{
  "generatedAt": "2026-07-14T08:23:35.066583+00:00",
  "stats": {
    "total": 867,
    "byType": {
      "SHA-256": 144,
      "Domain": 134,
      "IP Address": 80,
      "File Name": 66,
      "URL": 62,
      "npm package": 28,
      "File Path": 20,
      "Driver": 13,
      "CVE": 11,
      "File Hash (SHA256)": 10,
      "IPv4": 9,
      "Domain (C2)": 8,
      "ชื่อไฟล์": 8,
      "Malware": 6,
      "Unknown": 6,
      "Mutex": 5,
      "Registry Key": 5,
      "URL (WebSocket C2)": 5,
      "ช่องโหว่": 5,
      "ไฟล์ตั้งค่าผู้ช่วย AI": 5,
      "C2 domain": 4,
      "File Hash (SHA-256)": 4,
      "MD5 Hash": 4,
      "PyPI package": 4,
      "SHA-1": 4,
      "SSRF probe": 4,
      "Scheduled Task": 4,
      "Tool": 4,
      "ปล่อย/C&C ของ IceCube": 4,
      "โดเมน": 4,
      "Detection": 3,
      "GitHub Account": 3,
      "GitHub repo": 3,
      "Legit binary (abused)": 3,
      "Malicious File": 3,
      "Process": 3,
      "URL (Download)": 3,
      "Vulnerability": 3,
      "เครื่องมือ": 3,
      "Artifact": 2,
      "C2 Server": 2,
      "Extension ID": 2,
      "File Extension": 2,
      "File pattern": 2,
      "IP:Port": 2,
      "LLM endpoint": 2,
      "Path": 2,
      "Port": 2,
      "Script": 2,
      "TTP": 2,
      "ปล่อยและ C&C ของแบ็กดอร์ IceCube": 2,
      "พฤติกรรม": 2,
      "เส้นทางไฟล์": 2,
      "โดเมน (C2)": 2,
      "ไฟล์ข้อมูลรับรอง AI": 2,
      "09A22856890AB6AEF6311CA2BD27BE54E86DA75C": 1,
      "0a3663648a46771a5a5423ad01e91a4e7ba825595e99fa934cb35cbb4848adc8": 1,
      "167.88.164[.]202": 1,
      "172.235.166[.]243": 1,
      "256DE94FDBF675E3CCB1ADC42AB74771B5381B3F": 1,
      "2cb1ad3b22db8e3666ea138fee88034a87a87cf43db3d3265a675ebf221379b0": 1,
      "30cb4679c4b8599eeb3d63a551716475c6332bdc4d4b4e3de0964aadb3092a10": 1,
      "37e123bd7998af4eae32718ce254776f36365a80ba56952593dab46f536d4066": 1,
      "41BDC7545EE8A7E37714AE6C4F69F95C846FCB38": 1,
      "42DB9DE2017F66ED3AF88E7B1094891627B3C706": 1,
      "5394d3b220de4695f731647e3a70545f951a8912ceb0c6585efab8d6842e8b42": 1,
      "541b1f417b9e42078c3355693a8a492b6a76048850f6549a429e0be99e6819cb": 1,
      "55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c": 1,
      "569265C1BDE1D738963DD027BEB24AE0DC864F7F": 1,
      "584685A6AA84192302DF27C35E492B2846C06DD6": 1,
      "5dc08bda6919a57a85e5f38b857985fa71529ca39c8299868d5a49a987e19b18": 1,
      "606C2692E409E40E6D563458FDF71FAA9EA22557": 1,
      "61B03FF9D84EB653F9F66867DBF76DFB1E130E93": 1,
      "69.67.173[.]214": 1,
      "76EC9B898E3FED239AF3895D9F3225EFB1273DCC": 1,
      "7947737949CC3D273DFE8DBD9F70701A25ED05B8": 1,
      "7976F1E6B079008E56AE35F1AFC6336D12CBA8E1": 1,
      "7d586fb7f94182a8e2a0e53c7e4deb898066da029da5cd9972a94a59ca6d255a": 1,
      "8CB65FE85C25CE521139990689AC989B44A0A230": 1,
      "8e9425c0b46eeb516610ae913d13f2b3f44a023043cb099277031d4ec38a6134": 1,
      "91.132.163[.]78": 1,
      "92cae0ad7f98f51a14bcc0ee05e372ebdc29ea96ea7bd161bd3f55198767603b": 1,
      "AES Key": 1,
      "AES-256-GCM key": 1,
      "API Endpoint": 1,
      "Attack Marker": 1,
      "B13B5B1186B5AC0558E692E72990ECEB810BDA47": 1,
      "B66B2FB1A71A7E8CAF3B9A90DD84A2A3619F5CC5": 1,
      "Behavior": 1,
      "C2": 1,
      "Censys Query": 1,
      "Certificate Issuer": 1,
      "Certificate Subject": 1,
      "Cloud Platform": 1,
      "Cloud metadata IP": 1,
      "Cloud metadata host": 1,
      "Data Target": 1,
      "Developer ID": 1,
      "Domain (parent)": 1,
      "Download URL": 1,
      "ED5BA0EF9E2413F1CD29464209F7B5E347810299": 1,
      "Email": 1,
      "Encryption Key": 1,
      "Ethereum": 1,
      "Exfil server": 1,
      "F045E11EEA6AF11867380141C1E1888F433B5342": 1,
      "Facebook Page": 1,
      "Firestore Doc": 1,
      "Firewall Rule": 1,
      "Git commit": 1,
      "GitHub Repo": 1,
      "GitHub account": 1,
      "Go module version": 1,
      "HTTP Header": 1,
      "HTTP Pattern": 1,
      "IP (C2)": 1,
      "IP (Distribution)": 1,
      "IP / SSH": 1,
      "IP Range": 1,
      "IP address (ProtonVPN)": 1,
      "IP:Port (C2)": 1,
      "IPv4 (C2)": 1,
      "Infrastructure": 1,
      "Initial URL": 1,
      "JA3S Hash": 1,
      "Kubernetes token path": 1,
      "LaunchAgent": 1,
      "MCP endpoint": 1,
      "MCP transport": 1,
      "MITRE ATT&CK": 1,
      "MachineID": 1,
      "Packagist namespace": 1,
      "Packagist package": 1,
      "Password": 1,
      "Persistence": 1,
      "Process (LOLBin)": 1,
      "QTox Handle": 1,
      "RC4 Key": 1,
      "Redirect URL": 1,
      "Registry Run key": 1,
      "Repo Description": 1,
      "SHA-256 Hash": 1,
      "SSH C2": 1,
      "Scheduled task": 1,
      "Service": 1,
      "Service Account": 1,
      "Signed binary (abused)": 1,
      "Spreadsheet ID": 1,
      "Stripe Customer ID": 1,
      "Suricata Rule": 1,
      "TLD": 1,
      "TON API URL": 1,
      "TON account ID": 1,
      "TTP (anti-forensics)": 1,
      "Tactic": 1,
      "Target": 1,
      "Telegram": 1,
      "Threat actor": 1,
      "URI": 1,
      "URL (Decoy / Lure)": 1,
      "URL Path": 1,
      "URL ปล่อย VShell": 1,
      "User-Agent": 1,
      "Username": 1,
      "Wallet": 1,
      "Webshell": 1,
      "Webshell (ASP.NET handler)": 1,
      "a4aa217def4c38f4ecacdf47b1cd687f60cc74c18ab75195be3c4357a790bf41": 1,
      "b630c96d3763182533d4fb9b614134382bd644cb02c6c1c3ade848b6ecc31e86": 1,
      "cbc9485db715e1b8cc384fe94b4cceadca4006cda8a5e28adc8848529cfafc93": 1,
      "ccf218189c3aadb1c761da14bfda3bae686769031e1e1b10007648bd72e34748": 1,
      "localStorage Key": 1,
      "npm account": 1,
      "npm scope": 1,
      "นามสกุลไฟล์เข้ารหัส": 1,
      "บริการ C2": 1,
      "บัญชี maintainer": 1,
      "บัญชี/Registry": 1,
      "ประเภทไฟล์": 1,
      "ฟังก์ชันอันตราย": 1,
      "มัลแวร์ IceCube stealer": 1,
      "อีเมลผู้ส่งที่ถูกยึด": 1,
      "เครื่องมือ C2/พร็อกซี": 1,
      "เซิร์ฟเวอร์ C&C ของ VShell": 1,
      "เทคนิค (Initial access)": 1,
      "เวอร์ชันสะอาด": 1,
      "แบรนด์ credential": 1,
      "แพ็กเกจอันตราย": 1,
      "โดเมน C2 ที่พบซ้ำ": 1,
      "โน้ตเรียกค่าไถ่": 1,
      "ไดเรกทอรีจัดเตรียม": 1,
      "ไฟล์ตั้งค่า MCP": 1,
      "ไฟล์ภาพพื้นหลัง": 1
    },
    "blockable": 425,
    "huntOnly": 442
  },
  "iocs": [
    {
      "type": "โดเมน",
      "category": "hunt-only",
      "valueDefanged": "werkbit[.]io",
      "valueRefanged": "werkbit[.]io",
      "description": "โดเมนแจกจ่ายดิสก์อิมเมจ Werkbit.app (defang แล้ว)",
      "firstSeen": "2026-07-14",
      "lastSeen": "2026-07-14",
      "sources": [
        {
          "title": "CrashStealer มัลแวร์ macOS ตัวใหม่ ใช้ Dropper ที่ผ่าน Notarize เลี่ยงการตรวจของ Gatekeeper",
          "url": "/posts/2026/07/131/",
          "date": "2026-07-14"
        }
      ],
      "tags": [],
      "id": "โดเมน:werkbit[.]io"
    },
    {
      "type": "IP (C2)",
      "category": "hunt-only",
      "valueDefanged": "179.43.166[.]242",
      "valueRefanged": "179.43.166[.]242",
      "description": "เซิร์ฟเวอร์รับข้อมูลที่ถูกส่งออก (defang แล้ว)",
      "firstSeen": "2026-07-14",
      "lastSeen": "2026-07-14",
      "sources": [
        {
          "title": "CrashStealer มัลแวร์ macOS ตัวใหม่ ใช้ Dropper ที่ผ่าน Notarize เลี่ยงการตรวจของ Gatekeeper",
          "url": "/posts/2026/07/131/",
          "date": "2026-07-14"
        }
      ],
      "tags": [],
      "id": "ip (c2):179.43.166[.]242"
    },
    {
      "type": "GitHub Repo",
      "category": "hunt-only",
      "valueDefanged": "github.com/mgothiclove",
      "valueRefanged": "github.com/mgothiclove",
      "description": "ใช้เก็บไฟล์ sys.cache ดึงคำสั่ง curl",
      "firstSeen": "2026-07-14",
      "lastSeen": "2026-07-14",
      "sources": [
        {
          "title": "CrashStealer มัลแวร์ macOS ตัวใหม่ ใช้ Dropper ที่ผ่าน Notarize เลี่ยงการตรวจของ Gatekeeper",
          "url": "/posts/2026/07/131/",
          "date": "2026-07-14"
        }
      ],
      "tags": [],
      "id": "github repo:github.com/mgothiclove"
    },
    {
      "type": "Developer ID",
      "category": "hunt-only",
      "valueDefanged": "Emil Grigorov (WWB7JA7AQV)",
      "valueRefanged": "Emil Grigorov (WWB7JA7AQV)",
      "description": "ใบรับรองที่ใช้เซ็นชื่อ dropper",
      "firstSeen": "2026-07-14",
      "lastSeen": "2026-07-14",
      "sources": [
        {
          "title": "CrashStealer มัลแวร์ macOS ตัวใหม่ ใช้ Dropper ที่ผ่าน Notarize เลี่ยงการตรวจของ Gatekeeper",
          "url": "/posts/2026/07/131/",
          "date": "2026-07-14"
        }
      ],
      "tags": [],
      "id": "developer id:emil grigorov (wwb7ja7aqv)"
    },
    {
      "type": "ไฟล์ตั้งค่าผู้ช่วย AI",
      "category": "hunt-only",
      "valueDefanged": ".claudemcp.json",
      "valueRefanged": ".claudemcp.json",
      "description": "ไฟล์ตั้งค่า MCP client ของ Claude",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "ไฟล์ตั้งค่าผู้ช่วย ai:.claudemcp.json"
    },
    {
      "type": "ไฟล์ตั้งค่าผู้ช่วย AI",
      "category": "hunt-only",
      "valueDefanged": ".cursormcp.json",
      "valueRefanged": ".cursormcp.json",
      "description": "ไฟล์ตั้งค่า MCP client ของ Cursor",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "ไฟล์ตั้งค่าผู้ช่วย ai:.cursormcp.json"
    },
    {
      "type": "ไฟล์ตั้งค่าผู้ช่วย AI",
      "category": "hunt-only",
      "valueDefanged": ".cursormcpconfig.json",
      "valueRefanged": ".cursormcpconfig.json",
      "description": "ไฟล์ตั้งค่า MCP ของ Cursor",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "ไฟล์ตั้งค่าผู้ช่วย ai:.cursormcpconfig.json"
    },
    {
      "type": "ไฟล์ตั้งค่าผู้ช่วย AI",
      "category": "hunt-only",
      "valueDefanged": ".vscodemcp.json",
      "valueRefanged": ".vscodemcp.json",
      "description": "ไฟล์ตั้งค่า MCP ของ Visual Studio Code",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "ไฟล์ตั้งค่าผู้ช่วย ai:.vscodemcp.json"
    },
    {
      "type": "ไฟล์ตั้งค่าผู้ช่วย AI",
      "category": "hunt-only",
      "valueDefanged": ".claudesettings.local.json",
      "valueRefanged": ".claudesettings.local.json",
      "description": "ไฟล์ตั้งค่า local ของ Claude",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "ไฟล์ตั้งค่าผู้ช่วย ai:.claudesettings.local.json"
    },
    {
      "type": "ไฟล์ตั้งค่า MCP",
      "category": "hunt-only",
      "valueDefanged": ".mcpconfig.json",
      "valueRefanged": ".mcpconfig.json",
      "description": "ไฟล์ตั้งค่า MCP ของโปรเจกต์/editor",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "ไฟล์ตั้งค่า mcp:.mcpconfig.json"
    },
    {
      "type": "ไฟล์ข้อมูลรับรอง AI",
      "category": "hunt-only",
      "valueDefanged": ".claude.credentials.json",
      "valueRefanged": ".claude.credentials.json",
      "description": "ไฟล์ข้อมูลรับรองของ Claude",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "ไฟล์ข้อมูลรับรอง ai:.claude.credentials.json"
    },
    {
      "type": "ไฟล์ข้อมูลรับรอง AI",
      "category": "hunt-only",
      "valueDefanged": ".configclaude.credentials.json",
      "valueRefanged": ".configclaude.credentials.json",
      "description": "probe ไฟล์ข้อมูลรับรอง Claude",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "ไฟล์ข้อมูลรับรอง ai:.configclaude.credentials.json"
    },
    {
      "type": "เส้นทางไฟล์",
      "category": "hunt-only",
      "valueDefanged": "images/icagenda/frontend/attachments/",
      "valueRefanged": "images/icagenda/frontend/attachments/",
      "description": "โฟลเดอร์ที่ iCagenda เขียนไฟล์แนบ — ตรวจหาไฟล์ PHP แปลกปลอม",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "ช่องโหว่ CVSS 10.0 ในส่วนขยาย Joomla 'iCagenda' และ 'Balbooa Forms' ถูกใช้โจมตีแบบ Zero-Day — CISA เพิ่มเข้า KEV",
          "url": "/posts/2026/07/122/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "เส้นทางไฟล์:images/icagenda/frontend/attachments/"
    },
    {
      "type": "เส้นทางไฟล์",
      "category": "hunt-only",
      "valueDefanged": "images/baforms/uploads",
      "valueRefanged": "images/baforms/uploads",
      "description": "โฟลเดอร์อัปโหลด Balbooa Forms (ค่าเริ่มต้น) — ตรวจหาไฟล์ที่ไม่ใช่รูป/เอกสาร โดยเฉพาะ .php",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "ช่องโหว่ CVSS 10.0 ในส่วนขยาย Joomla 'iCagenda' และ 'Balbooa Forms' ถูกใช้โจมตีแบบ Zero-Day — CISA เพิ่มเข้า KEV",
          "url": "/posts/2026/07/122/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "เส้นทางไฟล์:images/baforms/uploads"
    },
    {
      "type": "พฤติกรรม",
      "category": "hunt-only",
      "valueDefanged": "บัญชีผู้ดูแล (Administrator) ที่น่าสงสัยใน Joomla",
      "valueRefanged": "บัญชีผู้ดูแล (Administrator) ที่น่าสงสัยใน Joomla",
      "description": "ตรวจรายชื่อผู้ใช้หาบัญชี admin ที่ถูกเพิ่มโดยไม่ทราบที่มา",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "ช่องโหว่ CVSS 10.0 ในส่วนขยาย Joomla 'iCagenda' และ 'Balbooa Forms' ถูกใช้โจมตีแบบ Zero-Day — CISA เพิ่มเข้า KEV",
          "url": "/posts/2026/07/122/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "พฤติกรรม:บัญชีผู้ดูแล (administrator) ที่น่าสงสัยใน joomla"
    },
    {
      "type": "พฤติกรรม",
      "category": "hunt-only",
      "valueDefanged": "ไฟล์ PHP ที่เพิ่งแก้ไข/ไม่คุ้นเคยทั่วเว็บไซต์",
      "valueRefanged": "ไฟล์ PHP ที่เพิ่งแก้ไข/ไม่คุ้นเคยทั่วเว็บไซต์",
      "description": "ตรวจสอบไฟล์ที่ถูกดัดแปลงล่าสุดทั้งไซต์",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "ช่องโหว่ CVSS 10.0 ในส่วนขยาย Joomla 'iCagenda' และ 'Balbooa Forms' ถูกใช้โจมตีแบบ Zero-Day — CISA เพิ่มเข้า KEV",
          "url": "/posts/2026/07/122/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "พฤติกรรม:ไฟล์ php ที่เพิ่งแก้ไข/ไม่คุ้นเคยทั่วเว็บไซต์"
    },
    {
      "type": "User-Agent",
      "category": "hunt-only",
      "valueDefanged": "icagenda-batch/1.0",
      "valueRefanged": "icagenda-batch/1.0",
      "description": "สแกนเนอร์อัตโนมัติที่ใช้โจมตี CVE-2026-48939",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "ช่องโหว่ CVSS 10.0 ในส่วนขยาย Joomla 'iCagenda' และ 'Balbooa Forms' ถูกใช้โจมตีแบบ Zero-Day — CISA เพิ่มเข้า KEV",
          "url": "/posts/2026/07/122/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "user-agent:icagenda-batch/1.0"
    },
    {
      "type": "SSRF probe",
      "category": "hunt-only",
      "valueDefanged": "fetch?url=http://metadata.google.internal/...token",
      "valueRefanged": "fetch?url=http://metadata.google.internal/...token",
      "description": "ความพยายามขโมยโทเคน metadata คลาวด์",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "ssrf probe:fetch?url=http://metadata.google.internal/...token"
    },
    {
      "type": "SSRF probe",
      "category": "hunt-only",
      "valueDefanged": "fetch?uri=http://metadata.google.internal/...token",
      "valueRefanged": "fetch?uri=http://metadata.google.internal/...token",
      "description": "ความพยายามขโมยโทเคน metadata คลาวด์",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "ssrf probe:fetch?uri=http://metadata.google.internal/...token"
    },
    {
      "type": "SSRF probe",
      "category": "hunt-only",
      "valueDefanged": "fetch?path=http://metadata.google.internal/...token",
      "valueRefanged": "fetch?path=http://metadata.google.internal/...token",
      "description": "ความพยายามขโมยโทเคน metadata คลาวด์",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "ssrf probe:fetch?path=http://metadata.google.internal/...token"
    },
    {
      "type": "SSRF probe",
      "category": "hunt-only",
      "valueDefanged": "fetch?dest=http://metadata.google.internal/...token",
      "valueRefanged": "fetch?dest=http://metadata.google.internal/...token",
      "description": "ความพยายามขโมยโทเคน metadata คลาวด์",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "ssrf probe:fetch?dest=http://metadata.google.internal/...token"
    },
    {
      "type": "MCP transport",
      "category": "hunt-only",
      "valueDefanged": "GET /sse",
      "valueRefanged": "GET /sse",
      "description": "probe ช่องทาง Server-Sent Events",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "mcp transport:get /sse"
    },
    {
      "type": "MCP endpoint",
      "category": "hunt-only",
      "valueDefanged": "POST /mcp",
      "valueRefanged": "POST /mcp",
      "description": "คำขอเริ่มต้น MCP JSON-RPC",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "mcp endpoint:post /mcp"
    },
    {
      "type": "LLM endpoint",
      "category": "hunt-only",
      "valueDefanged": "GET /v1/models",
      "valueRefanged": "GET /v1/models",
      "description": "endpoint แสดงรายการโมเดลแบบ OpenAI",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "llm endpoint:get /v1/models"
    },
    {
      "type": "LLM endpoint",
      "category": "hunt-only",
      "valueDefanged": "GET /api/tags",
      "valueRefanged": "GET /api/tags",
      "description": "endpoint แสดงรายการโมเดลของ Ollama",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "llm endpoint:get /api/tags"
    },
    {
      "type": "Kubernetes token path",
      "category": "hunt-only",
      "valueDefanged": "var/run/secrets/.../serviceaccount/token",
      "valueRefanged": "var/run/secrets/.../serviceaccount/token",
      "description": "เป้าหมายโทเคน service-account ของ Kubernetes",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "kubernetes token path:var/run/secrets/.../serviceaccount/token"
    },
    {
      "type": "Cloud metadata host",
      "category": "hunt-only",
      "valueDefanged": "metadata.google.internal",
      "valueRefanged": "metadata.google.internal",
      "description": "เป้าหมายบริการ metadata ของ Google Cloud",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "cloud metadata host:metadata.google.internal"
    },
    {
      "type": "Cloud metadata IP",
      "category": "hunt-only",
      "valueDefanged": "169.254.169[.]254",
      "valueRefanged": "169.254.169[.]254",
      "description": "ที่อยู่ link-local ของบริการ metadata คลาวด์",
      "firstSeen": "2026-07-13",
      "lastSeen": "2026-07-13",
      "sources": [
        {
          "title": "แฮ็กเกอร์สแกนทั่วอินเทอร์เน็ตล่าเซิร์ฟเวอร์ MCP และไฟล์ข้อมูลรับรอง Claude — เปิดแผนที่เครื่องมือ AI ที่ตั้งค่าพลาด",
          "url": "/posts/2026/07/136/",
          "date": "2026-07-13"
        }
      ],
      "tags": [],
      "id": "cloud metadata ip:169.254.169[.]254"
    },
    {
      "type": "โดเมน C2 ที่พบซ้ำ",
      "category": "hunt-only",
      "valueDefanged": "photobookadm[.]pro, lastnight[.]info, tracerecord[.]info, bigfrogs[.]info, keysrace[.]info, flamecube[.]info, checkphoto-bookin[.]com, fancystraits[.]info, strayweirds[.]info, hotelphotoadm[.]info",
      "valueRefanged": "photobookadm[.]pro, lastnight[.]info, tracerecord[.]info, bigfrogs[.]info, keysrace[.]info, flamecube[.]info, checkphoto-bookin[.]com, fancystraits[.]info, strayweirds[.]info, hotelphotoadm[.]info",
      "description": "โดเมน C2 ที่สกัดจากตัวอย่าง LNK จำนวนมาก",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON",
          "url": "/posts/2026/07/106/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "โดเมน c2 ที่พบซ้ำ:photobookadm[.]pro, lastnight[.]info, tracerecord[.]info, bigfrogs[.]info, keysrace[.]info, flamecube[.]info, checkphoto-bookin[.]com, fancystraits[.]info, strayweirds[.]info, hotelphotoadm[.]info"
    },
    {
      "type": "แพ็กเกจอันตราย",
      "category": "hunt-only",
      "valueDefanged": "@injectivelabs/sdk-ts@1.20.21",
      "valueRefanged": "@injectivelabs/sdk-ts@1.20.21",
      "description": "เวอร์ชัน SDK ที่ถูกฝังมัลแวร์ (ปล่อย 8 ก.ค. 2569)",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "GitHub ของ Injective Labs ถูกเจาะ ปล่อยแพ็กเกจ npm ขโมยกุญแจกระเป๋าคริปโต",
          "url": "/posts/2026/07/111/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "แพ็กเกจอันตราย:@injectivelabs/sdk-ts@1.20.21"
    },
    {
      "type": "เวอร์ชันสะอาด",
      "category": "hunt-only",
      "valueDefanged": "@injectivelabs/sdk-ts@1.20.23",
      "valueRefanged": "@injectivelabs/sdk-ts@1.20.23",
      "description": "เวอร์ชันที่ปลอดภัย ควรอัปเดตไปใช้",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "GitHub ของ Injective Labs ถูกเจาะ ปล่อยแพ็กเกจ npm ขโมยกุญแจกระเป๋าคริปโต",
          "url": "/posts/2026/07/111/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "เวอร์ชันสะอาด:@injectivelabs/sdk-ts@1.20.23"
    },
    {
      "type": "ฟังก์ชันอันตราย",
      "category": "hunt-only",
      "valueDefanged": "trackKeyDerivation()",
      "valueRefanged": "trackKeyDerivation()",
      "description": "ฟังก์ชัน telemetry ปลอมที่ขโมยข้อมูลกุญแจ",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "GitHub ของ Injective Labs ถูกเจาะ ปล่อยแพ็กเกจ npm ขโมยกุญแจกระเป๋าคริปโต",
          "url": "/posts/2026/07/111/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "ฟังก์ชันอันตราย:trackkeyderivation()"
    },
    {
      "type": "บัญชี maintainer",
      "category": "hunt-only",
      "valueDefanged": "thomasRalee",
      "valueRefanged": "thomasRalee",
      "description": "บัญชีที่ commit อันตรายถูก push ภายใต้ชื่อ",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "GitHub ของ Injective Labs ถูกเจาะ ปล่อยแพ็กเกจ npm ขโมยกุญแจกระเป๋าคริปโต",
          "url": "/posts/2026/07/111/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "บัญชี maintainer:thomasralee"
    },
    {
      "type": "TON account ID",
      "category": "hunt-only",
      "valueDefanged": "0c66119f0e5635c4380441d7a79baf0c02a0ab7ea6cd78de06507fc5dc2c1a5d9",
      "valueRefanged": "0c66119f0e5635c4380441d7a79baf0c02a0ab7ea6cd78de06507fc5dc2c1a5d9",
      "description": "บัญชี smart contract บน TON ที่แบ็กดอร์สอบถาม",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON",
          "url": "/posts/2026/07/106/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "ton account id:0c66119f0e5635c4380441d7a79baf0c02a0ab7ea6cd78de06507fc5dc2c1a5d9"
    },
    {
      "type": "TON API URL",
      "category": "hunt-only",
      "valueDefanged": "hxxps://tonapi[.]io/v2/blockchain/accounts/0c66119f...1a5d9/methods/getdomain",
      "valueRefanged": "hxxps://tonapi[.]io/v2/blockchain/accounts/0c66119f...1a5d9/methods/getdomain",
      "description": "การสอบถาม smart contract เพื่อดึงข้อมูล C2",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON",
          "url": "/posts/2026/07/106/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "ton api url:hxxps://tonapi[.]io/v2/blockchain/accounts/0c66119f...1a5d9/methods/getdomain"
    },
    {
      "type": "Redirect URL",
      "category": "hunt-only",
      "valueDefanged": "hxxps://recordstrace[.]info/5bC6vVOeP9PI3B08",
      "valueRefanged": "hxxps://recordstrace[.]info/5bC6vVOeP9PI3B08",
