette adresse IP a déjà été associée à REMCOS RAT.
De plus, le domaine hébergeait un fichier nommé moc.txt, contenant un script PowerShell conçu pour télécharger et exécuter le contenu de Release.zip (voir Figure 6). L'URL a été redirigé via l'URL raccourci https://wl[.]gl/25dW64.
Site web fictif suspecté
Update-chronne[.]com et downloading[.]bplnetempresas[.]com hébergeaient un site web apparemment associé à « YSOFEL », qui semble être une organisation brésilienne (voir figure 7). Cependant, aucune information sur cette organisation n'a pu être trouvée en ligne, ce qui indique qu'il s'agit probablement d'une entité fictive.
Insikt Group a identifié plusieurs autres domaines, dont certains sont mentionnés dans la section Sites web WordPress compromis (tels que mktgads[.]com), tandis que d'autres semblent se faire passer pour Google (comme check-googlle[.]com) (voir Tableau 3). Cela suggère que le site web peut fonctionner comme un « site coquille », potentiellement utilisé pour vieillir des domaines ou pour afficher du contenu uniquement lorsque les visiteurs remplissent des critères spécifiques.
Tableau 3 : domaines liés au même « site web fictif » suspecté d'être lié à la fausse organisation brésilienne mentionnée ci-dessus (Source : Recorded Future)
Il reste incertain si tous les domaines du Tableau 3 sont malveillants ou liés à la même activité. Cependant, l'hébergement partagé du même site web, l'usurpation d'identité d'autres marques (comme ChainList) et la vérification partielle des liens vers des infections les rendent, pour le moins, suspects.
Serveurs de distribution TAG-124
TAG-124 utilise des sites WordPress compromis pour divers éléments de ses chaînes d'infection. Les serveurs intégrés dans les DOM de ces sites WordPress de première phase compromis, comme indiqué dans la section Sites web WordPress de première phase de livraison, appartiennent probablement aux acteurs de la menace. Insikt Group a identifié un réseau important de serveurs connectés aux acteurs de la menace TAG-124 et probablement sous leur contrôle (voir Tableau 4).
Tableau 4 : serveurs de diffusion TAG-124 probablement contrôlés par des acteurs de la menace (Source : Recorded Future)
La plupart des domaines ont commencé à se résoudre en novembre 2024, ce qui suggère que TAG-124 a pris de l'ampleur au cours de cette période, la majorité des domaines étant encore actifs au moment de l'analyse. À noter, deux domaines hébergés sur 45[.]61[.]136[.]67, à savoir piedsmontlaw[.]com et pemalite[.]com, renvoyaient déjà vers cette adresse IP en 2022, ce qui indique que le serveur était peut-être déjà sous le contrôle de l'acteur malveillant à cette époque.
Infrastructure de niveau supérieur suspectée
La majorité des serveurs de distribution TAG-124 contrôlés par des acteurs de la menace présumés, tels que répertoriés dans la section Serveurs de distribution TAG-124, ont été observés en train de communiquer avec un serveur via le port TCP 443 (voir Figure 1). Les configurations de ce serveur sont similaires à celles des serveurs de distribution et hébergent un domaine qui ne renvoie qu’une page HTML générique lorsqu’on y accède. Au moment de l’analyse, Insikt Group n’a pas pu déterminer l’objectif exact de ce serveur, mais il soupçonne qu’il joue un rôle central dans l’opération. L’une des hypothèses est qu’il contienne la logique centrale du TDS.
De plus, Insikt Group a identifié un serveur de gestion suspecté d'être lié à TAG-124. Ce serveur a été observé en train de communiquer avec les serveurs de livraison via les ports TCP 80 et 443. Il a également interagi avec un autre panneau lié à TAG-124, appelé « Ads Panel », dont l'objectif comprend la fourniture du dernier serveur de livraison via un point de terminaison spécifié, entre autres (voir Figure 1).
