14 Oct 2025
🚨We continue to see new lines in #CryptersAndTools #Steganography
Fuzzed two possible URLs delivering the same malware
1013.txt and 1012.txt
#AndeLoader used to load Agent Tesla in RegAsm.exe
mail@detarcoopmedical[.]com
photos@detarcoopmedical[.]com
🇵🇹 used
#TA558 ?
SAMPLE BELOW
2
11
27
12,865
26 Aug 2025
Next ACCE release is available. See the updates for #CVE20258088 #AndeLoader #INCRansomware #KitsuneRat #MythicAgentsPoseidon ciphertechsolutions.com/acce…
3
2
1,972
19 Jul 2025
similar to what we saw few days ago #andeloader via stego image injects #purelogs into aspnet_compiler.exe
and it seems they like strozzapreti 🍝
2 Jul 2025
final payload #purelogs
📡212.23.222[.56: 20341
#purerat injected into aspnet_compiler.exe, downloads #purelogs dubbed ClassLibrary4.dll from c2, which in turn sends stolen info back
malware version: 4.0.1 NEW DAY
@abuse_ch please adjust c2 tag accordly
1
4
328
31 May 2025
📌 FYI: #CryptersAndTools es un servicio de crypter-as-a-service de origen brasileño 🇧🇷 utilizado por actores como #BlindEagle (APT-C-36), #TA558 y #Aggah entre otros.
Anteriormente hubo algo de confusión por el uso compartido de infraestructura, sin embargo, algunos servidores formaban parte del mismo CaaS ( x.com/1ZRR4H/status/16774395…).
Una de las funciones más destacadas del crypter es la capacidad de ocultar código malicioso en imágenes legítimas, flujo que también es conocido como #StegoCampaign. Más referencias en el análisis de #AndeLoader (esentire.com/blog/blind-eagl…).
Anteriormente, también vimos a Blind Eagle y Aggah utilizar otros crypters como Vs-Crypt, 3LOSH, "codigo" y FuckCrypt, escritos por Roda o Pjoao1578. este último también se encuentra desarrollando Upcrypter (ya incluye la función para utilizar imágenes).
REF (Parte 1): global.ptsecurity.com/analyt….
REF (Parte 2): global.ptsecurity.com/analyt….
H/T @01Xyris 🥷
7 Jul 2023
Interesante: APT-C-36 aka #BlindEagle, en su operación dirigida a organizaciones en Colombia 🇨🇴 (también conocida como Operación Spalax) está utilizando una serie de sitios web que en las últimas horas han entregado, al menos, 4 descargas diferentes:
1.- Documento_digitaL.UUE (tria.ge/230706-r1hg1scc53/be…)
2.- Documento.uue (tria.ge/230707-ew2nwagc9z/be…)
3.- CARPETA_DE_FOLIO_Y_ACTA_ENTREGADA-PDF.UUE (tria.ge/230707-elcxrsfb83/be…)
4.- carpeta_documento_digital_ acta_ del_caso_jurídico.scr (virustotal.com/gui/file/5c40…)
Los correos phishing simulan ser demandas de estudios jurídicos o firmas de abogados y contienen adjuntos PDF o Word inofensivos, con enlaces no clicables hacia los sitios maliciosos (montados en website[.]org):
- notificacionesjuridicasonline.otcy[.]com
- notificacionesjuridicas.blog-online[.]eu
Flujo de infección:
email > .pdf -> sitio web > archivo .uue protegido con contraseña (desde Discord) > .vbs (ofuscado con Vbs-Crypter "Codigo") > .ps1 > DLL desde cryptersandtools.minhacasa[.]tv/e/e > PDF decoy.
Payloads finales son:
#NjRAT C2
46.246.86[.]19:0509 nj0509.duckdns[.]org
#RemcosRAT C2
46.246.86[.]19:2798 yumaguoc.duckdns[.]org
46.246.86[.]19:2525 yumaguoc.duckdns[.]org
46.246.86[.]19:2798 matarife.duckdns[.]org
master1981.duckdns[.]org
remnew.duckdns[.]org
kbum1963.duckdns[.]org
Todos los C2 en 46.246.86.19 🇸🇪 (FrootVPN), como de costumbre últimamente para esta distribución (en ocasiones comparada con #Aggah aka #Haggah).
📌 Respecto a cryptersandtools.minhacasa[.]tv todo indica que debería ser un servicio de crypters y herramientas para distintos actores de amenaza (tipo MaaS), ya que desde aquí se pueden ver ataques en otros lenguajes, dirigidos hacia otras partes del mundo y que no forman parte del flujo de infección aquí descrito 👇
Dos #opendir en el servidor utilizado por este servicio:
cryptersandtools.minhacasa[.]tv/e/
cryptersandtools.minhacasa[.]tv/inf/
[ ] (virustotal.com/gui/domain/cr…)
Más infra asociada a este tercero (desde 2021 en uso):
91.213.50[.]74/CRYPS/
91.213.50[.]74/GREEN/
91.213.50[.]74/new/
[ ] (virustotal.com/gui/ip-addres…)
79.110.49[.]55/
[ ] (virustotal.com/gui/ip-addres…)
5
23
70
15,511
24 May 2025
Awesome work, thanks for sharing!
Just a little detail:
.net #loader seems related to #andeloader.
similar infection chain covered here: x.com/MarsomX_/status/191566…
sample analyzed more deeply here:
9 Aug 2024
Check out my recent writeup on #AndeLoader delivering #0bj3ctivityStealer. It's been some time since we last saw AndeLoader popping up ☺️
Link: esentire.com/blog/ande-loade…
4
152
25 Apr 2025
[1/3] multi stage #stego campaign vs #italy 🇮🇹 leads to #xworm rat via #andeloader (h/t @abuse tag: spam-ita @JAMESWT_WT )
mail > 7z > js > ps1 > ande loader from #stego image from archive[.org > b64 #xworm payload from paste[.ee > msbuild.exe
possible #BlindEagle apt-c-36 ? 🤔
2
8
17
2,081
25 Nov 2024
#BlindEagle APT-C-36 #DcRAT #Threat #Malware
📍🇨🇴
💥🇨🇴🇪🇨🇵🇦🌎
⛓️ #Phishing > UEE|ZIP > EXE > Fake DOC > #vbs > Task Persistence > Download dll execution > dll download #AndeLoader #DcRAT > Inject #RAT into RegSvcs > #C2
🔗360 Threat Intelligence: mp.weixin.qq.com/s/DDCCjhBjU…
1
18
48
4,002
13 Aug 2024
#ThreatProtection New #phishing attack deploys #0bj3ctivity Stealer via #Discord CDN and #AndeLoader. Read More about Symantec's protection: broadcom.com/support/securit… #InfoStealer
2
3
1,798
9 Aug 2024
Check out my recent writeup on #AndeLoader delivering #0bj3ctivityStealer. It's been some time since we last saw AndeLoader popping up ☺️
Link: esentire.com/blog/ande-loade…
3
14
63
6,686
Ande Loader Malware Targets Manufacturing Sector in North America reconbee.com/ande-loader-mal…
#Andeloader #loadermalware #malware #manufacturer #northamerica #CyberSecurity #cybersecurite #CybersecurityNews #CyberSecurityAwareness
1
20
23 Dec 2023
Checkout my writeup on #PhantomControl delivering #AndeLoader and #SwaetRAT via ScreenConnect. And no, I didn’t misspell SwaetRAT 🤭
esentire.com/blog/phantomcon…
@esthreat
2
23
84
7,519