Apr 28
PhantomCore Exploits TrueConf Flaws to Breach Russian Networks cysecurity.news/2026/04/phan… #PhantomCore #RussianFirms #TrueConf
1
1
343
Apr 27
PhantomCore Exploits TrueConf Vulnerabilities to Breach Russian Networks thehackernews.com/2026/04/ph…
1
3
1,080
Apr 27
ロシア企業で使われるビデオ会議サーバーTrueConfを狙い、複数の脆弱性を連鎖させて侵入する攻撃が確認された。認証回避から遠隔操作まで一気に成立し、内部ネットワーク全体に拡大する恐れがある深刻な事案だ。
親ウクライナ系ハクティビスト集団「PhantomCore」が関与し、TrueConf Serverの3件の欠陥を組み合わせた攻撃チェーンが使われた。BDU:2025-10114は認証なしで管理APIへアクセス可能にし、BDU:2025-10115は任意ファイルの読み取りを許す。さらにBDU-2025-10116はコマンドインジェクションによりOSレベルの任意操作を実行できる。
これにより攻撃者はサーバー侵害後、Webシェル設置やトンネリングを通じて横展開を行い、認証情報窃取や監視回避を進める。独自ツールやVelociraptorなどを併用し、長期間潜伏する特徴もある。
一部では管理者権限の不正ユーザー作成やバックドア展開も確認されており、侵害は組織全体へ波及する可能性が高い。パッチ公開後も攻撃は継続しており、迅速な更新と監視強化が不可欠である。
thehackernews.com/2026/04/ph…
1
5
1,512
PhantomCore Exploits TrueConf Vulnerabilities to Breach Russian Networks thehackernews.com/2026/04/ph…
401
Apr 27
⚠️ Hackers breached TrueConf servers across Russia.
PhantomCore chained 3 privately developed bugs to skip login, run commands, and move inside networks. Attacks started weeks after patches.
🔗 See how the attacks worked → thehackernews.com/2026/04/ph…
20
73
9,562
Apr 24
Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов ptsecurity.com/research/pt-e…
2
7
1,463
الحرب السيبرانية مستمره
مجموعة "Bearlyfy" المرتبطة بأوكرانيا 🇺🇦 تتبنى 70 هجوم على شركات روسية خلال سنة واحدة.
في البداية استخدموا أدوات جاهزة ، والان طورو ransomware مخصص اسمه GenieLocker.
بعض التفاصيل عن الهجمة:
📍 ملاحظات الفدية يكتبونها المهاجمين يدوياً عشان الضغط النفسي
📍 1 من كل 5 ضحايا يدفع الفدية (20% معدل نجاح!)
📍 الفدية وصلت لمئات الآلاف من الدولارات
📍 يتعاونون مع PhantomCore و Head Mare
الغريب: المجموعة نفسها قالت إنها بدأت بدون خبرة، خلال سنة صارت "كابوس للشركات الروسية الكبرى" 🤯
الدافع مزدوج: فدية مالية تخريب متعمد.
1
19
3,750
#100DaysofYARA – Day 86
YARA rule to detect the Rainbow Hyena (Head Mare, PhantomCore) PhantomPxPigeon backdoor 👇
github.com/t3ft3lb/2026-100D…
3
5
374
Bearlyfyは、ロシア企業70社超を攻撃している親ウクライナ系グループで、最近は独自ランサムのGenieLockerを使い始めた。重要なのは、金銭目的の恐喝だけでなく、ロシア企業への破壊・妨害も明確な目的になっている点。
このグループは2025年1月ごろから活動し、初期はLockBit 3やBabuk系の暗号化ツール、のちにVice Society系のPolyVice改変版も使用していた。現在は2026年3月以降、Windows端末向けに独自のGenieLockerへ移行しており、外部公開サービスや脆弱なアプリの悪用で侵入し、MeshAgentのような遠隔操作ツールを入れて暗号化やデータ破壊につなげている。
F6によると、BearlyfyはPhantomCoreやHead Mareとの重なりも見られ、ロシアとベラルーシ企業を継続的に狙う文脈にある。特徴は、準備期間の短い高速侵入と、ランサムノートを自動生成せず攻撃者が直接被害者に圧力をかける運用で、要求額も数十万ドル規模まで上がっている。
APT: Bearlyfy, Labubu, PhantomCore関連
Malware: GenieLocker, PolyVice, LockBit 3, Babuk, MeshAgent
CVE: 記載なし
IoC: GenieLocker, MeshAgent, PolyVice, Windows endpoints, Russian company targeting
#CyberSecurity #ThreatIntel #Ransomware #Bearlyfy #GenieLocker
thehackernews.com/2026/03/be…
2
246
親ウクライナ派のランサムウェア攻撃グループ「Bearlyfy」(別名Labubu)が、2026年3月から独自開発のWindows向けランサムウェア「GenieLocker」を実戦投入。
2025年1月の出現以降70件超のロシア企業への攻撃が確認されており、当初はLockBitやBabukのリークされたビルダーを流用していたのに対し、約1年で自前のランサムウェアを開発するまでに至った経緯。
金銭目的の脅迫と破壊工作の両方を狙う二重目的のグループで、初期は小規模企業を狙った攻撃が目立っていたものの、大企業にも手を広げるようになっています。
リークされた汎用ビルダーから独自開発への移行は、既存ツールでは他グループと差別化できないという動機も考えられます。
【攻撃手口と背景】
・初期アクセスは外部公開サービス(Bitrix、1С、TrueConf)の脆弱性悪用や、委託先から窃取した認証情報を利用する手口。MeshCentralなどの遠隔管理ツールやSSHトンネルで足場を確保
・暗号化ツールの変遷としては、LockBit 3 Black+独自改修版のBabuk → 2025年5月からPolyVice(Vice Societyに帰属するランサムウェアファミリー)の改造版を一部で併用 → 2026年3月から今回のGenieLockerを投入
・GenieLockerの暗号化方式はVenus/Trinityランサムウェアファミリーから流用されたもの。アンチデバッグ・アンチ解析機能を多数搭載し、大きなファイルのブロック暗号化にランダムブロック選択を採用するなど、開発者が暗号技術を誇示する作り
・ランサムウェア自体が身代金要求文を自動生成しないのが特徴的で、攻撃者が別の手段で連絡先や嘲笑的な文面を被害者に届ける運用。Labubuの名を騙った挑発的な内容が含まれることも
・ツールセットやインフラにはPhantomCoreとの重複が確認されており、Head Mareとの連携も報告されている。いずれも親ウクライナ派の攻撃グループ
securitylab.ru/blog/company/…
5
933