L'infrastructure TDS multicouche de TAG-124 et sa vaste base d'utilisateurs
Lire l'analyse complète
Appendix A — Indicators of Compromise
1stproducts[.]com
3hti[.]com
academictutoringcenters[.]com
adpages[.]com
adsbicloud[.]com
advanceair[.]net
airbluefootgear[.]com
airinnovations[.]com
allaces[.]com[.]au
alumni[.]clemson[.]edu
ambir[.]com
americanreloading[.]com
antiagewellness[.]com
architectureandgovernance[.]com
astromachineworks[.]com
athsvic[.]org[.]au
baseball[.]razzball[.]com
bastillefestival[.]com[.]au
bigfoot99[.]com
blacksportsonline[.]com
blog[.]contentstudio[.]io
bluefrogplumbing[.]com
canadamotoguide[.]com
canadanickel[.]com
capecinema[.]org
careers[.]bms[.]com
careers[.]fortive[.]com
castellodelpoggio[.]com
catholiccharities[.]org
chamonixskipasses[.]com
changemh[.]org
chicklitplus[.]com
clmfireproofing[.]com
comingoutcovenant[.]com
complete-physio[.]co[.]uk
complete-pilates[.]co[.]uk
conical-fermenter[.]com
cssp[.]org
deathtotheworld[.]com
deerfield[.]com
denhamlawoffice[.]com
dev[.]azliver[.]com
development[.]3hti[.]com
digimind[.]nl
dotnetreport[.]com
drcolbert[.]com
dzyne[.]com
earthboundfarm[.]com
eivcapital[.]com
elitetournaments[.]com
ergos[.]com
esfna[.]org
espumadesign[.]com
exceptionalindividuals[.]com
experiencebrightwater[.]ca
firstpresbyterianpaulding[.]com
fractalerts[.]com
fusionstone[.]ca
global-engage[.]com
gobrightwing[.]com
gov2x[.]com
hksusa[.]com
hmgcreative[.]com
hmh[.]org
hoodcontainer[.]com
hospitalnews[.]com
housingforhouston[.]com
houstonmaritime[.]org
hrsoft[.]com
hungryman[.]com
icmcontrols[.]com
ijmtolldiv[.]com
innsbrook[.]com
jewelryexchange[.]com
jodymassagetherapyclinic[.]com
joelbieber[.]com
knewhealth[.]com
lamaisonquilting[.]com
legacy[.]orlandparkprayercenter[.]org
levyso[.]com
luxlifemiamiblog[.]com
magnoliagreen[.]com
magnotics[.]com
manawatunz[.]co[.]nz
mantonpushrods[.]com
michiganchronicle[.]com
michigantownships[.]org
monlamdesigns[.]com
montessoriwest[.]com
movinbed[.]com
my[.]networknuts[.]net
myrtlebeachgolf[.]com
ncma[.]org
oglethorpe[.]edu
oningroup[.]com
orlandparkprayercenter[.]org
outdoornativitystore[.]com
parksaverscom[.]kinsta[.]cloud
peoria[.]org
peridotdentalcare[.]ca
phfi[.]org
pikapp[.]org
powerlineblog[.]com
prek4sa[.]com
psafetysolutions[.]com
puntademita-rentals[.]com
resf[.]com
retaildatallc[.]com
rhodenroofing[.]com
rm-arquisign[.]com
rvthereyet[.]com
schroederindustries[.]com
sec-group[.]co[.]uk
sixpoint[.]com
slotomoons[.]com
sollishealth[.]com
sparkcarwash[.]com
spectralogic[.]com
sramanamitra[.]com
stg-seatrail-staging[.]kinsta[.]cloud
stg-townandcountryplanningassoci-staging[.]kinsta[.]cloud
sustaincharlotte[.]org
teamtoc[.]com
terryrossplumbing[.]com