      "description": "URL ส่งมอบที่ถูก redirect",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON",
          "url": "/posts/2026/07/106/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "redirect url:hxxps://recordstrace[.]info/5bc6vvoep9pi3b08"
    },
    {
      "type": "MachineID",
      "category": "hunt-only",
      "valueDefanged": "win-5r0dsv23ed0",
      "valueRefanged": "win-5r0dsv23ed0",
      "description": "ตัวระบุเครื่องที่พบร่วมกันในตัวอย่างกว่า 400 รายการ",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON",
          "url": "/posts/2026/07/106/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "machineid:win-5r0dsv23ed0"
    },
    {
      "type": "Initial URL",
      "category": "hunt-only",
      "valueDefanged": "hxxps://share.google/YLoRYlokrW3iner8r",
      "valueRefanged": "hxxps://share.google/YLoRYlokrW3iner8r",
      "description": "URL เข้าถึงเหยื่อเริ่มต้น",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON",
          "url": "/posts/2026/07/106/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "initial url:hxxps://share.google/ylorylokrw3iner8r"
    },
    {
      "type": "File pattern",
      "category": "hunt-only",
      "valueDefanged": "photo-*.png.lnk",
      "valueRefanged": "photo-*.png.lnk",
      "description": "รูปแบบชื่อไฟล์ LNK อันตราย",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON",
          "url": "/posts/2026/07/106/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "file pattern:photo-*.png.lnk"
    },
    {
      "type": "File pattern",
      "category": "hunt-only",
      "valueDefanged": "IMG-*.png.lnk",
      "valueRefanged": "IMG-*.png.lnk",
      "description": "รูปแบบชื่อไฟล์ LNK อันตราย",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON",
          "url": "/posts/2026/07/106/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "file pattern:img-*.png.lnk"
    },
    {
      "type": "Exfil server",
      "category": "hunt-only",
      "valueDefanged": "testnet.archival.chain.grpc-web.injective[.]network",
      "valueRefanged": "testnet.archival.chain.grpc-web.injective[.]network",
      "description": "เซิร์ฟเวอร์ที่รับ private key/mnemonic ผ่าน HTTPS POST",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "GitHub ของ Injective Labs ถูกเจาะ ปล่อยแพ็กเกจ npm ขโมยกุญแจกระเป๋าคริปโต",
          "url": "/posts/2026/07/111/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "exfil server:testnet.archival.chain.grpc-web.injective[.]network"
    },
    {
      "type": "Download URL",
      "category": "hunt-only",
      "valueDefanged": "hxxps://nodejs[.]org/dist/v24.13.0/node-v24.13.0-win-x64.zip",
      "valueRefanged": "hxxps://nodejs[.]org/dist/v24.13.0/node-v24.13.0-win-x64.zip",
      "description": "แพ็กเกจ Node.js ของแท้ที่ถูกนำมาใช้ในทางมิชอบ",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON",
          "url": "/posts/2026/07/106/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "download url:hxxps://nodejs[.]org/dist/v24.13.0/node-v24.13.0-win-x64.zip"
    },
    {
      "type": "C2 domain",
      "category": "hunt-only",
      "valueDefanged": "tonajukbhuakpo2[.]shop",
      "valueRefanged": "tonajukbhuakpo2[.]shop",
      "description": "C2 ที่บันทึกเมื่อ 2 มิถุนายน",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON",
          "url": "/posts/2026/07/106/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "c2 domain:tonajukbhuakpo2[.]shop"
    },
    {
      "type": "C2 domain",
      "category": "hunt-only",
      "valueDefanged": "zloapobikahy23[.]bond",
      "valueRefanged": "zloapobikahy23[.]bond",
      "description": "C2 ในอดีต",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON",
          "url": "/posts/2026/07/106/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "c2 domain:zloapobikahy23[.]bond"
    },
    {
      "type": "C2 domain",
      "category": "hunt-only",
      "valueDefanged": "hsaertyuoang34[.]sbs",
      "valueRefanged": "hsaertyuoang34[.]sbs",
      "description": "C2 ในอดีต",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON",
          "url": "/posts/2026/07/106/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "c2 domain:hsaertyuoang34[.]sbs"
    },
    {
      "type": "C2 domain",
      "category": "hunt-only",
      "valueDefanged": "amanohuguta[.]cfd",
      "valueRefanged": "amanohuguta[.]cfd",
      "description": "C2 ในอดีต",
      "firstSeen": "2026-07-10",
      "lastSeen": "2026-07-10",
      "sources": [
        {
          "title": "ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON",
          "url": "/posts/2026/07/106/",
          "date": "2026-07-10"
        }
      ],
      "tags": [],
      "id": "c2 domain:amanohuguta[.]cfd"
    },
    {
      "type": "Scheduled Task",
      "category": "hunt-only",
      "valueDefanged": "OneDrive Update",
      "valueRefanged": "OneDrive Update",
      "description": "งานตั้งเวลาปลอมที่รันทุกนาที ใช้ฝังตัว",
      "firstSeen": "2026-07-09",
      "lastSeen": "2026-07-09",
      "sources": [
        {
          "title": "Microsoft แกะมัลแวร์ทำลายล้าง 'GigaWiper' — รวมไวเปอร์ล้างดิสก์ แรนซัมแวร์ปลอม และสปายแวร์ในตัวเดียว โยงกลุ่มอิหร่าน",
          "url": "/posts/2026/07/103/",
          "date": "2026-07-09"
        }
      ],
      "tags": [],
      "id": "scheduled task:onedrive update"
    },
    {
      "type": "Registry Key",
      "category": "hunt-only",
      "valueDefanged": "HKCU\\SOFTWARE\\OneDrive\\Environment",
      "valueRefanged": "HKCU\\SOFTWARE\\OneDrive\\Environment",
      "description": "คีย์ที่มัลแวร์ใช้ติดตามตัวเอง",
      "firstSeen": "2026-07-09",
      "lastSeen": "2026-07-09",
      "sources": [
        {
          "title": "Microsoft แกะมัลแวร์ทำลายล้าง 'GigaWiper' — รวมไวเปอร์ล้างดิสก์ แรนซัมแวร์ปลอม และสปายแวร์ในตัวเดียว โยงกลุ่มอิหร่าน",
          "url": "/posts/2026/07/103/",
          "date": "2026-07-09"
        }
      ],
      "tags": [],
      "id": "registry key:hkcu\\software\\onedrive\\environment"
    },
    {
      "type": "Firewall Rule",
      "category": "hunt-only",
      "valueDefanged": "Microsoft.Windows.CloudExperienceHost",
      "valueRefanged": "Microsoft.Windows.CloudExperienceHost",
      "description": "ชื่อกฎ firewall ปลอมที่ใช้ซ่อนช่องควบคุมระยะไกล",
      "firstSeen": "2026-07-09",
      "lastSeen": "2026-07-09",
      "sources": [
        {
          "title": "Microsoft แกะมัลแวร์ทำลายล้าง 'GigaWiper' — รวมไวเปอร์ล้างดิสก์ แรนซัมแวร์ปลอม และสปายแวร์ในตัวเดียว โยงกลุ่มอิหร่าน",
          "url": "/posts/2026/07/103/",
          "date": "2026-07-09"
        }
      ],
      "tags": [],
      "id": "firewall rule:microsoft.windows.cloudexperiencehost"
    },
    {
      "type": "File Extension",
      "category": "hunt-only",
      "valueDefanged": ".candy",
      "valueRefanged": ".candy",
      "description": "นามสกุลไฟล์ที่แรนซัมแวร์ปลอม (Crucio) เติมหลังเข้ารหัส",
      "firstSeen": "2026-07-09",
      "lastSeen": "2026-07-09",
      "sources": [
        {
          "title": "Microsoft แกะมัลแวร์ทำลายล้าง 'GigaWiper' — รวมไวเปอร์ล้างดิสก์ แรนซัมแวร์ปลอม และสปายแวร์ในตัวเดียว โยงกลุ่มอิหร่าน",
          "url": "/posts/2026/07/103/",
          "date": "2026-07-09"
        }
      ],
      "tags": [],
      "id": "file extension:.candy"
    },
    {
      "type": "C2 Server",
      "category": "hunt-only",
      "valueDefanged": "185.182.193[.]21",
      "valueRefanged": "185.182.193[.]21",
      "description": "เซิร์ฟเวอร์ควบคุมของ GigaWiper/BLUERABBIT (Microsoft แนะนำให้บล็อก)",
      "firstSeen": "2026-07-09",
      "lastSeen": "2026-07-09",
      "sources": [
        {
          "title": "Microsoft แกะมัลแวร์ทำลายล้าง 'GigaWiper' — รวมไวเปอร์ล้างดิสก์ แรนซัมแวร์ปลอม และสปายแวร์ในตัวเดียว โยงกลุ่มอิหร่าน",
          "url": "/posts/2026/07/103/",
          "date": "2026-07-09"
        }
      ],
      "tags": [],
      "id": "c2 server:185.182.193[.]21"
    },
    {
      "type": "C2 Server",
      "category": "hunt-only",
      "valueDefanged": "212.8.248[.]104",
      "valueRefanged": "212.8.248[.]104",
      "description": "เซิร์ฟเวอร์ควบคุมของ GigaWiper/BLUERABBIT (Microsoft แนะนำให้บล็อก)",
      "firstSeen": "2026-07-09",
      "lastSeen": "2026-07-09",
      "sources": [
        {
          "title": "Microsoft แกะมัลแวร์ทำลายล้าง 'GigaWiper' — รวมไวเปอร์ล้างดิสก์ แรนซัมแวร์ปลอม และสปายแวร์ในตัวเดียว โยงกลุ่มอิหร่าน",
          "url": "/posts/2026/07/103/",
          "date": "2026-07-09"
        }
      ],
      "tags": [],
      "id": "c2 server:212.8.248[.]104"
    },
    {
      "type": "Unknown",
      "category": "hunt-only",
      "valueDefanged": "msedgeupdate.txt / msedge.txt",
      "valueRefanged": "msedgeupdate.txt / msedge.txt",
      "description": "payload เต็มของเวอร์ชันเก่า (SHA256: 443C0A821C214471D74B51093AB3D69BB9BEE54DCDA2551E4F12707)",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "unknown:msedgeupdate.txt / msedge.txt"
    },
    {
      "type": "Unknown",
      "category": "hunt-only",
      "valueDefanged": "MixedSvc / \"Windows Mixed Reality Service\"",
      "valueRefanged": "MixedSvc / \"Windows Mixed Reality Service\"",
      "description": "บริการ persistence อันตราย",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "unknown:mixedsvc / \"windows mixed reality service\""
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "http[:]//217.15.160[.]247:8088/`, `:2222/`, `:99/",
      "valueRefanged": "http://217.15.160.247:8088/`, `:2222/`, `:99/",
      "description": "URL ดาวน์โหลด payload",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "url:http://217.15.160.247:8088/`, `:2222/`, `:99/"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "http[:]//194.233.92[.]26:8088/`, `:2222/",
      "valueRefanged": "http://194.233.92.26:8088/`, `:2222/",
      "description": "URL ดาวน์โหลด payload",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "url:http://194.233.92.26:8088/`, `:2222/"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "http[:]//217.15.164[.]147:99/`, `:8088/`, `:2222/",
      "valueRefanged": "http://217.15.164.147:99/`, `:8088/`, `:2222/",
      "description": "URL ดาวน์โหลด payload",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "url:http://217.15.164.147:99/`, `:8088/`, `:2222/"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "http[:]//95.182.100[.]231:2222/",
      "valueRefanged": "http://95.182.100.231:2222/",
      "description": "URL ดาวน์โหลด payload",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "url:http://95.182.100.231:2222/"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp://118[.]107[.]0[.]197/ouewo[.]jpg",
      "valueRefanged": "http://118.107.0.197/ouewo.jpg",
      "description": "URL ดาวน์โหลด payload polyglot",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "url:http://118.107.0.197/ouewo.jpg"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "1b5649b479fd625de5c8120873644b5eb669cc89cd504582c18e0ae350fd8823",
      "valueRefanged": "1b5649b479fd625de5c8120873644b5eb669cc89cd504582c18e0ae350fd8823",
      "description": "LEASHTEST",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:1b5649b479fd625de5c8120873644b5eb669cc89cd504582c18e0ae350fd8823"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "755fcee1337a252203002ecfdf673a08cfadeda8d738bef2d518a08e0626aa4f",
      "valueRefanged": "755fcee1337a252203002ecfdf673a08cfadeda8d738bef2d518a08e0626aa4f",
      "description": "LONGLEASH",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:755fcee1337a252203002ecfdf673a08cfadeda8d738bef2d518a08e0626aa4f"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "e799d72929d7ccc7f6b6109742b8cc482838303207efc989543b6e1ca6d16e9c",
      "valueRefanged": "e799d72929d7ccc7f6b6109742b8cc482838303207efc989543b6e1ca6d16e9c",
      "description": "JARLEASH startup script",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:e799d72929d7ccc7f6b6109742b8cc482838303207efc989543b6e1ca6d16e9c"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "3b89d183eb014e29d9d0d4e45fc2b784a7fcfcf31dd48fd3bde30f8d956383d1",
      "valueRefanged": "3b89d183eb014e29d9d0d4e45fc2b784a7fcfcf31dd48fd3bde30f8d956383d1",
      "description": "JARLEASH config file",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:3b89d183eb014e29d9d0d4e45fc2b784a7fcfcf31dd48fd3bde30f8d956383d1"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "324d95024fc8da5c92b5a1f4825aed5a2a91c9ca8fb6aa52abb332a4c9cf4257",
      "valueRefanged": "324d95024fc8da5c92b5a1f4825aed5a2a91c9ca8fb6aa52abb332a4c9cf4257",
      "description": "JARLEASH",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:324d95024fc8da5c92b5a1f4825aed5a2a91c9ca8fb6aa52abb332a4c9cf4257"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "bafba443170e54ef7fd431ce7f1b5e202719f3fd022e4ef70788904f574d2cdf",
      "valueRefanged": "bafba443170e54ef7fd431ce7f1b5e202719f3fd022e4ef70788904f574d2cdf",
      "description": "JARLEASH",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:bafba443170e54ef7fd431ce7f1b5e202719f3fd022e4ef70788904f574d2cdf"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "604b53f87d6c070bf387e80c70a6df8d272fa3fc143148d41f13e59d52ab1f13",
      "valueRefanged": "604b53f87d6c070bf387e80c70a6df8d272fa3fc143148d41f13e59d52ab1f13",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:604b53f87d6c070bf387e80c70a6df8d272fa3fc143148d41f13e59d52ab1f13"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "c92541f273eeb576d39235d0a5c6f18f2574b132a1022598edfa38065783ab98",
      "valueRefanged": "c92541f273eeb576d39235d0a5c6f18f2574b132a1022598edfa38065783ab98",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:c92541f273eeb576d39235d0a5c6f18f2574b132a1022598edfa38065783ab98"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "29c7fccc6ef8cbfe4da9a169c7c74bacaea1fb515a1fddef91ab1b1522f76e4c",
      "valueRefanged": "29c7fccc6ef8cbfe4da9a169c7c74bacaea1fb515a1fddef91ab1b1522f76e4c",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:29c7fccc6ef8cbfe4da9a169c7c74bacaea1fb515a1fddef91ab1b1522f76e4c"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "425bf771c8c9f740b1ae9803dcb4fd45af4d6a6f171fcc72fc7d511095ca82ce",
      "valueRefanged": "425bf771c8c9f740b1ae9803dcb4fd45af4d6a6f171fcc72fc7d511095ca82ce",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:425bf771c8c9f740b1ae9803dcb4fd45af4d6a6f171fcc72fc7d511095ca82ce"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "ac8eae94d27122f4751bc96d9ea52d30000b7ca37569a2291b2710824ca3396f",
      "valueRefanged": "ac8eae94d27122f4751bc96d9ea52d30000b7ca37569a2291b2710824ca3396f",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:ac8eae94d27122f4751bc96d9ea52d30000b7ca37569a2291b2710824ca3396f"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "dc4f25b2247cfdd6fc96848db30a178baa4419a4c854e86e315b465836102d14",
      "valueRefanged": "dc4f25b2247cfdd6fc96848db30a178baa4419a4c854e86e315b465836102d14",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:dc4f25b2247cfdd6fc96848db30a178baa4419a4c854e86e315b465836102d14"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "3878dd5c8eba1e5b53ab2e07e7b5482e95a3fd3e98268bcd7861318bc9902376",
      "valueRefanged": "3878dd5c8eba1e5b53ab2e07e7b5482e95a3fd3e98268bcd7861318bc9902376",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:3878dd5c8eba1e5b53ab2e07e7b5482e95a3fd3e98268bcd7861318bc9902376"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "9b9e0e5a1eb469b8d20dc23351e08ff5d5731e1cedce0ddee9bbd00a76217f13",
      "valueRefanged": "9b9e0e5a1eb469b8d20dc23351e08ff5d5731e1cedce0ddee9bbd00a76217f13",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:9b9e0e5a1eb469b8d20dc23351e08ff5d5731e1cedce0ddee9bbd00a76217f13"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "57bdab2ba4b05ec0338c06632599393d5b14227f31a43fe950ea8fdd47428715",
      "valueRefanged": "57bdab2ba4b05ec0338c06632599393d5b14227f31a43fe950ea8fdd47428715",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:57bdab2ba4b05ec0338c06632599393d5b14227f31a43fe950ea8fdd47428715"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "b8d247fd1fb85d24a17afeec3815906dfbcdc5359647910b4a153900ec999a0f",
      "valueRefanged": "b8d247fd1fb85d24a17afeec3815906dfbcdc5359647910b4a153900ec999a0f",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:b8d247fd1fb85d24a17afeec3815906dfbcdc5359647910b4a153900ec999a0f"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "5e225ea2648a8cba0fd94ec7fd8ce5315f5d0cc2922bafc9db3c8c41280e917c",
      "valueRefanged": "5e225ea2648a8cba0fd94ec7fd8ce5315f5d0cc2922bafc9db3c8c41280e917c",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:5e225ea2648a8cba0fd94ec7fd8ce5315f5d0cc2922bafc9db3c8c41280e917c"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "d5cf7315186a78ab6a7475c338bdf101bc6461930aaa7a012a02cf93f347c207",
      "valueRefanged": "d5cf7315186a78ab6a7475c338bdf101bc6461930aaa7a012a02cf93f347c207",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:d5cf7315186a78ab6a7475c338bdf101bc6461930aaa7a012a02cf93f347c207"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "dd0fc1a88180fde8367bec7086f99294f36b8332f12994293139ed532d2ebbac",
      "valueRefanged": "dd0fc1a88180fde8367bec7086f99294f36b8332f12994293139ed532d2ebbac",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:dd0fc1a88180fde8367bec7086f99294f36b8332f12994293139ed532d2ebbac"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "5c3f190571645c4641dcff2c07a4c3ab9acad06aa9607350a385729d8d6139f1",
      "valueRefanged": "5c3f190571645c4641dcff2c07a4c3ab9acad06aa9607350a385729d8d6139f1",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:5c3f190571645c4641dcff2c07a4c3ab9acad06aa9607350a385729d8d6139f1"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "323c3a91be60ebc3e06e942bad04899a15911cea23269e43d07829164b2ce5d4",
      "valueRefanged": "323c3a91be60ebc3e06e942bad04899a15911cea23269e43d07829164b2ce5d4",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:323c3a91be60ebc3e06e942bad04899a15911cea23269e43d07829164b2ce5d4"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "880425fee707e9f42e0b8d60119ed639b1ad506ea29877d126bdebce379cd229",
      "valueRefanged": "880425fee707e9f42e0b8d60119ed639b1ad506ea29877d126bdebce379cd229",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:880425fee707e9f42e0b8d60119ed639b1ad506ea29877d126bdebce379cd229"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "e5d2de8ae98579bfb940290f60e59a502b3065345aaf765456387989c0488b20",
      "valueRefanged": "e5d2de8ae98579bfb940290f60e59a502b3065345aaf765456387989c0488b20",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:e5d2de8ae98579bfb940290f60e59a502b3065345aaf765456387989c0488b20"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "2e0e43776e2e1a37d882a1b2ebb7d337ee88950177e43831dae645a367824feb",
      "valueRefanged": "2e0e43776e2e1a37d882a1b2ebb7d337ee88950177e43831dae645a367824feb",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:2e0e43776e2e1a37d882a1b2ebb7d337ee88950177e43831dae645a367824feb"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "b5969636eec376ad6c3ece2202b1722219955638e09b6f96d4cfc0598d3b1890",
      "valueRefanged": "b5969636eec376ad6c3ece2202b1722219955638e09b6f96d4cfc0598d3b1890",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:b5969636eec376ad6c3ece2202b1722219955638e09b6f96d4cfc0598d3b1890"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "1660536f448b8b9f086ce9ea3ce4e9deefc59a76711ea53ee6d8f08fc8c1bb99",
      "valueRefanged": "1660536f448b8b9f086ce9ea3ce4e9deefc59a76711ea53ee6d8f08fc8c1bb99",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:1660536f448b8b9f086ce9ea3ce4e9deefc59a76711ea53ee6d8f08fc8c1bb99"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "65feba2c971c214e71303ad2e0fbf62b45ebcaa784cbf3d0dab62786cb4c0469",
      "valueRefanged": "65feba2c971c214e71303ad2e0fbf62b45ebcaa784cbf3d0dab62786cb4c0469",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:65feba2c971c214e71303ad2e0fbf62b45ebcaa784cbf3d0dab62786cb4c0469"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "53ac2b231c23d41234e55b1f7ed89f86234f785adbbe820959655d7b019d7df9",
      "valueRefanged": "53ac2b231c23d41234e55b1f7ed89f86234f785adbbe820959655d7b019d7df9",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:53ac2b231c23d41234e55b1f7ed89f86234f785adbbe820959655d7b019d7df9"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "33c10b77e1da9f0679023d55fb3057879d15609db9c1d46ee5c3ff1240a3d052",
      "valueRefanged": "33c10b77e1da9f0679023d55fb3057879d15609db9c1d46ee5c3ff1240a3d052",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:33c10b77e1da9f0679023d55fb3057879d15609db9c1d46ee5c3ff1240a3d052"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "5faea1650cac0f3ffd2dc1fb220182095a46e34158967d37c2a942e85e2ca97b",
      "valueRefanged": "5faea1650cac0f3ffd2dc1fb220182095a46e34158967d37c2a942e85e2ca97b",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:5faea1650cac0f3ffd2dc1fb220182095a46e34158967d37c2a942e85e2ca97b"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "62d4ec87ed21f0d15cb769b0b2a5577cab41fc2cdb1e7e796c5bdff09264dd9a",
      "valueRefanged": "62d4ec87ed21f0d15cb769b0b2a5577cab41fc2cdb1e7e796c5bdff09264dd9a",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:62d4ec87ed21f0d15cb769b0b2a5577cab41fc2cdb1e7e796c5bdff09264dd9a"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "534a4a5bff2609a2d6e088cb87465c08c2d69c6aaa7d2ffcbcd491274b8505f1",
      "valueRefanged": "534a4a5bff2609a2d6e088cb87465c08c2d69c6aaa7d2ffcbcd491274b8505f1",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:534a4a5bff2609a2d6e088cb87465c08c2d69c6aaa7d2ffcbcd491274b8505f1"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "5eab4c61baa67ae2838a36c2e6ff0476a8f2117b96a7027b830c8cb46ce78efc",
      "valueRefanged": "5eab4c61baa67ae2838a36c2e6ff0476a8f2117b96a7027b830c8cb46ce78efc",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:5eab4c61baa67ae2838a36c2e6ff0476a8f2117b96a7027b830c8cb46ce78efc"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "0af4c52a1d13e4132a1843ce7727abcf0ddd4d1ca6a4b17cdf599ec3f355c241",
      "valueRefanged": "0af4c52a1d13e4132a1843ce7727abcf0ddd4d1ca6a4b17cdf599ec3f355c241",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:0af4c52a1d13e4132a1843ce7727abcf0ddd4d1ca6a4b17cdf599ec3f355c241"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "d4861088161fc72b9922abf933b4ea664a807105ec1eab4a173253aa60bfe6d7",
      "valueRefanged": "d4861088161fc72b9922abf933b4ea664a807105ec1eab4a173253aa60bfe6d7",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:d4861088161fc72b9922abf933b4ea664a807105ec1eab4a173253aa60bfe6d7"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "3d296af7f29c0425655bd1cc0be48fe4aba52ee6760a89e805ca2589f4ef4d77",