#100DaysofYARA - Day 76
YARA rule to detect the Rainbow Hyena (Head Mare, PhantomCore) PhantomCSLoader backdoor 👇
github.com/t3ft3lb/2026-100D…
2
3
293
Feb 17
"PhantomCore🇺🇦, a hacking group targeting Russian🇷🇺 and Belarusian🇧🇾 companies since 2022, launched a new wave of malicious email campaigns on January 19 and 21, 2026. The attacks targeted various sectors including utilities, finance, urban infrastructure, aerospace, consumer digital services, chemical industry, construction, consumer goods manufacturing, and e-commerce. The campaign used phishing emails with malicious attachments, leveraging compromised legitimate email addresses. The malware operates in multiple stages, including downloading decoy documents, executing PowerShell scripts, and establishing persistence through scheduled tasks. The second stage malware, similar to previously known PhantomCore.PollDL, communicates with command and control servers to receive and execute commands."
c5ab1e0e94ed5bd12bac9ab35a8b67c1
5430eb07e6af360b432c60aec40aa7a5
7346809cdf85b476b4c170c4d473475f
83eebc4909d3179f5c8cea4899c85348
7672760fdef08bcf7ea44d9896aae15e
8d91e4ec732b417f404fe7c7abf23d54
c5ab1e0e94ed5bd12bac9ab35a8b67c1
MAC address: 00:0c:29:d6:8e:61
Machine id: desktop-i2gatfr
#PhantomCore
Jan 23
#threatreport #MediumCompleteness
Restless spirit: PhantomCore spies have carried out new attacks on Russian companies | 22-01-2026
Source: habr.com/ru/companies/F6/art…
Key details below ↓
🧑💻Actors/Campaigns:
Phantomcore
💀Threats:
Phantomcore, Phantomeremote,
🎯Victims: Housing and utilities, Finance, Urban infrastructure and municipal services, Aerospace, Consumer digital services, Chemical industry, Construction, Consumer goods, Electronic commerce, Marketplaces, ...
🏭Industry: E-commerce, Financial, Aerospace, Chemical
🌐Geo: Belarusian, Russian
🧨IOCs:
- Command: 2
- File: 2
- Domain: 7
- Path: 1
- IP: 4
- Hash: 10
💽Software: Windows Task Scheduler
🔢Algorithms: sha1
⚙️Win Services: WebClient
📜Programming Languages: powershell
#threatreport:
PhantomCore, a cyber espionage group, has recently targeted multiple sectors within Russian companies, utilizing malicious email campaigns to execute their attacks. Analysts from the F6 Cybersecurity Center reported that these attacks were launched on January 19 and 21, 2026, with emails directed towards various industries, including housing and utilities, finance, urban infrastructure, municipal services, aerospace, B2C digital services, chemical production, construction, consumer goods, and e-commerce.
The F6 Business Email Protection (BEP) system played a crucial role in identifying and blocking these malicious communications before they reached their intended targets. The content of these emails likely aimed to facilitate unauthorized access to sensitive information or exploit specific vulnerabilities in the targeted organizations.
Although specific details regarding the malware used or the techniques employed by PhantomCore were not disclosed, the targeting of diverse sectors suggests a strategic approach aimed at gathering intelligence or sabotaging operations within critical industries. This reflects the group's ongoing commitment to cyber espionage activities within Russia, highlighting the persistent threat posed by advanced persistent threats (APTs) like PhantomCore.
The focus on various types of services and industries indicates an adaptive attack strategy that could leverage different attack vectors tailored to the environment and infrastructure of each sector, ultimately enhancing the group’s chances of achieving its malicious objectives.
2
13
721