theawningcompanc[.]mrmarketing[.]us
theepicentre[.]com
theyard[.]com
tristatecr[.]com
true-blood[.]net
turtl[.]co
tustinhistory[.]com
tysonmutrux[.]com
uk[.]pattern[.]com
unsolved[.]com
vanillajoy[.]ykv[.]ijh[.]mybluehost[.]me
vectare[.]co[.]uk
villageladies[.]co[.]uk
walkerroofingandconstruction[.]com
wildwestguns[.]com
wildwoodpress[.]org
wlplastics[.]com
worldorphans[.]org
www[.]211cny[.]com
www[.]6connex[.]com
www[.]900biscaynebaymiamicondos[.]com
www[.]accentawnings[.]com
www[.]acvillage[.]net
www[.]airandheatspecialistsnj[.]com
www[.]als-mnd[.]org
www[.]americancraftbeer[.]com
www[.]anoretaresort[.]com
www[.]architectureandgovernance[.]com
www[.]atlantaparent[.]com
www[.]atlas-sp[.]com
www[.]atmosera[.]com
www[.]belvoirfarm[.]co[.]uk
www[.]betterengineering[.]com
www[.]bluefoxcasino[.]com
www[.]boatclubtrafalgar[.]com
www[.]bordgaisenergytheatre[.]ie
www[.]brandamos[.]com
www[.]cairnha[.]com
www[.]cdhcpa[.]com
www[.]cds[.]coop
www[.]cgimgolf[.]com
www[.]cheericca[.]org
www[.]conwire[.]com
www[.]cssp[.]org
www[.]dces[.]com
www[.]disabilityscot[.]org[.]uk
www[.]doctorkiltz[.]com
www[.]drivenbyboredom[.]com
www[.]ecowas[.]int
www[.]evercoat[.]com
www[.]facefoundrie[.]com
www[.]foxcorphousing[.]com
www[.]genderconfirmation[.]com
www[.]gofreight[.]com
www[.]gunnerroofing[.]com
www[.]hayeshvacllc[.]com
www[.]hksusa[.]com
www[.]hollingsworth-vose[.]com
www[.]hollywoodburbankairport[.]com
www[.]hopechc[.]org
www[.]icmcontrols[.]com
www[.]inboundlogistics[.]com
www[.]infra-metals[.]com
www[.]jasperpim[.]com
www[.]koimoi[.]com
www[.]louisvillemechanical[.]com
www[.]lsbn[.]state[.]la[.]us
www[.]mallorcantonic[.]com
www[.]marketlist[.]com
www[.]mocanyc[.]org
www[.]motherwellfc[.]co[.]uk
www[.]murphyoilcorp[.]com
www[.]myrtlebeachgolfpackages[.]co
www[.]napcis[.]org
www[.]nelsongonzalez[.]com
www[.]netzwerkreklame[.]de
www[.]onthegreenmagazine[.]com
www[.]orthodontie-laurentides[.]com
www[.]pamelasandalldesign[.]com
www[.]parajohn[.]com
www[.]parksavers[.]com
www[.]parmacalcio1913[.]com
www[.]patio-supply[.]com
www[.]pcbc[.]gov[.]pl
www[.]perfectduluthday[.]com
www[.]powerlineblog[.]com
www[.]progarm[.]com
www[.]rafilawfirm[.]com
www[.]reddiseals[.]com
www[.]riaa[.]com
www[.]robertomalca[.]com
www[.]sevenacres[.]org
www[.]sigmathermal[.]com
www[.]sisdisinfestazioni[.]it
www[.]spectralink[.]com
www[.]sramanamitra[.]com
www[.]sunkissedindecember[.]com
www[.]sweetstreet[.]com
www[.]system-scale[.]com
www[.]tcpa[.]org[.]uk
www[.]thatcompany[.]com
www[.]the-kaisers[.]de
www[.]thecreativemom[.]com
www[.]thedesignsheppard[.]com
www[.]therialtoreport[.]com
www[.]thetrafalgargroup[.]co[.]uk
www[.]thetruthaboutguns[.]com
www[.]totem[.]tech