      "valueRefanged": "3d296af7f29c0425655bd1cc0be48fe4aba52ee6760a89e805ca2589f4ef4d77",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:3d296af7f29c0425655bd1cc0be48fe4aba52ee6760a89e805ca2589f4ef4d77"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "f235d2e044c2f7814e6bbcd835b9fd9f10f227dacfb9396185ec2013e7df4db4",
      "valueRefanged": "f235d2e044c2f7814e6bbcd835b9fd9f10f227dacfb9396185ec2013e7df4db4",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:f235d2e044c2f7814e6bbcd835b9fd9f10f227dacfb9396185ec2013e7df4db4"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "4130f49fa81a699a667cafdbd6d1f6e781edd686c947eb8ae27134f6dc2c43d7",
      "valueRefanged": "4130f49fa81a699a667cafdbd6d1f6e781edd686c947eb8ae27134f6dc2c43d7",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:4130f49fa81a699a667cafdbd6d1f6e781edd686c947eb8ae27134f6dc2c43d7"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "0a8555a71868749be8c905ed53296ce335af50a9262772b5e154ad3f9c35c2e4",
      "valueRefanged": "0a8555a71868749be8c905ed53296ce335af50a9262772b5e154ad3f9c35c2e4",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:0a8555a71868749be8c905ed53296ce335af50a9262772b5e154ad3f9c35c2e4"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "5dbfa033676b5caacfae902734ce462cd871181eefbe299250ca8ac7e139719e",
      "valueRefanged": "5dbfa033676b5caacfae902734ce462cd871181eefbe299250ca8ac7e139719e",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:5dbfa033676b5caacfae902734ce462cd871181eefbe299250ca8ac7e139719e"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "20fcba222f74dd68aaeb1f0ad30cdf702a828ee164a182b30d05d600c35b72d9",
      "valueRefanged": "20fcba222f74dd68aaeb1f0ad30cdf702a828ee164a182b30d05d600c35b72d9",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:20fcba222f74dd68aaeb1f0ad30cdf702a828ee164a182b30d05d600c35b72d9"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "912adea5339c73cb4a777a3e9f98bf3cb08da6622c9dd3b4cc9b083cb03d10a2",
      "valueRefanged": "912adea5339c73cb4a777a3e9f98bf3cb08da6622c9dd3b4cc9b083cb03d10a2",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:912adea5339c73cb4a777a3e9f98bf3cb08da6622c9dd3b4cc9b083cb03d10a2"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "03926e3da998f32ad898b640bd15cf145768f9e849e6f18d81350234254c424e",
      "valueRefanged": "03926e3da998f32ad898b640bd15cf145768f9e849e6f18d81350234254c424e",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:03926e3da998f32ad898b640bd15cf145768f9e849e6f18d81350234254c424e"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "16971f9706d70ac4925651c7c8719b9d77aff63e4c0a618129efc32c2c46b989",
      "valueRefanged": "16971f9706d70ac4925651c7c8719b9d77aff63e4c0a618129efc32c2c46b989",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:16971f9706d70ac4925651c7c8719b9d77aff63e4c0a618129efc32c2c46b989"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "6917c0f9eafefe42e33e791b75a7e503ff8b081bc10a98449e4076787dfc6c16",
      "valueRefanged": "6917c0f9eafefe42e33e791b75a7e503ff8b081bc10a98449e4076787dfc6c16",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:6917c0f9eafefe42e33e791b75a7e503ff8b081bc10a98449e4076787dfc6c16"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "c7c9bfa9ffcd8fb6a2afe656f510c406ddc58ebff48ce1d0fd3fad951b46a36e",
      "valueRefanged": "c7c9bfa9ffcd8fb6a2afe656f510c406ddc58ebff48ce1d0fd3fad951b46a36e",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:c7c9bfa9ffcd8fb6a2afe656f510c406ddc58ebff48ce1d0fd3fad951b46a36e"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "b9fe48bda9a6c8787981a24f8bbc723a6f6aa80cab5fa53481937382f3c6ce85",
      "valueRefanged": "b9fe48bda9a6c8787981a24f8bbc723a6f6aa80cab5fa53481937382f3c6ce85",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:b9fe48bda9a6c8787981a24f8bbc723a6f6aa80cab5fa53481937382f3c6ce85"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "f3fbf4481f30fd840f35568746f54be49eb92b2c9ac95597a7760abb171cb54b",
      "valueRefanged": "f3fbf4481f30fd840f35568746f54be49eb92b2c9ac95597a7760abb171cb54b",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:f3fbf4481f30fd840f35568746f54be49eb92b2c9ac95597a7760abb171cb54b"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "6366d59b573d50fd23ff650923c4a8c1c918518a02d0a56f12c23533c45f439d",
      "valueRefanged": "6366d59b573d50fd23ff650923c4a8c1c918518a02d0a56f12c23533c45f439d",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:6366d59b573d50fd23ff650923c4a8c1c918518a02d0a56f12c23533c45f439d"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "3fcaa3038e365b6ab0b121e2cd319c56b74e37381943a0da0e8dce407087cdb8",
      "valueRefanged": "3fcaa3038e365b6ab0b121e2cd319c56b74e37381943a0da0e8dce407087cdb8",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:3fcaa3038e365b6ab0b121e2cd319c56b74e37381943a0da0e8dce407087cdb8"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "bf70c6f3a8e913f526ec57eeec50e1306f7b34b037915b7a1cf2968cc46acc58",
      "valueRefanged": "bf70c6f3a8e913f526ec57eeec50e1306f7b34b037915b7a1cf2968cc46acc58",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:bf70c6f3a8e913f526ec57eeec50e1306f7b34b037915b7a1cf2968cc46acc58"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "0352f3e338261d98895df4c7b7a76b296485b2290c72bce56603351d167d0601",
      "valueRefanged": "0352f3e338261d98895df4c7b7a76b296485b2290c72bce56603351d167d0601",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:0352f3e338261d98895df4c7b7a76b296485b2290c72bce56603351d167d0601"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "52b871429833e1dee348263844efb531f6a3fcd321f88dc8a876caaee912cedd",
      "valueRefanged": "52b871429833e1dee348263844efb531f6a3fcd321f88dc8a876caaee912cedd",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:52b871429833e1dee348263844efb531f6a3fcd321f88dc8a876caaee912cedd"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "5db2ce9acd50f96d566e8d139f6490abf2bbf7a9293b876eeb4598fd2c37c515",
      "valueRefanged": "5db2ce9acd50f96d566e8d139f6490abf2bbf7a9293b876eeb4598fd2c37c515",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:5db2ce9acd50f96d566e8d139f6490abf2bbf7a9293b876eeb4598fd2c37c515"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "3169a6dbcce684e2c5a2f166996b58ffa673df6e58b8edf2bdf3e66271c8c69e",
      "valueRefanged": "3169a6dbcce684e2c5a2f166996b58ffa673df6e58b8edf2bdf3e66271c8c69e",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:3169a6dbcce684e2c5a2f166996b58ffa673df6e58b8edf2bdf3e66271c8c69e"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "d871d76171504597bbda387689e12e7a5e354c360ff135f4df231cec68c761af",
      "valueRefanged": "d871d76171504597bbda387689e12e7a5e354c360ff135f4df231cec68c761af",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:d871d76171504597bbda387689e12e7a5e354c360ff135f4df231cec68c761af"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "d1f963b88672f3676a7da1580262ba0d4f367cc57a94b551754c20f77a670c43",
      "valueRefanged": "d1f963b88672f3676a7da1580262ba0d4f367cc57a94b551754c20f77a670c43",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:d1f963b88672f3676a7da1580262ba0d4f367cc57a94b551754c20f77a670c43"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "76d9e2a2ff313f5b91cc67aab1127122baee1c3efbae1087e58a25bc5f1eb065",
      "valueRefanged": "76d9e2a2ff313f5b91cc67aab1127122baee1c3efbae1087e58a25bc5f1eb065",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:76d9e2a2ff313f5b91cc67aab1127122baee1c3efbae1087e58a25bc5f1eb065"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "8c104da0e66ef6384663309aaf8fb49f549f2785d835eec620b265f8aa11d9f0",
      "valueRefanged": "8c104da0e66ef6384663309aaf8fb49f549f2785d835eec620b265f8aa11d9f0",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:8c104da0e66ef6384663309aaf8fb49f549f2785d835eec620b265f8aa11d9f0"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "c494c878e28284539419612616d964ab9224cbe27e57f42293d91d02d684e3db",
      "valueRefanged": "c494c878e28284539419612616d964ab9224cbe27e57f42293d91d02d684e3db",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:c494c878e28284539419612616d964ab9224cbe27e57f42293d91d02d684e3db"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "08701ed7975bf4f5688c2724d27ab497764200ad6f4dc53d3cc03b170378ced0",
      "valueRefanged": "08701ed7975bf4f5688c2724d27ab497764200ad6f4dc53d3cc03b170378ced0",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:08701ed7975bf4f5688c2724d27ab497764200ad6f4dc53d3cc03b170378ced0"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "0a8cae96e25e85c612b0736fe886f9b124ad70ec425bc2ec1a8a4135b25436ba",
      "valueRefanged": "0a8cae96e25e85c612b0736fe886f9b124ad70ec425bc2ec1a8a4135b25436ba",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:0a8cae96e25e85c612b0736fe886f9b124ad70ec425bc2ec1a8a4135b25436ba"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "8459ff264a2c81c68a34c4ee6bc109d141ad28b96037d34ff112322a4c853739",
      "valueRefanged": "8459ff264a2c81c68a34c4ee6bc109d141ad28b96037d34ff112322a4c853739",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:8459ff264a2c81c68a34c4ee6bc109d141ad28b96037d34ff112322a4c853739"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "68445a37a9943a267a8b2100fba2678353d6ec88844505ccbba659e586c7a105",
      "valueRefanged": "68445a37a9943a267a8b2100fba2678353d6ec88844505ccbba659e586c7a105",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:68445a37a9943a267a8b2100fba2678353d6ec88844505ccbba659e586c7a105"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "29686c933cec1e274467e2dae264625ae6f754824bb7f550bc9c3131f625562c",
      "valueRefanged": "29686c933cec1e274467e2dae264625ae6f754824bb7f550bc9c3131f625562c",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:29686c933cec1e274467e2dae264625ae6f754824bb7f550bc9c3131f625562c"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "d973ad5a80c3d7468a9c392db4166857ed32b5d61cd6755766ba8922156dada3",
      "valueRefanged": "d973ad5a80c3d7468a9c392db4166857ed32b5d61cd6755766ba8922156dada3",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:d973ad5a80c3d7468a9c392db4166857ed32b5d61cd6755766ba8922156dada3"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "f5a57dfae488d9dfe260b32460a1d947fb5af58ceaf2fb0139bc08b4bb79a966",
      "valueRefanged": "f5a57dfae488d9dfe260b32460a1d947fb5af58ceaf2fb0139bc08b4bb79a966",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:f5a57dfae488d9dfe260b32460a1d947fb5af58ceaf2fb0139bc08b4bb79a966"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "2ebc1b6cf543e2cb3f22d9a5b54b6676bb71dde98df7532f8791297734e44fdd",
      "valueRefanged": "2ebc1b6cf543e2cb3f22d9a5b54b6676bb71dde98df7532f8791297734e44fdd",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:2ebc1b6cf543e2cb3f22d9a5b54b6676bb71dde98df7532f8791297734e44fdd"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "6dbd507ca7cecea861f9cf704b3c5c37f5bd5392886a8c2562088892b7703fa5",
      "valueRefanged": "6dbd507ca7cecea861f9cf704b3c5c37f5bd5392886a8c2562088892b7703fa5",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:6dbd507ca7cecea861f9cf704b3c5c37f5bd5392886a8c2562088892b7703fa5"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "89f0a67bc595ab8bce02c2f95f9292ad06e1868207e809c76bd16f0cab800c06",
      "valueRefanged": "89f0a67bc595ab8bce02c2f95f9292ad06e1868207e809c76bd16f0cab800c06",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:89f0a67bc595ab8bce02c2f95f9292ad06e1868207e809c76bd16f0cab800c06"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "d81201d0fc19977e51104438a5b9cba861f4da20cea3ae9183edf16ab11d98f8",
      "valueRefanged": "d81201d0fc19977e51104438a5b9cba861f4da20cea3ae9183edf16ab11d98f8",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:d81201d0fc19977e51104438a5b9cba861f4da20cea3ae9183edf16ab11d98f8"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "9d52cb4febf3342c34dcc8198dcaf453458be3699ab47dc08616aa7f18daa7fa",
      "valueRefanged": "9d52cb4febf3342c34dcc8198dcaf453458be3699ab47dc08616aa7f18daa7fa",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:9d52cb4febf3342c34dcc8198dcaf453458be3699ab47dc08616aa7f18daa7fa"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "9a927c37a31b80975c5c5467f112b61478c9493c046281046443525358a5acb0",
      "valueRefanged": "9a927c37a31b80975c5c5467f112b61478c9493c046281046443525358a5acb0",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:9a927c37a31b80975c5c5467f112b61478c9493c046281046443525358a5acb0"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "6cda1e81667f869940401f05a55c8dea94dbdf3ceffb93b5f320a6462cfea44d",
      "valueRefanged": "6cda1e81667f869940401f05a55c8dea94dbdf3ceffb93b5f320a6462cfea44d",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:6cda1e81667f869940401f05a55c8dea94dbdf3ceffb93b5f320a6462cfea44d"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "745538dea8ed9aec4466e67a9d0aecf9e7026ff16a792d1d6f306e8b67d3f34c",
      "valueRefanged": "745538dea8ed9aec4466e67a9d0aecf9e7026ff16a792d1d6f306e8b67d3f34c",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:745538dea8ed9aec4466e67a9d0aecf9e7026ff16a792d1d6f306e8b67d3f34c"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "13acadb3541e75af50e02d5be56c2238b93d8f154ce5514be1558e6ee59a1432",
      "valueRefanged": "13acadb3541e75af50e02d5be56c2238b93d8f154ce5514be1558e6ee59a1432",
      "description": "DOGLEASH sample",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:13acadb3541e75af50e02d5be56c2238b93d8f154ce5514be1558e6ee59a1432"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "c2ab9adaba93ff094b8f3fc37d906014d870582039d276b7bd03e6fd583d8a15",
      "valueRefanged": "c2ab9adaba93ff094b8f3fc37d906014d870582039d276b7bd03e6fd583d8a15",
      "description": "TLS certificate fingerprint (port 99)",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "sha-256:c2ab9adaba93ff094b8f3fc37d906014d870582039d276b7bd03e6fd583d8a15"
    },
    {
      "type": "Mutex",
      "category": "hunt-only",
      "valueDefanged": "Global\\kkctsbnn",
      "valueRefanged": "Global\\kkctsbnn",
      "description": "named event ตัวป้องกัน single-instance",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "mutex:global\\kkctsbnn"
    },
    {
      "type": "Mutex",
      "category": "hunt-only",
      "valueDefanged": "Global\\ShitSetupOn26126k",
      "valueRefanged": "Global\\ShitSetupOn26126k",
      "description": "named event ช่วงติดตั้ง",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "mutex:global\\shitsetupon26126k"
    },
    {
      "type": "Mutex",
      "category": "hunt-only",
      "valueDefanged": "5sGEm6Q4eTNv",
      "valueRefanged": "5sGEm6Q4eTNv",
      "description": "mutex ของ AsyncRAT",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "mutex:5sgem6q4etnv"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "118.107.0[.]197",
      "valueRefanged": "118.107.0.197",
      "description": "โครงสร้างพื้นฐานแคมเปญ",
      "firstSeen": "2026-07-06",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีนปลอมโปรแกรมยื่นภาษีของอินเดีย ปล่อย DcRAT ใน Operation DragonReturn",
          "url": "/posts/2026/07/071/",
          "date": "2026-07-06"
        },
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "ip address:118.107.0.197"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "198[.]245[.]53[.]26",
      "valueRefanged": "198.245.53.26",
      "description": "เซิร์ฟเวอร์ staging โฮสต์เครื่องสร้าง payload และสคริปต์ obfuscation",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "ip address:198.245.53.26"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "149[.]56[.]12[.]51",
      "valueRefanged": "149.56.12.51",
      "description": "IP C2 สำรองที่ใช้ร่วมกันทั้งเวอร์ชันเก่าและใหม่",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "ip address:149.56.12.51"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "104[.]21[.]39[.]172",
      "valueRefanged": "104.21.39.172",
      "description": "Cloudflare edge IP ที่ resolve ให้โดเมน WebSocket C2 ของเวอร์ชันใหม่",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "ip address:104.21.39.172"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "67[.]142[.]55",
      "valueRefanged": "67.142.55",
      "description": "Cloudflare edge IP ที่ resolve ให้โดเมน WebSocket C2 ของเวอร์ชันใหม่",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "ip address:67.142.55"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "194.233.92[.]26",
      "valueRefanged": "194.233.92.26",
      "description": "เซิร์ฟเวอร์ VPS โฮสต์ payload + TLS พอร์ต 99",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "ip address:194.233.92.26"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "217.15.160[.]247",
      "valueRefanged": "217.15.160.247",
      "description": "เซิร์ฟเวอร์ VPS โฮสต์ payload",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "ip address:217.15.160.247"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "217.15.164[.]147",
      "valueRefanged": "217.15.164.147",
      "description": "เซิร์ฟเวอร์ VPS + ใช้โจมตี ASUS AiCloud (CVE-2025-2492) + TLS พอร์ต 99",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "ip address:217.15.164.147"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "95.182.100[.]231",
      "valueRefanged": "95.182.100.231",
      "description": "เซิร์ฟเวอร์ในฮ่องกง โฮสต์ payload",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย",
          "url": "/posts/2026/07/089/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "ip address:95.182.100.231"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "Fatura-BtgPactual-22568.bat",
      "valueRefanged": "Fatura-BtgPactual-22568.bat",
      "description": "ไฟล์ตัวอย่างเริ่มต้นของเวอร์ชันเก่า (SHA256: BC4C29BC0C84EA18311FBADC508F6F3A9D84B54AAB34D6B42F56C0C)",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:fatura-btgpactual-22568.bat"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "st.php.malw",
      "valueRefanged": "st.php.malw",
      "description": "stager ขั้นที่ 2 ของเวอร์ชันใหม่ (SHA256: E9D918FF5F7918CFF1A3A23F3945058A66B56D6DDC7E1CAB95E166D)",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:st.php.malw"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "payload_new.php.malw",
      "valueRefanged": "payload_new.php.malw",
      "description": "PowerShell payload เต็มของเวอร์ชันใหม่ (SHA256: D828949ADE683CF3AC6D4260F946CA33EF8610350EE79EC75DD243B2)",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:payload_new.php.malw"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "c9dba5b0552d879be654.txt",
      "valueRefanged": "c9dba5b0552d879be654.txt",
      "description": "payload รันไทม์ที่ดึงจากเครื่องเหยื่อ ตรงกับ hash ของ payload_new.php.malw",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:c9dba5b0552d879be654.txt"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "c9dba5b0552d.vbs",
      "valueRefanged": "c9dba5b0552d.vbs",
      "description": "สคริปต์ตัวเรียก VBS ที่เขียนลง ProgramData เพื่อ persistence ของเวอร์ชันใหม่",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:c9dba5b0552d.vbs"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "MicrosoftEdgeUpdateCore.exe",
      "valueRefanged": "MicrosoftEdgeUpdateCore.exe",
      "description": "ไฟล์รันชื่อเฉพาะที่ใช้ทำ persistence ในเวอร์ชันเก่า",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:microsoftedgeupdatecore.exe"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "Common_Offline_Utility_ITR-1_to_4_AY2026-27.zip",
      "valueRefanged": "Common_Offline_Utility_ITR-1_to_4_AY2026-27.zip",
      "description": "ไฟล์อันตรายเริ่มต้นที่ส่งผ่านพอร์ทัลภาษีปลอม",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:common_offline_utility_itr-1_to_4_ay2026-27.zip"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "COU_ITR-1_to_4_AY2026-27.exe",
      "valueRefanged": "COU_ITR-1_to_4_AY2026-27.exe",
      "description": "ไบนารีเซ็นชื่อของแท้ที่ถูกใช้เป็นตัวเรียก sideload",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:cou_itr-1_to_4_ay2026-27.exe"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "nvdaHelperRemote.dll",
      "valueRefanged": "nvdaHelperRemote.dll",
      "description": "DLL อันตรายที่ถูก sideload ผ่าน DLL search-order hijack",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:nvdahelperremote.dll"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "Mixed Reality.exe",
      "valueRefanged": "Mixed Reality.exe",
      "description": "ไบนารีที่คัดลอกมาใช้ sideload DLL ขั้นถัดไป",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:mixed reality.exe"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "background.jpg",
      "valueRefanged": "background.jpg",
      "description": "ไฟล์ polyglot ที่ซ่อน payload เข้ารหัสหลายชุด",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:background.jpg"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "c:\\debug.txt",
      "valueRefanged": "c:\\debug.txt",
      "description": "ล็อกดีบักที่ซ่อนไว้ เขียนโดยตัวฉีดโค้ด",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:c:\\debug.txt"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "c:\\kkooPPP",
      "valueRefanged": "c:\\kkooPPP",
      "description": "ไฟล์ล็อก single-instance ของ Gh0st RAT รุ่นดัดแปลง",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:c:\\kkooppp"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "c:\\ouewo",
      "valueRefanged": "c:\\ouewo",
      "description": "ไฟล์ล็อก single-instance ของตัวโหลด AsyncRAT",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:c:\\ouewo"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "c:\\kkqqexit",
      "valueRefanged": "c:\\kkqqexit",
      "description": "ไฟล์ kill ใช้เป็นสัญญาณสั่งปิด",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "file name:c:\\kkqqexit"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "dropbox[.]com",
      "valueRefanged": "dropbox.com",
      "description": "ติดต่อระหว่างตรวจสอบการเชื่อมต่อเครือข่ายขั้นแรก",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "APT-C-20 (APT28) ซ่อนเชลล์โค้ดในภาพ PNG ปล่อยแบ็กดอร์ C# แบบไร้ไฟล์",
          "url": "/posts/2026/07/100/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "domain:dropbox.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "gateway.filen[.]io",
      "valueRefanged": "gateway.filen.io",
      "description": "โหนดเกตเวย์ C2 สำหรับการสื่อสารผ่าน Filen.io",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "APT-C-20 (APT28) ซ่อนเชลล์โค้ดในภาพ PNG ปล่อยแบ็กดอร์ C# แบบไร้ไฟล์",
          "url": "/posts/2026/07/100/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "domain:gateway.filen.io"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "gateway.filen[.]net",
      "valueRefanged": "gateway.filen.net",