www[.]ultrasound-guided-injections[.]co[.]uk
www[.]urbis-realestate[.]com
www[.]vending[.]com
www[.]venetiannj[.]com
www[.]visitarundel[.]co[.]uk
www[.]wefinanceanycar[.]com
www[.]wilsonsd[.]org
www[.]wilymanager[.]com
www[.]wvwc[.]edu
zerocap[.]com
Likely Compromised Websites Showing Fake Google Chrome Update Pages:
avayehazar[.]ir
cvqrcode[.]lpmglobalrelations[.]com
elamoto[.]com
evolverangesolutions[.]com
gmdva[.]org
incalzireivar[.]ro
mgssoft[.]com
mktgads[.]com
ns1[.]webasatir[.]ir
selectmotors[.]net
sollishealth[.]com
update-chronne[.]com
www[.]de[.]digitaalkantoor[.]online
www[.]ecowas[.]int
www[.]lovebscott[.]com
www[.]reloadinternet[.]com
TAG-124 Domains:
ambiwa[.]com
boneyn[.]com
calbbs[.]com
chewels[.]com
chhimi[.]com
coeshor[.]com
dechromo[.]com
dhusch[.]com
discoves[.]com
djnito[.]com
dncoding[.]com
dsassoc[.]com
ecrut[.]com
elizgallery[.]com
eliztalks[.]com
enerjjoy[.]com
enethost[.]com
esaleerugs[.]com
fastard[.]com
franklinida[.]com
gcafin[.]com
genhil[.]com
gwcomics[.]com
habfan[.]com
hdtele[.]com
howmanychairs[.]com
ilsotto[.]com
iognews[.]com
mercro[.]com
mirugby[.]com
mtclibraries[.]com
nastictac[.]com
nyciot[.]com
opgears[.]com
pemalite[.]com
piedsmontlaw[.]com
pursyst[.]com
pushcg[.]com
pweobmxdlboi[.]com
rshank[.]com
safigdata[.]com
satpr[.]com
sdrce[.]com
selmanc[.]com
sokrpro[.]com
tayakay[.]com
theinb[.]com
tibetin[.]com
tickerwell[.]com
usbkits[.]com
vicrin[.]com
xaides[.]com
TAG-124 IP Addresses:
45[.]61[.]136[.]9
45[.]61[.]136[.]40
45[.]61[.]136[.]41
45[.]61[.]136[.]67
45[.]61[.]136[.]89
45[.]61[.]136[.]132
45[.]61[.]136[.]196
64[.]7[.]198[.]66
64[.]94[.]85[.]98
64[.]94[.]85[.]248
64[.]95[.]11[.]65
64[.]95[.]11[.]184
64[.]95[.]12[.]38
64[.]95[.]12[.]98
64[.]190[.]113[.]41
64[.]190[.]113[.]111
162[.]33[.]177[.]36
162[.]33[.]177[.]82
162[.]33[.]178[.]59
162[.]33[.]178[.]63
162[.]33[.]178[.]75
162[.]33[.]178[.]113
193[.]149[.]176[.]179
193[.]149[.]176[.]223
193[.]149[.]176[.]248
216[.]245[.]184[.]179
216[.]245[.]184[.]210
216[.]245[.]184[.]225
Additional Domains Observed in TAG-124 Activity:
winworld[.]es
true-blood[.]net
Matomo Instance:
dating2go[.]store
Domains Likely Linked to apple-online[.]shop:
micronsoftwares[.]com
mysamsung7[.]shop
nvidias[.]shop
expressbuycomputers[.]shop
amdradeon[.]shop
mobileyas[.]shop
cryptotap[.]site
REMCOS RAT C2 IP Address:
146.70.41[.]191
Domains Likely Linked to TA582 and MintsLoader Cluster:
527newagain[.]top
abhbdiiaehdejgh[.]top
adednihknaalilg[.]top
anjmhjidinfmlci[.]top
azure-getrequest[.]icu
azurearc-cdn[.]top
azuregetrequest[.]icu
bkkeiekjfcdaaen[.]top
cignjjgmdnbchhc[.]top
ckebfjgimhmjgmb[.]top
cljhkcjfimibhci[.]top
cmcebigeiajbfcb[.]top
cmcuauec[.]top