      "description": "โหนดเกตเวย์ C2 สำรองสำหรับการสื่อสารผ่าน Filen.io",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "APT-C-20 (APT28) ซ่อนเชลล์โค้ดในภาพ PNG ปล่อยแบ็กดอร์ C# แบบไร้ไฟล์",
          "url": "/posts/2026/07/100/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "domain:gateway.filen.net"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "c.windowns-cdn[.]com",
      "valueRefanged": "c.windowns-cdn.com",
      "description": "โดเมน C2 ปลอมเลียน Microsoft ที่ใช้ในเวอร์ชันเก่า",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "domain:c.windowns-cdn.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "testewin[.]com",
      "valueRefanged": "testewin.com",
      "description": "โดเมนหลักสำหรับ subdomain WebSocket C2 แบบแฮชของเวอร์ชันใหม่",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "domain:testewin.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "52facc3b24f8bad9c5c56819e385f3a1.testewin[.]com",
      "valueRefanged": "52facc3b24f8bad9c5c56819e385f3a1.testewin.com",
      "description": "subdomain C2 ที่สร้างจากค่าแฮชของเครื่องเหยื่อในเวอร์ชันใหม่",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "domain:52facc3b24f8bad9c5c56819e385f3a1.testewin.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "cdn.testewin[.]com",
      "valueRefanged": "cdn.testewin.com",
      "description": "โดเมนสำรองที่ฝังใน payload ของเวอร์ชันใหม่",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist",
          "url": "/posts/2026/07/094/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "domain:cdn.testewin.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "import[.]mom",
      "valueRefanged": "import.mom",
      "description": "โดเมนโฮสต์เหยื่อล่อ (path /incometax)",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "domain:import.mom"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "tqkat[.]rest",
      "valueRefanged": "tqkat.rest",
      "description": "โดเมนโฮสต์เหยื่อล่อ (path /incometax)",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "domain:tqkat.rest"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "generate[.]lat",
      "valueRefanged": "generate.lat",
      "description": "โดเมนโฮสต์เหยื่อล่อ (path /incometax)",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "domain:generate.lat"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "meoou[.]rest",
      "valueRefanged": "meoou.rest",
      "description": "โดเมนโฮสต์เหยื่อล่อ (path /incometax)",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "domain:meoou.rest"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "kattp[.]homes",
      "valueRefanged": "kattp.homes",
      "description": "โดเมนโฮสต์เหยื่อล่อ (path /incometax)",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "domain:kattp.homes"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "kkxqbh[.]top",
      "valueRefanged": "kkxqbh.top",
      "description": "C2 ของ Gh0st RAT รุ่นดัดแปลง (พอร์ต 6666)",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "domain:kkxqbh.top"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "ouewop[.]com",
      "valueRefanged": "ouewop.com",
      "description": "C2 ของตระกูล AsyncRAT (พอร์ต 6351)",
      "firstSeen": "2026-07-08",
      "lastSeen": "2026-07-08",
      "sources": [
        {
          "title": "หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น",
          "url": "/posts/2026/07/096/",
          "date": "2026-07-08"
        }
      ],
      "tags": [],
      "id": "domain:ouewop.com"
    },
    {
      "type": "ไฟล์ภาพพื้นหลัง",
      "category": "hunt-only",
      "valueDefanged": "%TEMP%\\gentlemen.bmp",
      "valueRefanged": "%TEMP%\\gentlemen.bmp",
      "description": "ตั้งเป็น wallpaper หลังเข้ารหัส",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "The Gentlemen แรนซัมแวร์มาแรง — เฟรมเวิร์ก GentleKiller ปิด EDR/AV กว่า 400 โปรเซส ทะยานโจมตี 500+ เหยื่อทั่วโลก",
          "url": "/posts/2026/07/085/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ไฟล์ภาพพื้นหลัง:%temp%\\gentlemen.bmp"
    },
    {
      "type": "ไดเรกทอรีจัดเตรียม",
      "category": "hunt-only",
      "valueDefanged": "GentlemenCollection",
      "valueRefanged": "GentlemenCollection",
      "description": "ที่วางชุดเครื่องมือ GentleKiller",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "The Gentlemen แรนซัมแวร์มาแรง — เฟรมเวิร์ก GentleKiller ปิด EDR/AV กว่า 400 โปรเซส ทะยานโจมตี 500+ เหยื่อทั่วโลก",
          "url": "/posts/2026/07/085/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ไดเรกทอรีจัดเตรียม:gentlemencollection"
    },
    {
      "type": "โน้ตเรียกค่าไถ่",
      "category": "hunt-only",
      "valueDefanged": "README-GENTLEMEN.txt",
      "valueRefanged": "README-GENTLEMEN.txt",
      "description": "วางในทุกไดเรกทอรีที่ถูกโจมตี",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "The Gentlemen แรนซัมแวร์มาแรง — เฟรมเวิร์ก GentleKiller ปิด EDR/AV กว่า 400 โปรเซส ทะยานโจมตี 500+ เหยื่อทั่วโลก",
          "url": "/posts/2026/07/085/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "โน้ตเรียกค่าไถ่:readme-gentlemen.txt"
    },
    {
      "type": "แบรนด์ credential",
      "category": "hunt-only",
      "valueDefanged": "gentlemen25`, `Gentlemen25`, `gentle26",
      "valueRefanged": "gentlemen25`, `Gentlemen25`, `gentle26",
      "description": "ปรากฏในข้อมูลที่รั่ว",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "The Gentlemen แรนซัมแวร์มาแรง — เฟรมเวิร์ก GentleKiller ปิด EDR/AV กว่า 400 โปรเซส ทะยานโจมตี 500+ เหยื่อทั่วโลก",
          "url": "/posts/2026/07/085/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "แบรนด์ credential:gentlemen25`, `gentlemen25`, `gentle26"
    },
    {
      "type": "เทคนิค (Initial access)",
      "category": "hunt-only",
      "valueDefanged": "SysAid update feature",
      "valueRefanged": "SysAid update feature",
      "description": "ฉวยใช้ฟีเจอร์อัปเดตของ SysAid เพื่อวางไฟล์อันตราย + DLL side-loading",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "เทคนิค (initial access):sysaid update feature"
    },
    {
      "type": "เซิร์ฟเวอร์ C&C ของ VShell",
      "category": "hunt-only",
      "valueDefanged": "45.86.229[.]111",
      "valueRefanged": "45.86.229[.]111",
      "description": "มิ.ย. 2569",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "แฮ็กเกอร์คาดเชื่อมโยงจีน UNK_MassTraction เจาะ Roundcube โจมตีมหาวิทยาลัย — เปิดอีเมลก็ติด ขโมย credential ผ่าน IceCube",
          "url": "/posts/2026/07/091/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "เซิร์ฟเวอร์ c&c ของ vshell:45.86.229[.]111"
    },
    {
      "type": "เครื่องมือ C2/พร็อกซี",
      "category": "hunt-only",
      "valueDefanged": "Velociraptor, ZeroPulse, SystemBC, Cloudflare tunnel, AnyDesk",
      "valueRefanged": "Velociraptor, ZeroPulse, SystemBC, Cloudflare tunnel, AnyDesk",
      "description": "ช่องทางควบคุมและคงการเข้าถึง",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "The Gentlemen แรนซัมแวร์มาแรง — เฟรมเวิร์ก GentleKiller ปิด EDR/AV กว่า 400 โปรเซส ทะยานโจมตี 500+ เหยื่อทั่วโลก",
          "url": "/posts/2026/07/085/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "เครื่องมือ c2/พร็อกซี:velociraptor, zeropulse, systembc, cloudflare tunnel, anydesk"
    },
    {
      "type": "อีเมลผู้ส่งที่ถูกยึด",
      "category": "hunt-only",
      "valueDefanged": "jpcontreras@newfield[.]cl",
      "valueRefanged": "jpcontreras@newfield[.]cl",
      "description": "พ.ค. 2569",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "แฮ็กเกอร์คาดเชื่อมโยงจีน UNK_MassTraction เจาะ Roundcube โจมตีมหาวิทยาลัย — เปิดอีเมลก็ติด ขโมย credential ผ่าน IceCube",
          "url": "/posts/2026/07/091/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "อีเมลผู้ส่งที่ถูกยึด:jpcontreras@newfield[.]cl"
    },
    {
      "type": "มัลแวร์ IceCube stealer",
      "category": "hunt-only",
      "valueDefanged": "a02f124c5ce4180bd130a62ee03262f399c33491de3aed36e0b15155ae4926c0",
      "valueRefanged": "a02f124c5ce4180bd130a62ee03262f399c33491de3aed36e0b15155ae4926c0",
      "description": "มิ.ย. 2569",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "แฮ็กเกอร์คาดเชื่อมโยงจีน UNK_MassTraction เจาะ Roundcube โจมตีมหาวิทยาลัย — เปิดอีเมลก็ติด ขโมย credential ผ่าน IceCube",
          "url": "/posts/2026/07/091/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "มัลแวร์ icecube stealer:a02f124c5ce4180bd130a62ee03262f399c33491de3aed36e0b15155ae4926c0"
    },
    {
      "type": "ปล่อยและ C&C ของแบ็กดอร์ IceCube",
      "category": "hunt-only",
      "valueDefanged": "45.150.109[.]151",
      "valueRefanged": "45.150.109[.]151",
      "description": "พ.ค. 2569",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "แฮ็กเกอร์คาดเชื่อมโยงจีน UNK_MassTraction เจาะ Roundcube โจมตีมหาวิทยาลัย — เปิดอีเมลก็ติด ขโมย credential ผ่าน IceCube",
          "url": "/posts/2026/07/091/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ปล่อยและ c&c ของแบ็กดอร์ icecube:45.150.109[.]151"
    },
    {
      "type": "ปล่อยและ C&C ของแบ็กดอร์ IceCube",
      "category": "hunt-only",
      "valueDefanged": "194.213.18[.]133",
      "valueRefanged": "194.213.18[.]133",
      "description": "มิ.ย. 2569",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "แฮ็กเกอร์คาดเชื่อมโยงจีน UNK_MassTraction เจาะ Roundcube โจมตีมหาวิทยาลัย — เปิดอีเมลก็ติด ขโมย credential ผ่าน IceCube",
          "url": "/posts/2026/07/091/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ปล่อยและ c&c ของแบ็กดอร์ icecube:194.213.18[.]133"
    },
    {
      "type": "ปล่อย/C&C ของ IceCube",
      "category": "hunt-only",
      "valueDefanged": "hxxps://45.150.109[.]151.sslip.io:23088/app/js/jquery.min.js",
      "valueRefanged": "hxxps://45.150.109[.]151.sslip.io:23088/app/js/jquery.min.js",
      "description": "พ.ค. 2569",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "แฮ็กเกอร์คาดเชื่อมโยงจีน UNK_MassTraction เจาะ Roundcube โจมตีมหาวิทยาลัย — เปิดอีเมลก็ติด ขโมย credential ผ่าน IceCube",
          "url": "/posts/2026/07/091/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ปล่อย/c&c ของ icecube:hxxps://45.150.109[.]151.sslip.io:23088/app/js/jquery.min.js"
    },
    {
      "type": "ปล่อย/C&C ของ IceCube",
      "category": "hunt-only",
      "valueDefanged": "hxxps://194.213.18[.]133.sslip.io:23088/app/js/jquery.min.js",
      "valueRefanged": "hxxps://194.213.18[.]133.sslip.io:23088/app/js/jquery.min.js",
      "description": "มิ.ย. 2569",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "แฮ็กเกอร์คาดเชื่อมโยงจีน UNK_MassTraction เจาะ Roundcube โจมตีมหาวิทยาลัย — เปิดอีเมลก็ติด ขโมย credential ผ่าน IceCube",
          "url": "/posts/2026/07/091/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ปล่อย/c&c ของ icecube:hxxps://194.213.18[.]133.sslip.io:23088/app/js/jquery.min.js"
    },
    {
      "type": "ปล่อย/C&C ของ IceCube",
      "category": "hunt-only",
      "valueDefanged": "hxxps://45.150.109[.]151.sslip.io:23088",
      "valueRefanged": "hxxps://45.150.109[.]151.sslip.io:23088",
      "description": "พ.ค. 2569",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "แฮ็กเกอร์คาดเชื่อมโยงจีน UNK_MassTraction เจาะ Roundcube โจมตีมหาวิทยาลัย — เปิดอีเมลก็ติด ขโมย credential ผ่าน IceCube",
          "url": "/posts/2026/07/091/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ปล่อย/c&c ของ icecube:hxxps://45.150.109[.]151.sslip.io:23088"
    },
    {
      "type": "ปล่อย/C&C ของ IceCube",
      "category": "hunt-only",
      "valueDefanged": "hxxps://194.213.18[.]133.sslip.io:23088",
      "valueRefanged": "hxxps://194.213.18[.]133.sslip.io:23088",
      "description": "มิ.ย. 2569",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "แฮ็กเกอร์คาดเชื่อมโยงจีน UNK_MassTraction เจาะ Roundcube โจมตีมหาวิทยาลัย — เปิดอีเมลก็ติด ขโมย credential ผ่าน IceCube",
          "url": "/posts/2026/07/091/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ปล่อย/c&c ของ icecube:hxxps://194.213.18[.]133.sslip.io:23088"
    },
    {
      "type": "นามสกุลไฟล์เข้ารหัส",
      "category": "hunt-only",
      "valueDefanged": ".umc16h`, `.7mtzhh",
      "valueRefanged": ".umc16h`, `.7mtzhh",
      "description": "นามสกุลที่ต่อท้ายไฟล์หลังถูกเข้ารหัส",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "The Gentlemen แรนซัมแวร์มาแรง — เฟรมเวิร์ก GentleKiller ปิด EDR/AV กว่า 400 โปรเซส ทะยานโจมตี 500+ เหยื่อทั่วโลก",
          "url": "/posts/2026/07/085/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "นามสกุลไฟล์เข้ารหัส:.umc16h`, `.7mtzhh"
    },
    {
      "type": "ช่องโหว่",
      "category": "hunt-only",
      "valueDefanged": "CVE-2025-52691",
      "valueRefanged": "CVE-2025-52691",
      "description": "SmarterMail RCE (MuddyWater ใช้สอดแนม)",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ช่องโหว่:cve-2025-52691"
    },
    {
      "type": "ช่องโหว่",
      "category": "hunt-only",
      "valueDefanged": "CVE-2025-68613",
      "valueRefanged": "CVE-2025-68613",
      "description": "n8n RCE",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ช่องโหว่:cve-2025-68613"
    },
    {
      "type": "ช่องโหว่",
      "category": "hunt-only",
      "valueDefanged": "CVE-2025-9316",
      "valueRefanged": "CVE-2025-9316",
      "description": "N-Central unauthenticated sessionID generation",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ช่องโหว่:cve-2025-9316"
    },
    {
      "type": "ช่องโหว่",
      "category": "hunt-only",
      "valueDefanged": "CVE-2025-34291",
      "valueRefanged": "CVE-2025-34291",
      "description": "Langflow RCE",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ช่องโหว่:cve-2025-34291"
    },
    {
      "type": "ช่องโหว่",
      "category": "hunt-only",
      "valueDefanged": "CVE-2025-54068",
      "valueRefanged": "CVE-2025-54068",
      "description": "Laravel Livewire RCE",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ช่องโหว่:cve-2025-54068"
    },
    {
      "type": "ccf218189c3aadb1c761da14bfda3bae686769031e1e1b10007648bd72e34748",
      "category": "hunt-only",
      "valueDefanged": "HTTP module รุ่นเก่า",
      "valueRefanged": "HTTP module รุ่นเก่า",
      "description": "CAV3RN_Http_Module",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ccf218189c3aadb1c761da14bfda3bae686769031e1e1b10007648bd72e34748:http module รุ่นเก่า"
    },
    {
      "type": "cbc9485db715e1b8cc384fe94b4cceadca4006cda8a5e28adc8848529cfafc93",
      "category": "hunt-only",
      "valueDefanged": "เอเจนต์รุ่นเก่า (บิลด์ non-modular)",
      "valueRefanged": "เอเจนต์รุ่นเก่า (บิลด์ non-modular)",
      "description": "Cav3rn",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "cbc9485db715e1b8cc384fe94b4cceadca4006cda8a5e28adc8848529cfafc93:เอเจนต์รุ่นเก่า (บิลด์ non-modular)"
    },
    {
      "type": "b630c96d3763182533d4fb9b614134382bd644cb02c6c1c3ade848b6ecc31e86",
      "category": "hunt-only",
      "valueDefanged": "โมดูลสื่อสาร",
      "valueRefanged": "โมดูลสื่อสาร",
      "description": "n-HTCommp.dll",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "b630c96d3763182533d4fb9b614134382bd644cb02c6c1c3ade848b6ecc31e86:โมดูลสื่อสาร"
    },
    {
      "type": "a4aa217def4c38f4ecacdf47b1cd687f60cc74c18ab75195be3c4357a790bf41",
      "category": "hunt-only",
      "valueDefanged": "โมดูลสื่อสาร",
      "valueRefanged": "โมดูลสื่อสาร",
      "description": "n-HTCommp.dll",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "a4aa217def4c38f4ecacdf47b1cd687f60cc74c18ab75195be3c4357a790bf41:โมดูลสื่อสาร"
    },
    {
      "type": "Webshell (ASP.NET handler)",
      "category": "hunt-only",
      "valueDefanged": "cac.aspx",
      "valueRefanged": "cac.aspx",
      "description": "CAV3RN_Http_Module — handler สไตล์เว็บเชลล์บนเซิร์ฟเวอร์ IIS ใช้เป็นปลายทาง C2",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "webshell (asp.net handler):cac.aspx"
    },
    {
      "type": "URL ปล่อย VShell",
      "category": "hunt-only",
      "valueDefanged": "hxxp://45.86.229[.]111/slw:8080",
      "valueRefanged": "hxxp://45.86.229[.]111/slw:8080",
      "description": "มิ.ย. 2569",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "แฮ็กเกอร์คาดเชื่อมโยงจีน UNK_MassTraction เจาะ Roundcube โจมตีมหาวิทยาลัย — เปิดอีเมลก็ติด ขโมย credential ผ่าน IceCube",
          "url": "/posts/2026/07/091/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "url ปล่อย vshell:hxxp://45.86.229[.]111/slw:8080"
    },
    {
      "type": "TTP (anti-forensics)",
      "category": "hunt-only",
      "valueDefanged": "Per-module AppDomain isolation",
      "valueRefanged": "Per-module AppDomain isolation",
      "description": "แยก AppDomain ต่อโมดูลเพื่อกันการกู้คืนความสามารถทั้งหมดจากโฮสต์ที่ถูกเจาะเพียงเครื่องเดียว",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ttp (anti-forensics):per-module appdomain isolation"
    },
    {
      "type": "TTP",
      "category": "hunt-only",
      "valueDefanged": "XOR + Base64 obfuscation",
      "valueRefanged": "XOR + Base64 obfuscation",
      "description": "ปิดบังทราฟฟิก C2 ด้วย XOR ร่วมกับการเข้ารหัส Base64 และชุดคำสั่ง (verb) ตายตัวต่อ backdoor",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ttp:xor + base64 obfuscation"
    },
    {
      "type": "TTP",
      "category": "hunt-only",
      "valueDefanged": "Victim-side C2 proxy",
      "valueRefanged": "Victim-side C2 proxy",
      "description": "ใช้โครงสร้างพื้นฐานฝั่งเหยื่อเป็นตัวส่งต่อ (proxy) ทราฟฟิก C2",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "ttp:victim-side c2 proxy"
    },
    {
      "type": "Scheduled task",
      "category": "hunt-only",
      "valueDefanged": "UpdateSystem`, `UpdateUser`, `gentlemen_system`, `DefU`, `UpdateGU",
      "valueRefanged": "UpdateSystem`, `UpdateUser`, `gentlemen_system`, `DefU`, `UpdateGU",
      "description": "สร้างเพื่อคงอยู่และรันเป็น SYSTEM",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "The Gentlemen แรนซัมแวร์มาแรง — เฟรมเวิร์ก GentleKiller ปิด EDR/AV กว่า 400 โปรเซส ทะยานโจมตี 500+ เหยื่อทั่วโลก",
          "url": "/posts/2026/07/085/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "scheduled task:updatesystem`, `updateuser`, `gentlemen_system`, `defu`, `updategu"
    },
    {
      "type": "Registry Run key",
      "category": "hunt-only",
      "valueDefanged": "`GupdateS` (HKLM), `GupdateU` (HKCU)",
      "valueRefanged": "`GupdateS` (HKLM), `GupdateU` (HKCU)",
      "description": "กลไก persistence",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "The Gentlemen แรนซัมแวร์มาแรง — เฟรมเวิร์ก GentleKiller ปิด EDR/AV กว่า 400 โปรเซส ทะยานโจมตี 500+ เหยื่อทั่วโลก",
          "url": "/posts/2026/07/085/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "registry run key:`gupdates` (hklm), `gupdateu` (hkcu)"
    },
    {
      "type": "Domain (parent)",
      "category": "hunt-only",
      "valueDefanged": "hospitalinstallation[.]com",
      "valueRefanged": "hospitalinstallation[.]com",
      "description": "โดเมนรากของแคมเปญ — WHOIS พบว่าจดทะเบียนผ่าน Fars Data ผู้ให้บริการโฮสต์สัญชาติอิหร่าน",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "domain (parent):hospitalinstallation[.]com"
    },
    {
      "type": "Domain (C2)",
      "category": "hunt-only",
      "valueDefanged": "auth[.]hospitalinstallation[.]com",
      "valueRefanged": "auth[.]hospitalinstallation[.]com",
      "description": "C2 ของเอเจนต์รุ่นเก่า",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "domain (c2):auth[.]hospitalinstallation[.]com"
    },
    {
      "type": "Domain (C2)",
      "category": "hunt-only",
      "valueDefanged": "google[.]com[.]hospitalinstallation[.]com",
      "valueRefanged": "google[.]com[.]hospitalinstallation[.]com",
      "description": "C2 ของเอเจนต์รุ่นใหม่",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "domain (c2):google[.]com[.]hospitalinstallation[.]com"
    },
    {
      "type": "Domain (C2)",
      "category": "hunt-only",
      "valueDefanged": "adserviceupdate[.]com",
      "valueRefanged": "adserviceupdate[.]com",
      "description": "C2 ที่ HTTP module รุ่นเก่า (Cav3rn) เรียกใช้ — `https://adserviceupdate[.]com/cac.aspx`",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "domain (c2):adserviceupdate[.]com"
    },
    {
      "type": "Domain (C2)",
      "category": "hunt-only",
      "valueDefanged": "hygienehistory[.]com",
      "valueRefanged": "hygienehistory[.]com",
      "description": "C2 ที่ HTTP module รุ่นเก่า (Cav3rn) เรียกใช้ — `https://hygienehistory[.]com/cac.aspx`",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "domain (c2):hygienehistory[.]com"
    },
    {
      "type": "92cae0ad7f98f51a14bcc0ee05e372ebdc29ea96ea7bd161bd3f55198767603b",
      "category": "hunt-only",
      "valueDefanged": "Cavern Agent (build 04)",
      "valueRefanged": "Cavern Agent (build 04)",
      "description": "uxtheme.dll",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "92cae0ad7f98f51a14bcc0ee05e372ebdc29ea96ea7bd161bd3f55198767603b:cavern agent (build 04)"
    },
    {
      "type": "8e9425c0b46eeb516610ae913d13f2b3f44a023043cb099277031d4ec38a6134",
      "category": "hunt-only",
      "valueDefanged": "โมดูลจัดการไฟล์",
      "valueRefanged": "โมดูลจัดการไฟล์",
      "description": "mhm.dll",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "8e9425c0b46eeb516610ae913d13f2b3f44a023043cb099277031d4ec38a6134:โมดูลจัดการไฟล์"
    },
    {
      "type": "7d586fb7f94182a8e2a0e53c7e4deb898066da029da5cd9972a94a59ca6d255a",
      "category": "hunt-only",
      "valueDefanged": "โมดูล SOCKS5 / WebSocket tunnel",
      "valueRefanged": "โมดูล SOCKS5 / WebSocket tunnel",
      "description": "n-sws.dll",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "7d586fb7f94182a8e2a0e53c7e4deb898066da029da5cd9972a94a59ca6d255a:โมดูล socks5 / websocket tunnel"
    },
    {
      "type": "5dc08bda6919a57a85e5f38b857985fa71529ca39c8299868d5a49a987e19b18",
      "category": "hunt-only",
      "valueDefanged": "Cavern Agent (รุ่นเก่าสุด)",
      "valueRefanged": "Cavern Agent (รุ่นเก่าสุด)",
      "description": "uxtheme.dll",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "5dc08bda6919a57a85e5f38b857985fa71529ca39c8299868d5a49a987e19b18:cavern agent (รุ่นเก่าสุด)"
    },
    {
      "type": "541b1f417b9e42078c3355693a8a492b6a76048850f6549a429e0be99e6819cb",
      "category": "hunt-only",
      "valueDefanged": "เอเจนต์รุ่นเก่า (บิลด์ non-modular)",
      "valueRefanged": "เอเจนต์รุ่นเก่า (บิลด์ non-modular)",
      "description": "Cav3rn",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "541b1f417b9e42078c3355693a8a492b6a76048850f6549a429e0be99e6819cb:เอเจนต์รุ่นเก่า (บิลด์ non-modular)"
    },
    {
      "type": "5394d3b220de4695f731647e3a70545f951a8912ceb0c6585efab8d6842e8b42",
      "category": "hunt-only",
      "valueDefanged": "โมดูลเปิดฐานข้อมูล SQL",
      "valueRefanged": "โมดูลเปิดฐานข้อมูล SQL",
      "description": "db.dll",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "5394d3b220de4695f731647e3a70545f951a8912ceb0c6585efab8d6842e8b42:โมดูลเปิดฐานข้อมูล sql"
    },
    {
      "type": "37e123bd7998af4eae32718ce254776f36365a80ba56952593dab46f536d4066",
      "category": "hunt-only",
      "valueDefanged": "Cavern Agent (build 02)",
      "valueRefanged": "Cavern Agent (build 02)",
      "description": "uxtheme.dll",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "37e123bd7998af4eae32718ce254776f36365a80ba56952593dab46f536d4066:cavern agent (build 02)"
    },
    {
      "type": "30cb4679c4b8599eeb3d63a551716475c6332bdc4d4b4e3de0964aadb3092a10",
      "category": "hunt-only",
      "valueDefanged": "โมดูล LDAP / Active Directory",
      "valueRefanged": "โมดูล LDAP / Active Directory",
      "description": "ode.dll",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "30cb4679c4b8599eeb3d63a551716475c6332bdc4d4b4e3de0964aadb3092a10:โมดูล ldap / active directory"
    },
    {
      "type": "2cb1ad3b22db8e3666ea138fee88034a87a87cf43db3d3265a675ebf221379b0",
      "category": "hunt-only",
      "valueDefanged": "โมดูลสอดแนมเครือข่าย",
      "valueRefanged": "โมดูลสอดแนมเครือข่าย",
      "description": "n-ten.dll",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "2cb1ad3b22db8e3666ea138fee88034a87a87cf43db3d3265a675ebf221379b0:โมดูลสอดแนมเครือข่าย"
    },
    {
      "type": "0a3663648a46771a5a5423ad01e91a4e7ba825595e99fa934cb35cbb4848adc8",
      "category": "hunt-only",
      "valueDefanged": "โมดูลจัดการไฟล์ (variant \"Cav3rn\" รุ่นเก่า)",
      "valueRefanged": "โมดูลจัดการไฟล์ (variant \"Cav3rn\" รุ่นเก่า)",
      "description": "mhm.dll",
      "firstSeen": "2026-07-07",
      "lastSeen": "2026-07-07",
      "sources": [
        {
          "title": "Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล",
          "url": "/posts/2026/07/081/",
          "date": "2026-07-07"
        }
      ],
      "tags": [],
      "id": "0a3663648a46771a5a5423ad01e91a4e7ba825595e99fa934cb35cbb4848adc8:โมดูลจัดการไฟล์ (variant \"cav3rn\" รุ่นเก่า)"
    },
    {
      "type": "โดเมน (C2)",
      "category": "hunt-only",
      "valueDefanged": "kkxqbh[.]top",
      "valueRefanged": "kkxqbh[.]top",
      "description": "เซิร์ฟเวอร์รับข้อมูลที่ถูกดูดออก",
      "firstSeen": "2026-07-06",
      "lastSeen": "2026-07-06",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีนปลอมโปรแกรมยื่นภาษีของอินเดีย ปล่อย DcRAT ใน Operation DragonReturn",
          "url": "/posts/2026/07/071/",
          "date": "2026-07-06"
        }
      ],
      "tags": [],
      "id": "โดเมน (c2):kkxqbh[.]top"
    },
    {
      "type": "โดเมน (C2)",
      "category": "hunt-only",
      "valueDefanged": "kkkkddd[.]com",
      "valueRefanged": "kkkkddd[.]com",
      "description": "โดเมน C2 เพิ่มเติม",
      "firstSeen": "2026-07-06",
      "lastSeen": "2026-07-06",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีนปลอมโปรแกรมยื่นภาษีของอินเดีย ปล่อย DcRAT ใน Operation DragonReturn",
          "url": "/posts/2026/07/071/",
          "date": "2026-07-06"
        }
      ],
      "tags": [],
      "id": "โดเมน (c2):kkkkddd[.]com"
    },
    {
      "type": "โดเมน",
      "category": "hunt-only",
      "valueDefanged": "govtop[.]one/incometax",
      "valueRefanged": "govtop[.]one/incometax",
      "description": "หน้าเว็บปลอมแจกไฟล์ ZIP (โครงสร้างพื้นฐานหลัก)",
      "firstSeen": "2026-07-06",
      "lastSeen": "2026-07-06",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีนปลอมโปรแกรมยื่นภาษีของอินเดีย ปล่อย DcRAT ใน Operation DragonReturn",
          "url": "/posts/2026/07/071/",
          "date": "2026-07-06"
        }
      ],
      "tags": [],
      "id": "โดเมน:govtop[.]one/incometax"
    },
    {
      "type": "Service",
      "category": "hunt-only",
      "valueDefanged": "MixedSvc (Mixed Reality Service)",
      "valueRefanged": "MixedSvc (Mixed Reality Service)",
      "description": "Windows service สร้างความคงทน",
      "firstSeen": "2026-07-06",
      "lastSeen": "2026-07-06",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีนปลอมโปรแกรมยื่นภาษีของอินเดีย ปล่อย DcRAT ใน Operation DragonReturn",
          "url": "/posts/2026/07/071/",
          "date": "2026-07-06"
        }
      ],
      "tags": [],
      "id": "service:mixedsvc (mixed reality service)"
    },
    {
      "type": "SHA-256 Hash",
      "category": "hunt-only",
      "valueDefanged": "520304a1cabdd9aa05c0a769c3874bc3cc2608d8e71ae607ca2bdf96b298b5de",
      "valueRefanged": "520304a1cabdd9aa05c0a769c3874bc3cc2608d8e71ae607ca2bdf96b298b5de",
      "description": "ตัวติดตั้งที่ถูกฝังโทรจัน ใช้เริ่มต้นห่วงโซ่การติดมัลแวร์",
      "firstSeen": "2026-07-06",
      "lastSeen": "2026-07-06",
      "sources": [
        {
          "title": "กลุ่ม SilverFox ปล่อยมัลแวร์ ValleyRAT 8 สเตจ — ผสาน Go RAT, ตัวฆ่า AV และรูตคิตระดับเคอร์เนล",
          "url": "/posts/2026/07/076/",
          "date": "2026-07-06"
        }
      ],
      "tags": [],
      "id": "sha-256 hash:520304a1cabdd9aa05c0a769c3874bc3cc2608d8e71ae607ca2bdf96b298b5de"
    },
    {
      "type": "IP:Port (C2)",
      "category": "hunt-only",
      "valueDefanged": "223.26.63[.]40:2671",
      "valueRefanged": "223.26.63[.]40:2671",
      "description": "เซิร์ฟเวอร์ C2 ของ DcRAT (แผงควบคุมภาษาจีน, TLS)",
      "firstSeen": "2026-07-06",
      "lastSeen": "2026-07-06",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีนปลอมโปรแกรมยื่นภาษีของอินเดีย ปล่อย DcRAT ใน Operation DragonReturn",
          "url": "/posts/2026/07/071/",
          "date": "2026-07-06"
        }
      ],
      "tags": [],
      "id": "ip:port (c2):223.26.63[.]40:2671"
    },
    {
      "type": "IP address (ProtonVPN)",
      "category": "hunt-only",
      "valueDefanged": "159.26.98[.]241",
      "valueRefanged": "159.26.98[.]241",
      "description": "IP ที่เริ่มสำรวจ/สแกนช่องโหว่ CVE-2026-20896 ครั้งแรกในโลกจริง",
      "firstSeen": "2026-07-06",
      "lastSeen": "2026-07-06",
      "sources": [
        {
          "title": "CVE-2026-20896: ผู้โจมตีเริ่มสำรวจช่องโหว่ Gitea Docker หลังเปิดเผย 13 วัน — ปลอมตัวเป็นผู้ใช้คนใดก็ได้โดยไม่ต้องรหัสผ่าน",
          "url": "/posts/2026/07/077/",
          "date": "2026-07-06"
        }
      ],
      "tags": [],
      "id": "ip address (protonvpn):159.26.98[.]241"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "204.194.48[.]250",
      "valueRefanged": "204.194.48.250",
      "description": "เซิร์ฟเวอร์แจกไฟล์ภาพ payload (lllyd.jpg)",
      "firstSeen": "2026-07-06",
      "lastSeen": "2026-07-06",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีนปลอมโปรแกรมยื่นภาษีของอินเดีย ปล่อย DcRAT ใน Operation DragonReturn",
          "url": "/posts/2026/07/071/",
          "date": "2026-07-06"
        }
      ],
      "tags": [],
      "id": "ip address:204.194.48.250"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "27.50.54[.]191",
      "valueRefanged": "27.50.54.191",
      "description": "โครงสร้างพื้นฐานแคมเปญ",
      "firstSeen": "2026-07-06",
      "lastSeen": "2026-07-06",
      "sources": [
        {
          "title": "แฮ็กเกอร์จีนปลอมโปรแกรมยื่นภาษีของอินเดีย ปล่อย DcRAT ใน Operation DragonReturn",
          "url": "/posts/2026/07/071/",
          "date": "2026-07-06"
        }
      ],
      "tags": [],
      "id": "ip address:27.50.54.191"
    },
    {
      "type": "Domain (C2)",
      "category": "hunt-only",
      "valueDefanged": "3w[.]jxuw3[.]com",
      "valueRefanged": "3w[.]jxuw3[.]com",
      "description": "ปลายทางสั่งการและควบคุมผ่าน WebSocket",
      "firstSeen": "2026-07-06",
      "lastSeen": "2026-07-06",
      "sources": [
        {
          "title": "กลุ่ม SilverFox ปล่อยมัลแวร์ ValleyRAT 8 สเตจ — ผสาน Go RAT, ตัวฆ่า AV และรูตคิตระดับเคอร์เนล",
          "url": "/posts/2026/07/076/",
          "date": "2026-07-06"
        }
      ],
      "tags": [],
      "id": "domain (c2):3w[.]jxuw3[.]com"
    },
    {
      "type": "Domain (C2)",
      "category": "hunt-only",
      "valueDefanged": "df[.]sjickdeh[.]org",
      "valueRefanged": "df[.]sjickdeh[.]org",
      "description": "ปลายทางสั่งการและควบคุมผ่าน WebSocket",
      "firstSeen": "2026-07-06",
      "lastSeen": "2026-07-06",
      "sources": [
        {
          "title": "กลุ่ม SilverFox ปล่อยมัลแวร์ ValleyRAT 8 สเตจ — ผสาน Go RAT, ตัวฆ่า AV และรูตคิตระดับเคอร์เนล",
          "url": "/posts/2026/07/076/",
          "date": "2026-07-06"
        }
      ],
      "tags": [],
      "id": "domain (c2):df[.]sjickdeh[.]org"
    },
    {
      "type": "ประเภทไฟล์",
      "category": "hunt-only",
      "valueDefanged": "ไฟล์ .woff2 ปลอม",
      "valueRefanged": "ไฟล์ .woff2 ปลอม",
      "description": "ซ่อน JavaScript loader (ไม่ใช่ไฟล์ฟอนต์จริง)",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ",
          "url": "/posts/2026/07/049/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "ประเภทไฟล์:ไฟล์ .woff2 ปลอม"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "rollup-packages-polyfill-core",
      "valueRefanged": "rollup-packages-polyfill-core",
      "description": "แพ็กเกจปลอม Rollup polyfill — XRAY-1008625",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "npm package:rollup-packages-polyfill-core"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "rollup-runtime-polyfill-core",
      "valueRefanged": "rollup-runtime-polyfill-core",
      "description": "แพ็กเกจปลอม Rollup polyfill — XRAY-1008531",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "npm package:rollup-runtime-polyfill-core"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "swift-parse-stream",
      "valueRefanged": "swift-parse-stream",
      "description": "แพ็กเกจขั้นที่สอง (SVG utility) — XRAY-1005725",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "npm package:swift-parse-stream"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "quirky-token",
      "valueRefanged": "quirky-token",
      "description": "แพ็กเกจขั้นที่สอง — XRAY-1003392",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "npm package:quirky-token"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "rollup-plugin-polyfill-connect",
      "valueRefanged": "rollup-plugin-polyfill-connect",
      "description": "แพ็กเกจขั้นที่สอง — XRAY-973019",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "npm package:rollup-plugin-polyfill-connect"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "react-icon-svgs",
      "valueRefanged": "react-icon-svgs",
      "description": "แพ็กเกจที่ติดตั้ง rollup-plugin-polyfill-connect — XRAY-1011624",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "npm package:react-icon-svgs"
    },
    {
      "type": "Wallet",
      "category": "hunt-only",
      "valueDefanged": "0x691bc3793205e574fa7b4aa068e62c0e470ad267",
      "valueRefanged": "0x691bc3793205e574fa7b4aa068e62c0e470ad267",
      "description": "กระเป๋าเงิน Ethereum ที่ใช้รับเงินค่าไลเซนส์ API ปลอม",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "wallet:0x691bc3793205e574fa7b4aa068e62c0e470ad267"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps[:]//www[.]jsonkeeper[.]com/b/3P9BF",
      "valueRefanged": "https://www.jsonkeeper.com/b/3P9BF",
      "description": "ดึง JSON payload แล้ว eval ฟิลด์ model",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:https://www.jsonkeeper.com/b/3p9bf"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp[:]//216[.]126[.]236[.]244/api/service/98cb54c0b4ac259d30c9c1ca1ae87c68",
      "valueRefanged": "http://216.126.236.244/api/service/98cb54c0b4ac259d30c9c1ca1ae87c68",
      "description": "ดาวน์โหลดเพย์โหลด AES-256-CBC",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:http://216.126.236.244/api/service/98cb54c0b4ac259d30c9c1ca1ae87c68"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp[:]//216[.]126[.]236[.]244/api/service/makelog",
      "valueRefanged": "http://216.126.236.244/api/service/makelog",
      "description": "อัปโหลดคลิปบอร์ด",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:http://216.126.236.244/api/service/makelog"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp[:]//216[.]126[.]236[.]244/api/service/process/",
      "valueRefanged": "http://216.126.236.244/api/service/process/",
      "description": "C2 API",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:http://216.126.236.244/api/service/process/"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp[:]//216[.]126[.]236[.]244:4801",
      "valueRefanged": "http://216.126.236.244:4801",
      "description": "Socket.IO remote access",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:http://216.126.236.244:4801"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp[:]//216[.]126[.]236[.]244:4806/upload",
      "valueRefanged": "http://216.126.236.244:4806/upload",
      "description": "อัปโหลดไฟล์ที่เก็บได้",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:http://216.126.236.244:4806/upload"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp[:]//216[.]126[.]236[.]244:4809/upload",
      "valueRefanged": "http://216.126.236.244:4809/upload",
      "description": "อัปโหลดข้อมูลเบราว์เซอร์/กระเป๋าเงิน",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:http://216.126.236.244:4809/upload"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp[:]//216[.]126[.]236[.]244:4809/cldbs",
      "valueRefanged": "http://216.126.236.244:4809/cldbs",
      "description": "อัปโหลดข้อมูล cloud DB",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:http://216.126.236.244:4809/cldbs"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https://github[.]com/Open-Agent-Utilities/mig-institutional-api-client",
      "valueRefanged": "https://github.com/Open-Agent-Utilities/mig-institutional-api-client",
      "description": "คลัง GitHub ที่เกี่ยวข้อง",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/open-agent-utilities/mig-institutional-api-client"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https://github[.]com/Open-Agent-Utilities/session-token-leak-detector",
      "valueRefanged": "https://github.com/Open-Agent-Utilities/session-token-leak-detector",
      "description": "คลัง GitHub ที่เกี่ยวข้อง",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/open-agent-utilities/session-token-leak-detector"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https://github[.]com/Open-Agent-Utilities/sneaker-drop-monitor-v2",
      "valueRefanged": "https://github.com/Open-Agent-Utilities/sneaker-drop-monitor-v2",
      "description": "คลัง GitHub ที่เกี่ยวข้อง",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/open-agent-utilities/sneaker-drop-monitor-v2"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https://github[.]com/Open-Agent-Utilities/opentable-resy-bypasser",
      "valueRefanged": "https://github.com/Open-Agent-Utilities/opentable-resy-bypasser",
      "description": "คลัง GitHub ที่เกี่ยวข้อง",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/open-agent-utilities/opentable-resy-bypasser"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https://github[.]com/Open-Agent-Utilities/bot-compliance-middleware",
      "valueRefanged": "https://github.com/Open-Agent-Utilities/bot-compliance-middleware",
      "description": "คลัง GitHub ที่เกี่ยวข้อง",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/open-agent-utilities/bot-compliance-middleware"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https://github[.]com/Open-Agent-Utilities/digital-asset-arbitrage-cli",
      "valueRefanged": "https://github.com/Open-Agent-Utilities/digital-asset-arbitrage-cli",
      "description": "คลัง GitHub ที่เกี่ยวข้อง",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/open-agent-utilities/digital-asset-arbitrage-cli"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https://github[.]com/Open-Agent-Utilities/llm-fact-check-protocol",
      "valueRefanged": "https://github.com/Open-Agent-Utilities/llm-fact-check-protocol",
      "description": "คลัง GitHub ที่เกี่ยวข้อง",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/open-agent-utilities/llm-fact-check-protocol"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https://github[.]com/Open-Agent-Utilities/royalty-free-image-scraper",
      "valueRefanged": "https://github.com/Open-Agent-Utilities/royalty-free-image-scraper",
      "description": "คลัง GitHub ที่เกี่ยวข้อง",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/open-agent-utilities/royalty-free-image-scraper"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https://github[.]com/Open-Agent-Utilities/global-visa-automation-cli",
      "valueRefanged": "https://github.com/Open-Agent-Utilities/global-visa-automation-cli",
      "description": "คลัง GitHub ที่เกี่ยวข้อง",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/open-agent-utilities/global-visa-automation-cli"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https://github[.]com/Open-Agent-Utilities/requests-secure-v2",
      "valueRefanged": "https://github.com/Open-Agent-Utilities/requests-secure-v2",
      "description": "คลัง GitHub ที่เกี่ยวข้อง",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/open-agent-utilities/requests-secure-v2"
    },
    {
      "type": "Packagist package",
      "category": "hunt-only",
      "valueDefanged": "7span/react-list",
      "valueRefanged": "7span/react-list",
      "description": "แพ็กเกจที่ได้รับผลกระทบ",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ",
          "url": "/posts/2026/07/049/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "packagist package:7span/react-list"
    },
    {
      "type": "Packagist namespace",
      "category": "hunt-only",
      "valueDefanged": "sevenspan (องค์กร 7span)",
      "valueRefanged": "sevenspan (องค์กร 7span)",
      "description": "เนมสเปซ Packagist ที่ถูกเจาะ",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ",
          "url": "/posts/2026/07/049/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "packagist namespace:sevenspan (องค์กร 7span)"
    },
    {
      "type": "Malware",
      "category": "hunt-only",
      "valueDefanged": "DEV#POPPER",
      "valueRefanged": "DEV#POPPER",
      "description": "เพย์โหลดขั้นสอง — รันคำสั่งระยะไกลและขโมยข้อมูล",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ",
          "url": "/posts/2026/07/049/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "malware:dev#popper"
    },
    {
      "type": "Malware",
      "category": "hunt-only",
      "valueDefanged": "OmniStealer",
      "valueRefanged": "OmniStealer",
      "description": "ขโมยข้อมูลรับรอง ข้อมูลเบราว์เซอร์ และกระเป๋าเงินคริปโต",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ",
          "url": "/posts/2026/07/049/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "malware:omnistealer"
    },
    {
      "type": "Infrastructure",
      "category": "hunt-only",
      "valueDefanged": "TRON / Aptos / BNB Smart Chain (public RPC)",
      "valueRefanged": "TRON / Aptos / BNB Smart Chain (public RPC)",
      "description": "ช่องดึงเพย์โหลดขั้นสองที่เข้ารหัส (ถอดด้วย XOR key แล้ว eval)",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ",
          "url": "/posts/2026/07/049/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "infrastructure:tron / aptos / bnb smart chain (public rpc)"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "216[.]126[.]236[.]244",
      "valueRefanged": "216.126.236.244",
      "description": "โฮสต์ C2 หลัก",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "ip address:216.126.236.244"
    },
    {
      "type": "Go module version",
      "category": "hunt-only",
      "valueDefanged": "github[.]com/Xpos587/git2md v0.0.0-20260503100027-79bdb26ca95d",
      "valueRefanged": "github[.]com/Xpos587/git2md v0.0.0-20260503100027-79bdb26ca95d",
      "description": "เวอร์ชัน Go module อันตรายที่ถูกเผยแพร่",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ",
          "url": "/posts/2026/07/049/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "go module version:github[.]com/xpos587/git2md v0.0.0-20260503100027-79bdb26ca95d"
    },
    {
      "type": "GitHub repo",
      "category": "hunt-only",
      "valueDefanged": "Xpos587/git2md",
      "valueRefanged": "Xpos587/git2md",
      "description": "Go module ที่ถูกฝัง loader",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ",
          "url": "/posts/2026/07/049/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "github repo:xpos587/git2md"
    },
    {
      "type": "GitHub repo",
      "category": "hunt-only",
      "valueDefanged": "Xpos587/markfetch",
      "valueRefanged": "Xpos587/markfetch",
      "description": "ใช้ลูกเล่นไฟล์ฟอนต์ .woff2 ปลอมซ่อนเพย์โหลด",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ",
          "url": "/posts/2026/07/049/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "github repo:xpos587/markfetch"
    },
    {
      "type": "GitHub repo",
      "category": "hunt-only",
      "valueDefanged": "Artiffusion-Inc/mirofish",
      "valueRefanged": "Artiffusion-Inc/mirofish",
      "description": "ซ่อนเพย์โหลดในไฟล์ vite.config.js",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ",
          "url": "/posts/2026/07/049/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "github repo:artiffusion-inc/mirofish"
    },
    {
      "type": "GitHub account",
      "category": "hunt-only",
      "valueDefanged": "Xpos587",
      "valueRefanged": "Xpos587",
      "description": "บัญชีที่สงสัยว่าถูกยึด (account takeover) — หลาย repo ถูกแก้พร้อมกันวันที่ 23 มิ.ย. 2569 เวลา 10:00 UTC",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ",
          "url": "/posts/2026/07/049/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "github account:xpos587"
    },
    {
      "type": "Git commit",
      "category": "hunt-only",
      "valueDefanged": "1c1d61bfe82e5a3a907a234599f3a8f510c10094",
      "valueRefanged": "1c1d61bfe82e5a3a907a234599f3a8f510c10094",
      "description": "commit ที่ฝัง JavaScript ในไฟล์ config ของ 7span/react-list",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ",
          "url": "/posts/2026/07/049/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "git commit:1c1d61bfe82e5a3a907a234599f3a8f510c10094"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "pack",
      "valueRefanged": "pack",
      "description": "เพย์โหลด loader ในโฟลเดอร์ temp",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "file name:pack"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "scdata.js",
      "valueRefanged": "scdata.js",
      "description": "คอมโพเนนต์ remote access",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "file name:scdata.js"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "ldata.js",