cryptoslate[.]cc
eebchjechginddk[.]top
ehnediemcaffbij[.]top
ejlhaidjmhcmami[.]top
faybzuy3byz2v[.]top
fpziviec[.]top
futnbuzj3nh[.]top
gbkffjcglabkmne[.]top
gdihcicdghmcldd[.]top
get-azurecommand[.]icu
get-iwrreq[.]top
getazurecommand[.]icu
gnmdjjckbgddaie[.]top
gubyzywey6b[.]top
iadkainhkafngnk[.]top
ikhgijabfnkajem[.]top
ikjfjkkagafbdke[.]top
imfiejalbhhgijl[.]top
kffgkjmjangegkg[.]top
khcjgjmfjgdleag[.]top
kjalcimbfaaddff[.]top
mcajijknegnbbga[.]top
melmejkjaakiakn[.]top
mgjabikgjhhambm[.]top
pretoria24[.]top
rifiziec[.]top
riuzvi4tc[.]top
robnzuwubz[.]top
saighbuzu32uvv[.]top
PyInstaller Hashes:
7683d38c024d0f203b374a87b7d43cc38590d63adb8e5f24dff7526f5955b15a
950f1f8d94010b636cb98be774970116d98908cd4c45fbb773e533560a4beea7
7f8e9d7c986cc45a78c0ad2f11f28d61a4b2dc948c62b10747991cb33ce0e241
CleanUpLoader Loader Hashes:
183c57d9af82964bfbb06fbb0690140d3f367d46d870e290e2583659609b19f2
22dc96b3b8ee42096c66ab08e255adce45e5e09a284cbe40d64e83e812d1b910
9d508074a830473bf1dee096b02a25310fa7929510b880a5875d3c316617dd50
28c49af7c95ab41989409d2c7f98e8f8053e5ca5f7a02b2a11ad4374085ec6ff
2da62d1841a6763f279c481e420047a108da21cd5e16eae31661e6fd5d1b25d7
342b889d1d8c81b1ba27fe84dec2ca375ed04889a876850c48d2b3579fbac206
42c1550b035353ae529e98304f89bf6065647833e582d08f0228185b493d0022
42d7135378ed8484a6a86a322ea427765f2e4ad37ee6449691b39314b5925a27
430fd4d18d22d0704db1c4a1037d8e1664bfc003c244650cb7538dbe7c3be63e
43f4ca1c7474c0476a42d937dc4af01c8ccfc20331baa0465ac0f3408f52b2e2
46aac6bf94551c259b4963157e75073cb211310e2afab7a1c0eded8a175d0a28
4fa213970fdef39d2506a1bd4f05a7ceee191d916b44b574022a768356951a23
57e9e1e3ebd78d4878d7bb69e9a2b0d0673245a87eb56cf861c7c548c4e7b457
6464cdbfddd98f3bf6301f2bf525ad3642fb18b434310ec731de08c79e933b3e
67b5b54c85e7590d81a404d6c7ea7dd90d4bc773785c83b85bcce82cead60c37
700f1afeb67c105760a9086b0345cb477737ab62616fd83add3f7adf9016c5e5
77dc705cecbc29089c8e9eea3335ba83de57a17ed99b0286b3d9301953a84eca
7b8d4b1ab46f9ad4ef2fd97d526e936186503ecde745f5a9ab9f88397678bc96
7ea83cca00623a8fdb6c2d6268fa0d5c4e50dbb67ab190d188b8033d884e4b75
8d911ef72bdb4ec5b99b7548c0c89ffc8639068834a5e2b684c9d78504550927
92d2488e401d24a4bfc1598d813bc53af5c225769efedf0c7e5e4083623f4486
941fa9119eb1413fdd4f05333e285c49935280cc85f167fb31627012ef71a6b3
95b9c9bf8fa3874ad9e6204f408ce162cd4ae7a8253e69c3c493188cb9d1f4da
97105ed172e5202bc219d99980ebbd01c3dfd7cd5f5ac29ca96c5a09caa8af67
9d508074a830473bf1dee096b02a25310fa7929510b880a5875d3c316617dd50
Suspected MintsLoader:
d738eef8756a03a516b02bbab0f1b06ea240efc151f00c05ec962d392cfddb93
77bd80e2a7c56eb37a33c2a0518a27deb709068fdc66bd1e00b5d958a25c7ad8
ccdf82b45b2ee9173c27981c51958e44dee43131edfbce983b6a5c146479ac33