      "valueRefanged": "ldata.js",
      "description": "คอมโพเนนต์ขโมยข้อมูลเบราว์เซอร์/กระเป๋าเงิน",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "file name:ldata.js"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "vhost.ctl",
      "valueRefanged": "vhost.ctl",
      "description": "ไฟล์ที่มัลแวร์สร้าง/ใช้งาน",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล",
          "url": "/posts/2026/07/061/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "file name:vhost.ctl"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "market-insight-global[.]com",
      "valueRefanged": "market-insight-global.com",
      "description": "เว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "domain:market-insight-global.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "identity-breach-response[.]org",
      "valueRefanged": "identity-breach-response.org",
      "description": "เว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "domain:identity-breach-response.org"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "runners-daily-blog[.]com",
      "valueRefanged": "runners-daily-blog.com",
      "description": "เว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "domain:runners-daily-blog.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "bistro-reserve-now[.]net",
      "valueRefanged": "bistro-reserve-now.net",
      "description": "เว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "domain:bistro-reserve-now.net"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "edge-compliance-node[.]org",
      "valueRefanged": "edge-compliance-node.org",
      "description": "เว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "domain:edge-compliance-node.org"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "digital-asset-mart[.]org",
      "valueRefanged": "digital-asset-mart.org",
      "description": "เว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "domain:digital-asset-mart.org"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "consensus-protocol-v4[.]org",
      "valueRefanged": "consensus-protocol-v4.org",
      "description": "เว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "domain:consensus-protocol-v4.org"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "visual-media-rights-group[.]org",
      "valueRefanged": "visual-media-rights-group.org",
      "description": "เว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "domain:visual-media-rights-group.org"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "permits[.]global-transit-authority[.]org",
      "valueRefanged": "permits.global-transit-authority.org",
      "description": "เว็บอันตรายที่เชื่อมโยงกับคลัง GitHub Open-Agent-Utilities",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "domain:permits.global-transit-authority.org"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "py-lib-repository[.]dev",
      "valueRefanged": "py-lib-repository.dev",
      "description": "เว็บเอกสาร Python ปลอมที่ใช้ทำ SEO poisoning",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "domain:py-lib-repository.dev"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "debank[.]auction",
      "valueRefanged": "debank.auction",
      "description": "โดเมน typosquatting ปลอมตัวเป็นแพลตฟอร์ม DeFi DeBank",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต",
          "url": "/posts/2026/07/059/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "domain:debank.auction"
    },
    {
      "type": "C2",
      "category": "hunt-only",
      "valueDefanged": "socket.io-client",
      "valueRefanged": "socket.io-client",
      "description": "ช่องสื่อสารกับเซิร์ฟเวอร์ผู้โจมตี",
      "firstSeen": "2026-07-03",
      "lastSeen": "2026-07-03",
      "sources": [
        {
          "title": "แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ",
          "url": "/posts/2026/07/049/",
          "date": "2026-07-03"
        }
      ],
      "tags": [],
      "id": "c2:socket.io-client"
    },
    {
      "type": "Webshell",
      "category": "hunt-only",
      "valueDefanged": "UA4fp7R.aspx",
      "valueRefanged": "UA4fp7R.aspx",
      "description": "เว็บเชลล์ที่ซ่อนด้วย steganography ในไฟล์ภาพ",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปิด Defender, Sysmon และ WAF ก่อนดูดรหัสผ่านด้วย Mimikatz",
          "url": "/posts/2026/07/040/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "webshell:ua4fp7r.aspx"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "http://154.92.16[.]22/xz.bin",
      "valueRefanged": "http://154.92.16.22/xz.bin",
      "description": "URL ดาวน์โหลด ValleyRAT",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ VLC ปลอมและ libvlc.dll อันตราย ฝัง ValleyRAT ผ่านอีเมลฟิชชิง",
          "url": "/posts/2026/07/046/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "url:http://154.92.16.22/xz.bin"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "accounts.google[.]com/o/oauth2/v2/auth/identifier",
      "valueRefanged": "accounts.google.com/o/oauth2/v2/auth/identifier",
      "description": "ปลายทาง OAuth ที่มัลแวร์ใช้ขอ authorization code",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "ToddyCat ปล่อยมัลแวร์ Umbrij ฉวย OAuth เจาะ Gmail ผ่าน Google API",
          "url": "/posts/2026/07/042/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "url:accounts.google.com/o/oauth2/v2/auth/identifier"
    },
    {
      "type": "Tool",
      "category": "hunt-only",
      "valueDefanged": "g.com, hs.com",
      "valueRefanged": "g.com, hs.com",
      "description": "เครื่องมือดึง credential เขียนผลลง pass.txt / hash.txt",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปิด Defender, Sysmon และ WAF ก่อนดูดรหัสผ่านด้วย Mimikatz",
          "url": "/posts/2026/07/040/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "tool:g.com, hs.com"
    },
    {
      "type": "Script",
      "category": "hunt-only",
      "valueDefanged": "i.bat",
      "valueRefanged": "i.bat",
      "description": "สคริปต์แบตช์หลักที่ปิดล็อกและเครื่องมือความปลอดภัย",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปิด Defender, Sysmon และ WAF ก่อนดูดรหัสผ่านด้วย Mimikatz",
          "url": "/posts/2026/07/040/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "script:i.bat"
    },
    {
      "type": "Script",
      "category": "hunt-only",
      "valueDefanged": "DisableDefender.ps1",
      "valueRefanged": "DisableDefender.ps1",
      "description": "สคริปต์ PowerShell ปิด Microsoft Defender",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปิด Defender, Sysmon และ WAF ก่อนดูดรหัสผ่านด้วย Mimikatz",
          "url": "/posts/2026/07/040/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "script:disabledefender.ps1"
    },
    {
      "type": "Scheduled Task",
      "category": "hunt-only",
      "valueDefanged": "KasperskyEndpointSecurityEDRAvp",
      "valueRefanged": "KasperskyEndpointSecurityEDRAvp",
      "description": "task ปลอมตัวเป็นซอฟต์แวร์ Kaspersky เรียกไฟล์มีลายเซ็น",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "ToddyCat ปล่อยมัลแวร์ Umbrij ฉวย OAuth เจาะ Gmail ผ่าน Google API",
          "url": "/posts/2026/07/042/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "scheduled task:kasperskyendpointsecurityedravp"
    },
    {
      "type": "SHA-1",
      "category": "blockable",
      "valueDefanged": "e8be03f19ada1f5cec74b143e21d4939e781671d",
      "valueRefanged": "e8be03f19ada1f5cec74b143e21d4939e781671d",
      "description": "อีเมลอันตราย",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ VLC ปลอมและ libvlc.dll อันตราย ฝัง ValleyRAT ผ่านอีเมลฟิชชิง",
          "url": "/posts/2026/07/046/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "sha-1:e8be03f19ada1f5cec74b143e21d4939e781671d"
    },
    {
      "type": "SHA-1",
      "category": "blockable",
      "valueDefanged": "65168c8dd93b16d3b77092fb70c0fa6fba4dffcc",
      "valueRefanged": "65168c8dd93b16d3b77092fb70c0fa6fba4dffcc",
      "description": "ไฟล์ ZIP (VLC executable ปลอม)",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ VLC ปลอมและ libvlc.dll อันตราย ฝัง ValleyRAT ผ่านอีเมลฟิชชิง",
          "url": "/posts/2026/07/046/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "sha-1:65168c8dd93b16d3b77092fb70c0fa6fba4dffcc"
    },
    {
      "type": "SHA-1",
      "category": "blockable",
      "valueDefanged": "eca7ed7b699835fadc2c2997a2845864e02b8dfe",
      "valueRefanged": "eca7ed7b699835fadc2c2997a2845864e02b8dfe",
      "description": "ตัวอย่าง ValleyRAT ที่เข้ารหัสด้วย RC4",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ VLC ปลอมและ libvlc.dll อันตราย ฝัง ValleyRAT ผ่านอีเมลฟิชชิง",
          "url": "/posts/2026/07/046/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "sha-1:eca7ed7b699835fadc2c2997a2845864e02b8dfe"
    },
    {
      "type": "PyPI package",
      "category": "hunt-only",
      "valueDefanged": "frint",
      "valueRefanged": "frint",
      "description": "แพ็กเกจชั้นแรกที่ PoC ดึงเข้ามา",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "ChocoPoC RAT ตัวใหม่ ล่านักวิจัยช่องโหว่ผ่านรีโป PoC ปลอมบน GitHub",
          "url": "/posts/2026/07/036/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "pypi package:frint"
    },
    {
      "type": "PyPI package",
      "category": "hunt-only",
      "valueDefanged": "skytext",
      "valueRefanged": "skytext",
      "description": "แพ็กเกจชั้นสอง (ดาวน์โหลด ~2,400 ครั้ง)",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "ChocoPoC RAT ตัวใหม่ ล่านักวิจัยช่องโหว่ผ่านรีโป PoC ปลอมบน GitHub",
          "url": "/posts/2026/07/036/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "pypi package:skytext"
    },
    {
      "type": "PyPI package",
      "category": "hunt-only",
      "valueDefanged": "slogsec",
      "valueRefanged": "slogsec",
      "description": "ใช้ในแคมเปญเวอร์ชันก่อนหน้า (ปลายปี 2025)",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "ChocoPoC RAT ตัวใหม่ ล่านักวิจัยช่องโหว่ผ่านรีโป PoC ปลอมบน GitHub",
          "url": "/posts/2026/07/036/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "pypi package:slogsec"
    },
    {
      "type": "PyPI package",
      "category": "hunt-only",
      "valueDefanged": "logcrypt.cryptography",
      "valueRefanged": "logcrypt.cryptography",
      "description": "ใช้ในแคมเปญเวอร์ชันก่อนหน้า",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "ChocoPoC RAT ตัวใหม่ ล่านักวิจัยช่องโหว่ผ่านรีโป PoC ปลอมบน GitHub",
          "url": "/posts/2026/07/036/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "pypi package:logcrypt.cryptography"
    },
    {
      "type": "Legit binary (abused)",
      "category": "hunt-only",
      "valueDefanged": "BDSubWiz.exe",
      "valueRefanged": "BDSubWiz.exe",
      "description": "ไบนารี Bitdefender ConnectAgent ถูกใช้ DLL side-loading",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "ToddyCat ปล่อยมัลแวร์ Umbrij ฉวย OAuth เจาะ Gmail ผ่าน Google API",
          "url": "/posts/2026/07/042/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "legit binary (abused):bdsubwiz.exe"
    },
    {
      "type": "Legit binary (abused)",
      "category": "hunt-only",
      "valueDefanged": "VSTestVideoRecorder.exe",
      "valueRefanged": "VSTestVideoRecorder.exe",
      "description": "เครื่องมือ Visual Studio ถูกใช้ DLL side-loading",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "ToddyCat ปล่อยมัลแวร์ Umbrij ฉวย OAuth เจาะ Gmail ผ่าน Google API",
          "url": "/posts/2026/07/042/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "legit binary (abused):vstestvideorecorder.exe"
    },
    {
      "type": "Legit binary (abused)",
      "category": "hunt-only",
      "valueDefanged": "GoogleDesktop.exe",
      "valueRefanged": "GoogleDesktop.exe",
      "description": "Google Desktop Search (เลิกให้บริการ) ถูกใช้ side-loading",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "ToddyCat ปล่อยมัลแวร์ Umbrij ฉวย OAuth เจาะ Gmail ผ่าน Google API",
          "url": "/posts/2026/07/042/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "legit binary (abused):googledesktop.exe"
    },
    {
      "type": "Driver",
      "category": "hunt-only",
      "valueDefanged": "mimidrv.sys",
      "valueRefanged": "mimidrv.sys",
      "description": "ไดรเวอร์เคอร์เนลของ Mimikatz ใช้ดูดรหัสผ่าน",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปิด Defender, Sysmon และ WAF ก่อนดูดรหัสผ่านด้วย Mimikatz",
          "url": "/posts/2026/07/040/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "driver:mimidrv.sys"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "frehf.oss-cn-hongkong.aliyuncs[.]com",
      "valueRefanged": "frehf.oss-cn-hongkong.aliyuncs.com",
      "description": "โดเมนที่เป็นส่วนหนึ่งของ URL ในอีเมลอันตราย",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ VLC ปลอมและ libvlc.dll อันตราย ฝัง ValleyRAT ผ่านอีเมลฟิชชิง",
          "url": "/posts/2026/07/046/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "domain:frehf.oss-cn-hongkong.aliyuncs.com"
    },
    {
      "type": "Artifact",
      "category": "hunt-only",
      "valueDefanged": "BackupFiles",
      "valueRefanged": "BackupFiles",
      "description": "โฟลเดอร์ที่มัลแวร์สร้างใน Chrome/Edge เก็บสำเนาโปรไฟล์",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "ToddyCat ปล่อยมัลแวร์ Umbrij ฉวย OAuth เจาะ Gmail ผ่าน Google API",
          "url": "/posts/2026/07/042/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "artifact:backupfiles"
    },
    {
      "type": "Artifact",
      "category": "hunt-only",
      "valueDefanged": "pass.txt, hash.txt",
      "valueRefanged": "pass.txt, hash.txt",
      "description": "ไฟล์เก็บรหัสผ่านและ hash ที่ถูกขโมย",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปิด Defender, Sysmon และ WAF ก่อนดูดรหัสผ่านด้วย Mimikatz",
          "url": "/posts/2026/07/040/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "artifact:pass.txt, hash.txt"
    },
    {
      "type": "91.132.163[.]78",
      "category": "hunt-only",
      "valueDefanged": "IP",
      "valueRefanged": "IP",
      "description": "เซิร์ฟเวอร์รับอัปโหลดข้อมูลขนาดใหญ่",
      "firstSeen": "2026-07-02",
      "lastSeen": "2026-07-02",
      "sources": [
        {
          "title": "ChocoPoC RAT ตัวใหม่ ล่านักวิจัยช่องโหว่ผ่านรีโป PoC ปลอมบน GitHub",
          "url": "/posts/2026/07/036/",
          "date": "2026-07-02"
        }
      ],
      "tags": [],
      "id": "91.132.163[.]78:ip"
    },
    {
      "type": "MITRE ATT&CK",
      "category": "hunt-only",
      "valueDefanged": "T1204.004",
      "valueRefanged": "T1204.004",
      "description": "เทคนิค ClickFix (User Execution: Malicious Copy and Paste)",
      "firstSeen": "2026-07-01",
      "lastSeen": "2026-07-01",
      "sources": [
        {
          "title": "นักวิจัยผ่า 3,000 เพย์โหลด ClickFix เผยเบื้องหลังเป็นเซิร์ฟเวอร์แจกมัลแวร์ผ่าน API",
          "url": "/posts/2026/07/033/",
          "date": "2026-07-01"
        }
      ],
      "tags": [],
      "id": "mitre att&ck:t1204.004"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "comicstar[.]lat",
      "valueRefanged": "comicstar.lat",
      "description": "เซิร์ฟเวอร์แจกเพย์โหลด ClickFix",
      "firstSeen": "2026-07-01",
      "lastSeen": "2026-07-01",
      "sources": [
        {
          "title": "นักวิจัยผ่า 3,000 เพย์โหลด ClickFix เผยเบื้องหลังเป็นเซิร์ฟเวอร์แจกมัลแวร์ผ่าน API",
          "url": "/posts/2026/07/033/",
          "date": "2026-07-01"
        }
      ],
      "tags": [],
      "id": "domain:comicstar.lat"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "babybon[.]cfd",
      "valueRefanged": "babybon.cfd",
      "description": "เซิร์ฟเวอร์แจกเพย์โหลด ClickFix",
      "firstSeen": "2026-07-01",
      "lastSeen": "2026-07-01",
      "sources": [
        {
          "title": "นักวิจัยผ่า 3,000 เพย์โหลด ClickFix เผยเบื้องหลังเป็นเซิร์ฟเวอร์แจกมัลแวร์ผ่าน API",
          "url": "/posts/2026/07/033/",
          "date": "2026-07-01"
        }
      ],
      "tags": [],
      "id": "domain:babybon.cfd"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "merkantalolol[.]asia",
      "valueRefanged": "merkantalolol.asia",
      "description": "เซิร์ฟเวอร์แจกเพย์โหลด ClickFix",
      "firstSeen": "2026-07-01",
      "lastSeen": "2026-07-01",
      "sources": [
        {
          "title": "นักวิจัยผ่า 3,000 เพย์โหลด ClickFix เผยเบื้องหลังเป็นเซิร์ฟเวอร์แจกมัลแวร์ผ่าน API",
          "url": "/posts/2026/07/033/",
          "date": "2026-07-01"
        }
      ],
      "tags": [],
      "id": "domain:merkantalolol.asia"
    },
    {
      "type": "เครื่องมือ",
      "category": "hunt-only",
      "valueDefanged": "lsassy",
      "valueRefanged": "lsassy",
      "description": "เครื่องมือดัมพ์ credential ที่ใช้ดึงหน่วยความจำ LSASS จากหลายเครื่อง",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "เครื่องมือ:lsassy"
    },
    {
      "type": "เครื่องมือ",
      "category": "hunt-only",
      "valueDefanged": "FileZilla",
      "valueRefanged": "FileZilla",
      "description": "ใช้สำหรับขโมยข้อมูลออกผ่าน SFTP ไปยังเซิร์ฟเวอร์ในยูเครน",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "เครื่องมือ:filezilla"
    },
    {
      "type": "เครื่องมือ",
      "category": "hunt-only",
      "valueDefanged": "RustDesk",
      "valueRefanged": "RustDesk",
      "description": "เครื่องมือ remote access ที่ติดตั้งเป็น Windows service เพื่อคงการเข้าถึง",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "เครื่องมือ:rustdesk"
    },
    {
      "type": "บัญชี/Registry",
      "category": "hunt-only",
      "valueDefanged": "backup_DA / backup_EA",
      "valueRefanged": "backup_DA / backup_EA",
      "description": "บัญชี domain ปลอมที่สร้างขึ้นเพื่อคงการเข้าถึงและยกระดับสิทธิ์",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "บัญชี/registry:backup_da / backup_ea"
    },
    {
      "type": "บริการ C2",
      "category": "hunt-only",
      "valueDefanged": "duckdns.org (dynamic-DNS ฟรี)",
      "valueRefanged": "duckdns.org (dynamic-DNS ฟรี)",
      "description": "ช่องทางเซิร์ฟเวอร์ควบคุม",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "RustDuck บอตเน็ตเขียนใหม่ด้วยภาษา Rust ยึดเราเตอร์-กล้อง-เซิร์ฟเวอร์ปล่อย DDoS — พัฒนาเทคนิคหลบการวิเคราะห์ระดับสูง",
          "url": "/posts/2026/07/016/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "บริการ c2:duckdns.org (dynamic-dns ฟรี)"
    },
    {
      "type": "ชื่อไฟล์",
      "category": "hunt-only",
      "valueDefanged": "ManageEngine-OpManager.msi",
      "valueRefanged": "ManageEngine-OpManager.msi",
      "description": "ตัวติดตั้ง MSI ปลอม (ตัวโหลด BumbleBee)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ชื่อไฟล์:manageengine-opmanager.msi"
    },
    {
      "type": "ชื่อไฟล์",
      "category": "hunt-only",
      "valueDefanged": "msimg32.dll",
      "valueRefanged": "msimg32.dll",
      "description": "ตัวโหลดขั้นแรกของ BumbleBee (DLL side-loading)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ชื่อไฟล์:msimg32.dll"
    },
    {
      "type": "ชื่อไฟล์",
      "category": "hunt-only",
      "valueDefanged": "consent.exe",
      "valueRefanged": "consent.exe",
      "description": "ไฟล์ Windows ที่ถูกต้องตามกฎหมาย ถูกใช้เพื่อ DLL side-loading",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ชื่อไฟล์:consent.exe"
    },
    {
      "type": "ชื่อไฟล์",
      "category": "hunt-only",
      "valueDefanged": "AdgNsy.exe",
      "valueRefanged": "AdgNsy.exe",
      "description": "สำเนา WAB.exe ที่เปลี่ยนชื่อและฝัง shellcode ของ AdaptixC2",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ชื่อไฟล์:adgnsy.exe"
    },
    {
      "type": "ชื่อไฟล์",
      "category": "hunt-only",
      "valueDefanged": "locker.exe",
      "valueRefanged": "locker.exe",
      "description": "ไฟล์ปฏิบัติการแรนซัมแวร์ Akira ที่ใช้ปล่อยการเข้ารหัส",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ชื่อไฟล์:locker.exe"
    },
    {
      "type": "ชื่อไฟล์",
      "category": "hunt-only",
      "valueDefanged": "Advanced-IP-Scanner.msi",
      "valueRefanged": "Advanced-IP-Scanner.msi",
      "description": "ตัวติดตั้ง MSI ปลอมที่ใช้ในเหตุการณ์ Swisscom",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ชื่อไฟล์:advanced-ip-scanner.msi"
    },
    {
      "type": "ชื่อไฟล์",
      "category": "hunt-only",
      "valueDefanged": "n.exe",
      "valueRefanged": "n.exe",
      "description": "ไฟล์ SoftPerfect Network Scanner ที่ผู้โจมตีปล่อยไว้",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ชื่อไฟล์:n.exe"
    },
    {
      "type": "ชื่อไฟล์",
      "category": "hunt-only",
      "valueDefanged": "1.ps1",
      "valueRefanged": "1.ps1",
      "description": "สคริปต์ PowerShell ติดตั้ง Cloudflare tunnel เป็น service (เหตุการณ์ Swisscom)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ชื่อไฟล์:1.ps1"
    },
    {
      "type": "SSH C2",
      "category": "hunt-only",
      "valueDefanged": "45.xxx.xxx[.]150",
      "valueRefanged": "45.xxx.xxx[.]150",
      "description": "เซิร์ฟเวอร์ C2 ผ่าน reverse SSH tunnel (พอร์ต 22 เปิด RDP ภายในที่พอร์ต 10400)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ssh c2:45.xxx.xxx[.]150"
    },
    {
      "type": "IP:Port",
      "category": "hunt-only",
      "valueDefanged": "96.126.130[.]126:58942",
      "valueRefanged": "96.126.130[.]126:58942",
      "description": "ปลายทางส่งออกข้อมูลของ Djinn Stealer",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "แฮ็กเกอร์โจมตีช่องโหว่ร้ายแรงสุด SimpleHelp CVE-2026-48558 ปล่อยมัลแวร์ TaskWeaver และ Djinn Stealer ขโมยข้อมูลคลาวด์-AI",
          "url": "/posts/2026/07/013/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ip:port:96.126.130[.]126:58942"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "188.40.187[.]145",
      "valueRefanged": "188.40.187.145",
      "description": "IP C2 ของ BumbleBee (พอร์ต 443)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ip address:188.40.187.145"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "109.205.195[.]211",
      "valueRefanged": "109.205.195.211",
      "description": "IP C2 ของ BumbleBee และส่งมอบ payload AdaptixC2 (พอร์ต 443)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ip address:109.205.195.211"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "171.22.183[.]43",
      "valueRefanged": "171.22.183.43",
      "description": "IP C2 ของ BumbleBee",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ip address:171.22.183.43"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "172.96.137[.]160",
      "valueRefanged": "172.96.137.160",
      "description": "IP beacon C2 ของ AdaptixC2 (เครื่องเริ่มต้นการบุกรุก)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ip address:172.96.137.160"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "170.130.55[.]223",
      "valueRefanged": "170.130.55.223",
      "description": "IP C2 ของ AdaptixC2 (เหตุการณ์ Swisscom)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ip address:170.130.55.223"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "84.32.84[.]32",
      "valueRefanged": "84.32.84.32",
      "description": "IP Hostinger ที่ใช้ร่วมกันใน Wave 1 และแคมเปญ Ivanti",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ip address:84.32.84.32"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "4.239.95[.]1",
      "valueRefanged": "4.239.95.1",
      "description": "IP C2 สำหรับมัลแวร์ขโมย credential ที่เล็งเป้า Ivanti (พอร์ต 8080)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ip address:4.239.95.1"
    },
    {
      "type": "IP (Distribution)",
      "category": "hunt-only",
      "valueDefanged": "176.65.139[.]204",
      "valueRefanged": "176.65.139[.]204",
      "description": "ที่อยู่แพร่มัลแวร์ที่คึกคักที่สุด",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "RustDuck บอตเน็ตเขียนใหม่ด้วยภาษา Rust ยึดเราเตอร์-กล้อง-เซิร์ฟเวอร์ปล่อย DDoS — พัฒนาเทคนิคหลบการวิเคราะห์ระดับสูง",
          "url": "/posts/2026/07/016/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "ip (distribution):176.65.139[.]204"
    },
    {
      "type": "Domain (C2)",
      "category": "hunt-only",
      "valueDefanged": "a.dev-tunnels[.]com",
      "valueRefanged": "a.dev-tunnels[.]com",
      "description": "เซิร์ฟเวอร์สื่อสารของ TaskWeaver",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "แฮ็กเกอร์โจมตีช่องโหว่ร้ายแรงสุด SimpleHelp CVE-2026-48558 ปล่อยมัลแวร์ TaskWeaver และ Djinn Stealer ขโมยข้อมูลคลาวด์-AI",
          "url": "/posts/2026/07/013/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "domain (c2):a.dev-tunnels[.]com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "opmanager[.]pro",
      "valueRefanged": "opmanager.pro",
      "description": "โดเมน SEO poisoning ปลอมเป็น ManageEngine OpManager",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "domain:opmanager.pro"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "download-center[.]online",
      "valueRefanged": "download-center.online",
      "description": "จุดส่งมอบตัวติดตั้ง MSI ปลอม (Wave 2)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "domain:download-center.online"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "download-server[.]online",
      "valueRefanged": "download-server.online",
      "description": "จุดส่งมอบมัลแวร์ (Wave 1)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "domain:download-server.online"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "soft-server[.]online",
      "valueRefanged": "soft-server.online",
      "description": "จุดส่งมอบมัลแวร์ (Wave 1)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "domain:soft-server.online"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "zenmap[.]pro",
      "valueRefanged": "zenmap.pro",
      "description": "โดเมน SEO poisoning ปลอมเป็น Zenmap (Wave 1)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "domain:zenmap.pro"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "ip-scanner[.]org",
      "valueRefanged": "ip-scanner.org",
      "description": "โดเมนปลอมที่ใช้ในเหตุการณ์ Swisscom (ปลอมเป็น Advanced IP Scanner)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "domain:ip-scanner.org"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "netml[.]shop",
      "valueRefanged": "netml.shop",
      "description": "โดเมนส่งมอบมัลแวร์ในแคมเปญที่เกี่ยวข้อง (เล็งเป้า Ivanti VPN)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "domain:netml.shop"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "shopping5[.]shop",
      "valueRefanged": "shopping5.shop",
      "description": "โดเมนส่งมอบมัลแวร์ในแคมเปญที่เกี่ยวข้อง (เล็งเป้า Ivanti VPN)",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "domain:shopping5.shop"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "ev2sirbd269o5j[.]org",
      "valueRefanged": "ev2sirbd269o5j.org",
      "description": "โดเมน C2 ของ BumbleBee ที่สร้างด้วย DGA",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "domain:ev2sirbd269o5j.org"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "2rxyt9urhq0bgj[.]org",
      "valueRefanged": "2rxyt9urhq0bgj.org",
      "description": "โดเมน C2 ของ BumbleBee ที่สร้างด้วย DGA",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง",
          "url": "/posts/2026/07/006/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "domain:2rxyt9urhq0bgj.org"
    },
    {
      "type": "CVE",
      "category": "hunt-only",
      "valueDefanged": "CVE-2017-17215",
      "valueRefanged": "CVE-2017-17215",
      "description": "RCE เราเตอร์ Huawei HG532",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "RustDuck บอตเน็ตเขียนใหม่ด้วยภาษา Rust ยึดเราเตอร์-กล้อง-เซิร์ฟเวอร์ปล่อย DDoS — พัฒนาเทคนิคหลบการวิเคราะห์ระดับสูง",
          "url": "/posts/2026/07/016/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "cve:cve-2017-17215"
    },
    {
      "type": "CVE",
      "category": "hunt-only",
      "valueDefanged": "CVE-2025-29635",
      "valueRefanged": "CVE-2025-29635",
      "description": "command-injection D-Link DIR-823X",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "RustDuck บอตเน็ตเขียนใหม่ด้วยภาษา Rust ยึดเราเตอร์-กล้อง-เซิร์ฟเวอร์ปล่อย DDoS — พัฒนาเทคนิคหลบการวิเคราะห์ระดับสูง",
          "url": "/posts/2026/07/016/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "cve:cve-2025-29635"
    },
    {
      "type": "CVE",
      "category": "hunt-only",
      "valueDefanged": "CVE-2024-1781",
      "valueRefanged": "CVE-2024-1781",
      "description": "command-injection Totolink X6000R",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "RustDuck บอตเน็ตเขียนใหม่ด้วยภาษา Rust ยึดเราเตอร์-กล้อง-เซิร์ฟเวอร์ปล่อย DDoS — พัฒนาเทคนิคหลบการวิเคราะห์ระดับสูง",
          "url": "/posts/2026/07/016/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "cve:cve-2024-1781"
    },
    {
      "type": "CVE",
      "category": "hunt-only",
      "valueDefanged": "CVE-2018-8007",
      "valueRefanged": "CVE-2018-8007",
      "description": "RCE Apache CouchDB",
      "firstSeen": "2026-06-30",
      "lastSeen": "2026-06-30",
      "sources": [
        {
          "title": "RustDuck บอตเน็ตเขียนใหม่ด้วยภาษา Rust ยึดเราเตอร์-กล้อง-เซิร์ฟเวอร์ปล่อย DDoS — พัฒนาเทคนิคหลบการวิเคราะห์ระดับสูง",
          "url": "/posts/2026/07/016/",
          "date": "2026-06-30"
        }
      ],
      "tags": [],
      "id": "cve:cve-2018-8007"
    },
    {
      "type": "URL (WebSocket C2)",
      "category": "hunt-only",
      "valueDefanged": "wss://wool-basalt-clock.glitch[.]me/ws",
      "valueRefanged": "wss://wool-basalt-clock.glitch[.]me/ws",
      "description": "STOCKSTAY WebSocket C2 (ปฏิบัติการยูเครน ม.ค. 2024)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "url (websocket c2):wss://wool-basalt-clock.glitch[.]me/ws"
    },
    {
      "type": "URL (WebSocket C2)",
      "category": "hunt-only",
      "valueDefanged": "wss://weatherdataai.theworkpc[.]com/ws",
      "valueRefanged": "wss://weatherdataai.theworkpc[.]com/ws",
      "description": "STOCKSTAY WebSocket C2 (ปฏิบัติการยูเครน เม.ย. 2025)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "url (websocket c2):wss://weatherdataai.theworkpc[.]com/ws"
    },
    {
      "type": "URL (WebSocket C2)",
      "category": "hunt-only",
      "valueDefanged": "wss://canal1zac1a.onrender[.]com/ws",
      "valueRefanged": "wss://canal1zac1a.onrender[.]com/ws",
      "description": "STOCKSTAY WebSocket C2 (ส.ค. 2025 / GitHub test MSIs)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "url (websocket c2):wss://canal1zac1a.onrender[.]com/ws"
    },
    {
      "type": "URL (WebSocket C2)",
      "category": "hunt-only",
      "valueDefanged": "wss://driverx86-adobe.onrender[.]com/ws",
      "valueRefanged": "wss://driverx86-adobe.onrender[.]com/ws",
      "description": "STOCKSTAY WebSocket C2 (คลื่นฟิชชิง พ.ย. 2025)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "url (websocket c2):wss://driverx86-adobe.onrender[.]com/ws"
    },
    {
      "type": "URL (WebSocket C2)",
      "category": "hunt-only",
      "valueDefanged": "wss://google-ai-labs-it.onrender[.]com/ws",
      "valueRefanged": "wss://google-ai-labs-it.onrender[.]com/ws",
      "description": "STOCKSTAY WebSocket C2 (พ.ย. 2025 / ChikenFresh GitHub)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "url (websocket c2):wss://google-ai-labs-it.onrender[.]com/ws"
    },
    {
      "type": "URL (Download)",
      "category": "hunt-only",
      "valueDefanged": "https://www.drs.gov[.]ua/wp-content/themes/twentytwentyfive/docs.zip",
      "valueRefanged": "https://www.drs.gov[.]ua/wp-content/themes/twentytwentyfive/docs.zip",
      "description": "ZIP บรรจุส่วนประกอบ STOCKSTAY บนเว็บรัฐบาลยูเครนที่ถูกยึด",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "url (download):https://www.drs.gov[.]ua/wp-content/themes/twentytwentyfive/docs.zip"
    },
    {
      "type": "URL (Download)",
      "category": "hunt-only",
      "valueDefanged": "https://basecon.com[.]ua/calculator.rar",
      "valueRefanged": "https://basecon.com[.]ua/calculator.rar",
      "description": "RAR บรรจุส่วนประกอบ STOCKSTAY บนเซิร์ฟเวอร์ยูเครนที่ถูกยึด",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "url (download):https://basecon.com[.]ua/calculator.rar"
    },
    {
      "type": "URL (Download)",
      "category": "hunt-only",
      "valueDefanged": "https://online.zp[.]ua/wp-content/uploads/Tools/EditorToolsPdf.zip",
      "valueRefanged": "https://online.zp[.]ua/wp-content/uploads/Tools/EditorToolsPdf.zip",
      "description": "ZIP บรรจุส่วนประกอบ STOCKSTAY บนเซิร์ฟเวอร์ WordPress ที่ถูกยึด",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "url (download):https://online.zp[.]ua/wp-content/uploads/tools/editortoolspdf.zip"
    },
    {
      "type": "URL (Decoy / Lure)",
      "category": "hunt-only",
      "valueDefanged": "https://circoloesteri.elezioni.idnet[.]it/adelection/riepilogo.php",
      "valueRefanged": "https://circoloesteri.elezioni.idnet[.]it/adelection/riepilogo.php",
      "description": "URL ล่อภาษาอิตาลีธีมเลือกตั้ง (ปฏิบัติการอิตาลี ก.พ. 2024)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "url (decoy / lure):https://circoloesteri.elezioni.idnet[.]it/adelection/riepilogo.php"
    },
    {
      "type": "Signed binary (abused)",
      "category": "hunt-only",
      "valueDefanged": "Solid PDF Creator, Citrix Receiver",
      "valueRefanged": "Solid PDF Creator, Citrix Receiver",
      "description": "ไบนารีที่มีลายเซ็นถูกต้องซึ่งถูกใช้ sideload DLL อันตราย",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Mustang Panda ใช้ Zoho WorkDrive เป็นช่องทางสั่งการ โจมตีหน่วยงานรัฐอินเดีย",
          "url": "/posts/2026/06/203/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "signed binary (abused):solid pdf creator, citrix receiver"
    },
    {
      "type": "Scheduled Task",
      "category": "hunt-only",
      "valueDefanged": "SolidPDFPcl2Bmp",
      "valueRefanged": "SolidPDFPcl2Bmp",
      "description": "งานตามตารางเวลาที่ใช้ฝังตัวถาวร",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Mustang Panda ใช้ Zoho WorkDrive เป็นช่องทางสั่งการ โจมตีหน่วยงานรัฐอินเดีย",
          "url": "/posts/2026/06/203/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "scheduled task:solidpdfpcl2bmp"
    },
    {
      "type": "Persistence",
      "category": "hunt-only",
      "valueDefanged": "Run registry key",
      "valueRefanged": "Run registry key",
      "description": "คีย์รีจิสทรีที่ใช้ตั้งให้มัลแวร์ทำงานเมื่อบูต",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Mustang Panda ใช้ Zoho WorkDrive เป็นช่องทางสั่งการ โจมตีหน่วยงานรัฐอินเดีย",
          "url": "/posts/2026/06/203/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "persistence:run registry key"
    },
    {
      "type": "Malware",
      "category": "hunt-only",
      "valueDefanged": "SHARDLOADER",
      "valueRefanged": "SHARDLOADER",
      "description": "Loader ที่ทำ DLL sideloading ผ่านไบนารีที่มีลายเซ็น",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Mustang Panda ใช้ Zoho WorkDrive เป็นช่องทางสั่งการ โจมตีหน่วยงานรัฐอินเดีย",
          "url": "/posts/2026/06/203/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "malware:shardloader"
    },
    {
      "type": "Malware",
      "category": "hunt-only",
      "valueDefanged": "MINIRECON",
      "valueRefanged": "MINIRECON",
      "description": "Backdoor (เวอร์ชันปรับปรุงของ Toneshell) สื่อสารผ่าน WebSocket/HTTPS",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Mustang Panda ใช้ Zoho WorkDrive เป็นช่องทางสั่งการ โจมตีหน่วยงานรัฐอินเดีย",
          "url": "/posts/2026/06/203/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "malware:minirecon"
    },
    {
      "type": "Malware",
      "category": "hunt-only",
      "valueDefanged": "ZOHOMURK",
      "valueRefanged": "ZOHOMURK",
      "description": "Implant ที่ใช้ Zoho WorkDrive เป็น dead drop",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Mustang Panda ใช้ Zoho WorkDrive เป็นช่องทางสั่งการ โจมตีหน่วยงานรัฐอินเดีย",
          "url": "/posts/2026/06/203/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "malware:zohomurk"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "Hosting provider",
      "valueRefanged": "Hosting provider",
      "description": "First seen",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "ip address:hosting provider"
    },
    {
      "type": "GitHub Account",
      "category": "hunt-only",
      "valueDefanged": "Roberto1983-ai",
      "valueRefanged": "Roberto1983-ai",
      "description": "บัญชี GitHub ต้องสงสัยของผู้โจมตีที่โฮสต์ไฟล์ MSI ทดสอบ STOCKSTAY",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "github account:roberto1983-ai"
    },
    {
      "type": "GitHub Account",
      "category": "hunt-only",
      "valueDefanged": "ChikenFresh",
      "valueRefanged": "ChikenFresh",
      "description": "บัญชี GitHub ต้องสงสัยของผู้โจมตีที่โฮสต์โค้ดเซิร์ฟเวอร์ C2 STOCKSTAY",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "github account:chikenfresh"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "MicrosoftUpdateOneDrive.exe",
      "valueRefanged": "MicrosoftUpdateOneDrive.exe",
      "description": "ตัวดาวน์โหลด STOCKSTAY.MARKETMAKER (ปฏิบัติการยูเครน เม.ย. 2025)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "file name:microsoftupdateonedrive.exe"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "styles.dat.exe",
      "valueRefanged": "styles.dat.exe",
      "description": "ตัวดาวน์โหลด STOCKSTAY.MARKETMAKER (ปฏิบัติการยูเครน ส.ค. 2025)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "file name:styles.dat.exe"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "Калькулятор грошового забезпечення військовослужбовців 2025.hta",
      "valueRefanged": "Калькулятор грошового забезпечення військовослужбовців 2025.hta",
      "description": "ไฟล์ HTA ล่อภาษายูเครน (\"เครื่องคิดเลขเงินเดือนทหาร 2025\")",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "file name:калькулятор грошового забезпечення військовослужбовців 2025.hta"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "DiplomacyEduAI.msi",
      "valueRefanged": "DiplomacyEduAI.msi",
      "description": "ไฟล์ MSI บรรจุส่วนประกอบ STOCKSTAY (บัญชี GitHub ทดสอบ)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "file name:diplomacyeduai.msi"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "StockMarketView.exe / ViewPdf.exe",
      "valueRefanged": "StockMarketView.exe / ViewPdf.exe",
      "description": "STOCKSTAY.STOCKMARKET orchestrator (หลายปฏิบัติการ)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "file name:stockmarketview.exe / viewpdf.exe"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "StockMarketNet.exe / SMNet.exe / ClientMNGR.exe / MSDriver.exe",
      "valueRefanged": "StockMarketNet.exe / SMNet.exe / ClientMNGR.exe / MSDriver.exe",
      "description": "STOCKSTAY.STOCKBROKER tunneler (หลายปฏิบัติการ)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "file name:stockmarketnet.exe / smnet.exe / clientmngr.exe / msdriver.exe"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "StockMarketSystem.exe / SMEditor.exe / ConverterDDSNet.exe / MSRender.exe",
      "valueRefanged": "StockMarketSystem.exe / SMEditor.exe / ConverterDDSNet.exe / MSRender.exe",
      "description": "STOCKSTAY.STOCKTRADER backdoor (หลายปฏิบัติการ)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "file name:stockmarketsystem.exe / smeditor.exe / converterddsnet.exe / msrender.exe"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "ms-lib-math-core.dll",
      "valueRefanged": "ms-lib-math-core.dll",
      "description": "โมดูล core ที่ใช้ร่วมกันของ STOCKSTAY (ปฏิบัติการ พ.ย. 2025)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "file name:ms-lib-math-core.dll"
    },
    {
      "type": "File Hash (SHA-256)",
      "category": "hunt-only",
      "valueDefanged": "d1e54270433a94a…",
      "valueRefanged": "d1e54270433a94a…",
      "description": "websocket-sharp.dll — ไลบรารีโอเพนซอร์สที่ผู้โจมตีคอมไพล์เองใช้โดย STOCKSTAY",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "file hash (sha-256):d1e54270433a94a…"
    },
    {
      "type": "File Hash (SHA-256)",
      "category": "hunt-only",
      "valueDefanged": "f04f43b6f7c2d86…",
      "valueRefanged": "f04f43b6f7c2d86…",
      "description": "server.py — ตัวควบคุม C2 STOCKSTAY ภาษา Python (ChikenFresh GitHub)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "file hash (sha-256):f04f43b6f7c2d86…"
    },
    {
      "type": "File Hash (SHA-256)",
      "category": "hunt-only",
      "valueDefanged": "7615140f78d9a0c…",
      "valueRefanged": "7615140f78d9a0c…",
      "description": "models.py — นิยามตาราง database ของเซิร์ฟเวอร์ C2 STOCKSTAY",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "file hash (sha-256):7615140f78d9a0c…"
    },
    {
      "type": "File Hash (SHA-256)",
      "category": "hunt-only",
      "valueDefanged": "b55f3b8a7334af0…",
      "valueRefanged": "b55f3b8a7334af0…",
      "description": "wtools.py — ฟังก์ชันยูทิลิตีของเซิร์ฟเวอร์ C2 STOCKSTAY",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน",
          "url": "/posts/2026/06/197/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "file hash (sha-256):b55f3b8a7334af0…"
    },
    {
      "type": "F045E11EEA6AF11867380141C1E1888F433B5342",
      "category": "hunt-only",
      "valueDefanged": "PowerShell/Pterodo.WO",
      "valueRefanged": "PowerShell/Pterodo.WO",
      "description": "PteroPSDoor version 1000",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "f045e11eea6af11867380141c1e1888f433b5342:powershell/pterodo.wo"
    },
    {
      "type": "ED5BA0EF9E2413F1CD29464209F7B5E347810299",
      "category": "hunt-only",
      "valueDefanged": "PowerShell/Pterodo.PK",
      "valueRefanged": "PowerShell/Pterodo.PK",
      "description": "PteroLNK — ตัวสร้างอาวุธ USB (รุ่น PowerShell)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "ed5ba0ef9e2413f1cd29464209f7b5e347810299:powershell/pterodo.pk"
    },
    {
      "type": "Domain (C2)",
      "category": "hunt-only",
      "valueDefanged": "couldinstallup[.]com",
      "valueRefanged": "couldinstallup[.]com",
      "description": "เซิร์ฟเวอร์สั่งการของมัลแวร์",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Mustang Panda ใช้ Zoho WorkDrive เป็นช่องทางสั่งการ โจมตีหน่วยงานรัฐอินเดีย",
          "url": "/posts/2026/06/203/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "domain (c2):couldinstallup[.]com"
    },
    {
      "type": "Behavior",
      "category": "hunt-only",
      "valueDefanged": "Zoho user agent บนกระบวนการที่ไม่ใช่เบราว์เซอร์",
      "valueRefanged": "Zoho user agent บนกระบวนการที่ไม่ใช่เบราว์เซอร์",
      "description": "บ่งชี้การใช้ Zoho WorkDrive เป็นช่องทาง C2",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Mustang Panda ใช้ Zoho WorkDrive เป็นช่องทางสั่งการ โจมตีหน่วยงานรัฐอินเดีย",
          "url": "/posts/2026/06/203/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "behavior:zoho user agent บนกระบวนการที่ไม่ใช่เบราว์เซอร์"
    },
    {
      "type": "B66B2FB1A71A7E8CAF3B9A90DD84A2A3619F5CC5",
      "category": "hunt-only",
      "valueDefanged": "PowerShell/Pterodo.WK",
      "valueRefanged": "PowerShell/Pterodo.WK",
      "description": "PteroSteal — ขโมย credential (รุ่น PowerShell)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "b66b2fb1a71a7e8caf3b9a90dd84a2a3619f5cc5:powershell/pterodo.wk"
    },
    {
      "type": "B13B5B1186B5AC0558E692E72990ECEB810BDA47",
      "category": "hunt-only",
      "valueDefanged": "VBS/Pterodo.CLR",
      "valueRefanged": "VBS/Pterodo.CLR",
      "description": "PteroLNK — ตัวสร้างอาวุธ USB/network drive (รุ่น VBScript)",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "b13b5b1186b5ac0558e692e72990eceb810bda47:vbs/pterodo.clr"
    },
    {
      "type": "8CB65FE85C25CE521139990689AC989B44A0A230",
      "category": "hunt-only",
      "valueDefanged": "PowerShell/Pterodo.UE",
      "valueRefanged": "PowerShell/Pterodo.UE",
      "description": "PteroEffigy — ดาวน์โหลด PowerShell payload",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "8cb65fe85c25ce521139990689ac989b44a0a230:powershell/pterodo.ue"
    },
    {
      "type": "7976F1E6B079008E56AE35F1AFC6336D12CBA8E1",
      "category": "hunt-only",
      "valueDefanged": "VBS/Pterodo.BOU",
      "valueRefanged": "VBS/Pterodo.BOU",
      "description": "PteroX — VBScript downloader อเนกประสงค์",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "7976f1e6b079008e56ae35f1afc6336d12cba8e1:vbs/pterodo.bou"
    },
    {
      "type": "7947737949CC3D273DFE8DBD9F70701A25ED05B8",
      "category": "hunt-only",
      "valueDefanged": "VBS/Pterodo.CME",
      "valueRefanged": "VBS/Pterodo.CME",
      "description": "PteroVDoor version 2000",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "7947737949cc3d273dfe8dbd9f70701a25ed05b8:vbs/pterodo.cme"
    },
    {
      "type": "76EC9B898E3FED239AF3895D9F3225EFB1273DCC",
      "category": "hunt-only",
      "valueDefanged": "PowerShell/Pterodo.WY",
      "valueRefanged": "PowerShell/Pterodo.WY",
      "description": "PteroBox รุ่น API",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "76ec9b898e3fed239af3895d9f3225efb1273dcc:powershell/pterodo.wy"
    },
    {
      "type": "69.67.173[.]214",
      "category": "hunt-only",
      "valueDefanged": "BL Networks",
      "valueRefanged": "BL Networks",
      "description": "2026-01-01",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "69.67.173[.]214:bl networks"
    },
    {
      "type": "61B03FF9D84EB653F9F66867DBF76DFB1E130E93",
      "category": "hunt-only",
      "valueDefanged": "PowerShell/Pterodo.WY",
      "valueRefanged": "PowerShell/Pterodo.WY",
      "description": "PteroPaste — downloader + ตัวสร้างอาวุธ USB",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "61b03ff9d84eb653f9f66867dbf76dfb1e130e93:powershell/pterodo.wy"
    },
    {
      "type": "606C2692E409E40E6D563458FDF71FAA9EA22557",
      "category": "hunt-only",
      "valueDefanged": "VBS/Pterodo.COC",
      "valueRefanged": "VBS/Pterodo.COC",
      "description": "PteroCache — ดาวน์โหลด PowerShell payload",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "606c2692e409e40e6d563458fdf71faa9ea22557:vbs/pterodo.coc"
    },
    {
      "type": "584685A6AA84192302DF27C35E492B2846C06DD6",
      "category": "hunt-only",
      "valueDefanged": "PowerShell/Pterodo.VP",
      "valueRefanged": "PowerShell/Pterodo.VP",
      "description": "PteroDum — ดาวน์โหลด VBScript payload",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "584685a6aa84192302df27c35e492b2846c06dd6:powershell/pterodo.vp"
    },
    {
      "type": "569265C1BDE1D738963DD027BEB24AE0DC864F7F",
      "category": "hunt-only",
      "valueDefanged": "VBS/Pterodo.CAQ",
      "valueRefanged": "VBS/Pterodo.CAQ",
      "description": "PteroDee — ดาวน์โหลด PowerShell payload",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "569265c1bde1d738963dd027beb24ae0dc864f7f:vbs/pterodo.caq"
    },
    {
      "type": "42DB9DE2017F66ED3AF88E7B1094891627B3C706",
      "category": "hunt-only",
      "valueDefanged": "PowerShell/Pterodo.QB",
      "valueRefanged": "PowerShell/Pterodo.QB",
      "description": "PteroOdd — ดึง C2 ผ่าน Telegra.ph API",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "42db9de2017f66ed3af88e7b1094891627b3c706:powershell/pterodo.qb"
    },
    {
      "type": "41BDC7545EE8A7E37714AE6C4F69F95C846FCB38",
      "category": "hunt-only",
      "valueDefanged": "PowerShell/Pterodo.SV",
      "valueRefanged": "PowerShell/Pterodo.SV",
      "description": "PteroBox รุ่น rclone",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "41bdc7545ee8a7e37714ae6c4f69f95c846fcb38:powershell/pterodo.sv"
    },
    {
      "type": "256DE94FDBF675E3CCB1ADC42AB74771B5381B3F",
      "category": "hunt-only",
      "valueDefanged": "VBS/Pterodo.CEB",
      "valueRefanged": "VBS/Pterodo.CEB",
      "description": "PteroGram — ขโมยข้อมูล Telegram Desktop",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "256de94fdbf675e3ccb1adc42ab74771b5381b3f:vbs/pterodo.ceb"
    },
    {
      "type": "172.235.166[.]243",
      "category": "hunt-only",
      "valueDefanged": "Linode",
      "valueRefanged": "Linode",
      "description": "2025-03-23",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "172.235.166[.]243:linode"
    },
    {
      "type": "167.88.164[.]202",
      "category": "hunt-only",
      "valueDefanged": "RouterHosting LLC",
      "valueRefanged": "RouterHosting LLC",
      "description": "2025-03-03",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "167.88.164[.]202:routerhosting llc"
    },
    {
      "type": "09A22856890AB6AEF6311CA2BD27BE54E86DA75C",
      "category": "hunt-only",
      "valueDefanged": "PowerShell/Pterodo.QD",
      "valueRefanged": "PowerShell/Pterodo.QD",
      "description": "PteroPSLoad — PowerShell downloader",
      "firstSeen": "2026-06-29",
      "lastSeen": "2026-06-29",
      "sources": [
        {
          "title": "Gamaredon ขยายการโจมตียูเครน เพิ่มมัลแวร์ใหม่และใช้บริการคลาวด์บังหน้า",
          "url": "/posts/2026/06/206/",
          "date": "2026-06-29"
        }
      ],
      "tags": [],
      "id": "09a22856890ab6aef6311ca2bd27be54e86da75c:powershell/pterodo.qd"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps://142.111.194[.]73:8640/dj5FZEiLnA/",
      "valueRefanged": "https://142.111.194.73:8640/dj5FZEiLnA/",
      "description": "C2 Callback Endpoint",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "url:https://142.111.194.73:8640/dj5fzeilna/"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "420f1931af9b3f7d02c5edfc78eb69abdad6e71d2c3e9b81f9cbc3823a503654",
      "valueRefanged": "420f1931af9b3f7d02c5edfc78eb69abdad6e71d2c3e9b81f9cbc3823a503654",
      "description": "ไฟล์บีบอัดอันตราย",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "sha-256:420f1931af9b3f7d02c5edfc78eb69abdad6e71d2c3e9b81f9cbc3823a503654"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "dc4c906e56ecb446cbb10b227e1fb470e428108584678314533d80e52a2b9b30",
      "valueRefanged": "dc4c906e56ecb446cbb10b227e1fb470e428108584678314533d80e52a2b9b30",
      "description": "PDF ล่อ (decoy)",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "sha-256:dc4c906e56ecb446cbb10b227e1fb470e428108584678314533d80e52a2b9b30"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "05e131555faabae0960f0527cfb72d2b8e2381fd0fde22b0b4e2b365c7faf445",
      "valueRefanged": "05e131555faabae0960f0527cfb72d2b8e2381fd0fde22b0b4e2b365c7faf445",
      "description": "Startup LNK",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "sha-256:05e131555faabae0960f0527cfb72d2b8e2381fd0fde22b0b4e2b365c7faf445"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "6b7e3dd5af5a56dd24e96c5b13282ad084c78d0a589d5e4c1b6ba58b4525d9a8",
      "valueRefanged": "6b7e3dd5af5a56dd24e96c5b13282ad084c78d0a589d5e4c1b6ba58b4525d9a8",
      "description": "WC3 PowerShell Loader",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "sha-256:6b7e3dd5af5a56dd24e96c5b13282ad084c78d0a589d5e4c1b6ba58b4525d9a8"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "3006a6639eff677b08595927cf219a3bcd5fdd02bfd592606316bfd4623bb902",
      "valueRefanged": "3006a6639eff677b08595927cf219a3bcd5fdd02bfd592606316bfd4623bb902",
      "description": "Encoded wt1 Payload",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "sha-256:3006a6639eff677b08595927cf219a3bcd5fdd02bfd592606316bfd4623bb902"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "78538f945a1d20aa392f3065f222223a4ed47284abfafa8c135bdfd9eacef222",
      "valueRefanged": "78538f945a1d20aa392f3065f222223a4ed47284abfafa8c135bdfd9eacef222",
      "description": "Decoded Custom-Header Image",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "sha-256:78538f945a1d20aa392f3065f222223a4ed47284abfafa8c135bdfd9eacef222"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "b268ecbc386d32ace546dd483707fd2c923de8f091741e544f52c7f872fe0d91",
      "valueRefanged": "b268ecbc386d32ace546dd483707fd2c923de8f091741e544f52c7f872fe0d91",
      "description": "PE ที่ประกอบใหม่ (วิเคราะห์เท่านั้น)",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "sha-256:b268ecbc386d32ace546dd483707fd2c923de8f091741e544f52c7f872fe0d91"
    },
    {
      "type": "IPv4 (C2)",
      "category": "hunt-only",
      "valueDefanged": "45.32.113[.]172",
      "valueRefanged": "45.32.113[.]172",
      "description": "เซิร์ฟเวอร์สั่งการและควบคุมของ TinyRCT (HTTP + AES-128 CBC)",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "กลุ่ม APT จีนปล่อยแบ็กดอร์ใหม่ TinyRCT โจมตีหน่วยงานรัฐในเอเชียตะวันออกเฉียงใต้",
          "url": "/posts/2026/06/185/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "ipv4 (c2):45.32.113[.]172"
    },
    {
      "type": "IPv4",
      "category": "hunt-only",
      "valueDefanged": "139.180.134[.]221",
      "valueRefanged": "139.180.134[.]221",
      "description": "เซิร์ฟเวอร์ดาวน์โหลด PerfWatson2.exe",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "กลุ่ม APT จีนปล่อยแบ็กดอร์ใหม่ TinyRCT โจมตีหน่วยงานรัฐในเอเชียตะวันออกเฉียงใต้",
          "url": "/posts/2026/06/185/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "ipv4:139.180.134[.]221"
    },
    {
      "type": "IPv4",
      "category": "hunt-only",
      "valueDefanged": "5.180.41.35",
      "valueRefanged": "5.180.41.35",
      "description": "เซิร์ฟเวอร์สั่งการและควบคุม (C2) ของผู้โจมตี — บล็อกทันที",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "CISA เพิ่มช่องโหว่ RCE ใน PTC Windchill ลง KEV หลังพบแฮ็กเกอร์ฝัง Web Shell",
          "url": "/posts/2026/06/183/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "ipv4:5.180.41.35"
    },
    {
      "type": "IPv4",
      "category": "hunt-only",
      "valueDefanged": "172.111.38.31",
      "valueRefanged": "172.111.38.31",
      "description": "IP ที่เกี่ยวข้องกับกิจกรรมโจมตี",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "CISA เพิ่มช่องโหว่ RCE ใน PTC Windchill ลง KEV หลังพบแฮ็กเกอร์ฝัง Web Shell",
          "url": "/posts/2026/06/183/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "ipv4:172.111.38.31"
    },
    {
      "type": "IPv4",
      "category": "hunt-only",
      "valueDefanged": "216.152.148.54",
      "valueRefanged": "216.152.148.54",
      "description": "IP ที่เกี่ยวข้องกับกิจกรรมโจมตี",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "CISA เพิ่มช่องโหว่ RCE ใน PTC Windchill ลง KEV หลังพบแฮ็กเกอร์ฝัง Web Shell",
          "url": "/posts/2026/06/183/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "ipv4:216.152.148.54"
    },
    {
      "type": "IPv4",
      "category": "hunt-only",
      "valueDefanged": "104.243.35.131",
      "valueRefanged": "104.243.35.131",
      "description": "IP ที่เกี่ยวข้องกับกิจกรรมโจมตี",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "CISA เพิ่มช่องโหว่ RCE ใน PTC Windchill ลง KEV หลังพบแฮ็กเกอร์ฝัง Web Shell",
          "url": "/posts/2026/06/183/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "ipv4:104.243.35.131"
    },
    {
      "type": "IPv4",
      "category": "hunt-only",
      "valueDefanged": "74.50.76.146",
      "valueRefanged": "74.50.76.146",
      "description": "IP ที่เกี่ยวข้องกับกิจกรรมโจมตี",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "CISA เพิ่มช่องโหว่ RCE ใน PTC Windchill ลง KEV หลังพบแฮ็กเกอร์ฝัง Web Shell",
          "url": "/posts/2026/06/183/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "ipv4:74.50.76.146"
    },
    {
      "type": "IP:Port",
      "category": "hunt-only",
      "valueDefanged": "142.111.194[.]73:8640",
      "valueRefanged": "142.111.194[.]73:8640",
      "description": "เซิร์ฟเวอร์ Command-and-Control",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "ip:port:142.111.194[.]73:8640"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "C:\\ProgramData\\WC3",
      "valueRefanged": "C:\\ProgramData\\WC3",
      "description": "Obfuscated PowerShell Loader",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "file path:c:\\programdata\\wc3"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "C:\\ProgramData\\wt1",
      "valueRefanged": "C:\\ProgramData\\wt1",
      "description": "Encoded Stage Payload",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "file path:c:\\programdata\\wt1"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\ThJRq_6uEj.lnk",
      "valueRefanged": "%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\ThJRq_6uEj.lnk",
      "description": "Persistence Startup Shortcut",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "file path:%appdata%\\microsoft\\windows\\start menu\\programs\\startup\\thjrq_6uej.lnk"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "%USERPROFILE%\\RJ_8An6YWmhvYh9I8Me",
      "valueRefanged": "%USERPROFILE%\\RJ_8An6YWmhvYh9I8Me",
      "description": "Staging Directory",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "file path:%userprofile%\\rj_8an6ywmhvyh9i8me"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "%USERPROFILE%\\qhGQKHaADCeIZe2UoRub.zip",
      "valueRefanged": "%USERPROFILE%\\qhGQKHaADCeIZe2UoRub.zip",
      "description": "ไฟล์ exfiltration สุดท้าย",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "file path:%userprofile%\\qhgqkhaadceize2uorub.zip"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "%TEMP%\\oBKhrQLe1CKmO3RhHO",
      "valueRefanged": "%TEMP%\\oBKhrQLe1CKmO3RhHO",
      "description": "ไฟล์ระบุตัวตนต่อการติดมัลแวร์",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "file path:%temp%\\obkhrqle1ckmo3rhho"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "%TEMP%\\logs.txt",
      "valueRefanged": "%TEMP%\\logs.txt",
      "description": "ไฟล์ log ของมัลแวร์",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "file path:%temp%\\logs.txt"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "Main.dll",
      "valueRefanged": "Main.dll",
      "description": "Reflective Loader DLL",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "file name:main.dll"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "взвод розвідки.pdf",
      "valueRefanged": "взвод розвідки.pdf",
      "description": "PDF ล่อธีมยูเครน",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์",
          "url": "/posts/2026/06/187/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "file name:взвод розвідки.pdf"
    },
    {
      "type": "55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c",
      "category": "hunt-only",
      "valueDefanged": "SHA-256",
      "valueRefanged": "SHA-256",
      "description": "ค่าแฮชไฟล์ web shell น่าสงสัย",
      "firstSeen": "2026-06-26",
      "lastSeen": "2026-06-26",
      "sources": [
        {
          "title": "CISA เพิ่มช่องโหว่ RCE ใน PTC Windchill ลง KEV หลังพบแฮ็กเกอร์ฝัง Web Shell",
          "url": "/posts/2026/06/183/",
          "date": "2026-06-26"
        }
      ],
      "tags": [],
      "id": "55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c:sha-256"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-auth v4.0.6",
      "valueRefanged": "leo-auth v4.0.6",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009715)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-auth v4.0.6"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-aws v2.0.4",
      "valueRefanged": "leo-aws v2.0.4",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009716)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-aws v2.0.4"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-cache v1.0.2",
      "valueRefanged": "leo-cache v1.0.2",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009726)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-cache v1.0.2"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-cdk-lib v0.0.2",
      "valueRefanged": "leo-cdk-lib v0.0.2",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009721)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-cdk-lib v0.0.2"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-cli v3.0.3",
      "valueRefanged": "leo-cli v3.0.3",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009724)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-cli v3.0.3"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-config v1.1.1",
      "valueRefanged": "leo-config v1.1.1",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009720)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-config v1.1.1"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-connector-elasticsearch v2.0.6",
      "valueRefanged": "leo-connector-elasticsearch v2.0.6",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009713)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-connector-elasticsearch v2.0.6"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-connector-mongo v3.0.8",
      "valueRefanged": "leo-connector-mongo v3.0.8",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009714)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-connector-mongo v3.0.8"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-connector-mysql v3.0.3",
      "valueRefanged": "leo-connector-mysql v3.0.3",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009729)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-connector-mysql v3.0.3"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-connector-oracle v2.0.1",
      "valueRefanged": "leo-connector-oracle v2.0.1",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009718)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-connector-oracle v2.0.1"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-connector-redshift v3.0.6",
      "valueRefanged": "leo-connector-redshift v3.0.6",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009725)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-connector-redshift v3.0.6"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-cron v2.0.2",
      "valueRefanged": "leo-cron v2.0.2",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009723)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-cron v2.0.2"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-logger v1.0.8",
      "valueRefanged": "leo-logger v1.0.8",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009727)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-logger v1.0.8"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-sdk v6.0.19",
      "valueRefanged": "leo-sdk v6.0.19",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009717)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-sdk v6.0.19"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "leo-streams v2.0.1",
      "valueRefanged": "leo-streams v2.0.1",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009728)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:leo-streams v2.0.1"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "rstreams-metrics v2.0.2",
      "valueRefanged": "rstreams-metrics v2.0.2",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009731)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:rstreams-metrics v2.0.2"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "rstreams-shard-util v1.0.1",
      "valueRefanged": "rstreams-shard-util v1.0.1",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009732)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:rstreams-shard-util v1.0.1"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "serverless-convention v2.0.4",
      "valueRefanged": "serverless-convention v2.0.4",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009719)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:serverless-convention v2.0.4"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "serverless-leo v3.0.14",
      "valueRefanged": "serverless-leo v3.0.14",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009730)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:serverless-leo v3.0.14"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "solo-nav v1.0.1",
      "valueRefanged": "solo-nav v1.0.1",
      "description": "แพ็กเกจ Leo/RStreams ที่ถูก hijack (XRAY-1009722)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "npm package:solo-nav v1.0.1"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp[://]158.94.211[.]95/kelly/five/fre.php",
      "valueRefanged": "hxxp[://]158.94.211.95/kelly/five/fre.php",
      "description": "C2 endpoint ของ LokiBot",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป",
          "url": "/posts/2026/06/182/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "url:hxxp[://]158.94.211.95/kelly/five/fre.php"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp[://]kbfvzoboss[.]bid/alien/fre.php",
      "valueRefanged": "hxxp[://]kbfvzoboss.bid/alien/fre.php",
      "description": "C2 endpoint ของ LokiBot",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป",
          "url": "/posts/2026/06/182/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "url:hxxp[://]kbfvzoboss.bid/alien/fre.php"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp[://]alphastand[.]trade/alien/fre.php",
      "valueRefanged": "hxxp[://]alphastand.trade/alien/fre.php",
      "description": "C2 endpoint ของ LokiBot",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป",
          "url": "/posts/2026/06/182/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "url:hxxp[://]alphastand.trade/alien/fre.php"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp[://]alphastand[.]win/alien/fre.php",
      "valueRefanged": "hxxp[://]alphastand.win/alien/fre.php",
      "description": "C2 endpoint ของ LokiBot",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป",
          "url": "/posts/2026/06/182/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "url:hxxp[://]alphastand.win/alien/fre.php"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp[://]alphastand[.]top/alien/fre.php",
      "valueRefanged": "hxxp[://]alphastand.top/alien/fre.php",
      "description": "C2 endpoint ของ LokiBot",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป",
          "url": "/posts/2026/06/182/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "url:hxxp[://]alphastand.top/alien/fre.php"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps[:]//api[.]anthropic[.]com/v1/api",
      "valueRefanged": "https://api.anthropic.com/v1/api",
      "description": "ปลอมตัวเป็น Anthropic API สำหรับการสื่อสาร payload",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "url:https://api.anthropic.com/v1/api"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps[:]//api[.]github[.]com",
      "valueRefanged": "https://api.github.com",
      "description": "GitHub API ใช้ทำ dead-drop exfiltration",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "url:https://api.github.com"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps[:]//github[.]com/oven-sh/bun/releases/download/bun-v1.3.13/",
      "valueRefanged": "https://github.com/oven-sh/bun/releases/download/bun-v1.3.13/",
      "description": "ดาวน์โหลด Bun runtime โดย payload",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/oven-sh/bun/releases/download/bun-v1.3.13/"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "158.94.211[.]95",
      "valueRefanged": "158.94.211.95",
      "description": "IP เซิร์ฟเวอร์ C2 ของ LokiBot",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป",
          "url": "/posts/2026/06/182/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "ip address:158.94.211.95"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "/tmp/p*.js",
      "valueRefanged": "/tmp/p*.js",
      "description": "สคริปต์ payload ชั่วคราว",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "file path:/tmp/p*.js"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "/tmp/b-/bun",
      "valueRefanged": "/tmp/b-/bun",
      "description": "Bun runtime binary ที่ถูกดรอปใน temp",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "file path:/tmp/b-/bun"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "~/.config/gh-token-monitor/",
      "valueRefanged": "~/.config/gh-token-monitor/",
      "description": "ไดเรกทอรี config สำหรับ persistence",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "file path:~/.config/gh-token-monitor/"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "~/.config/systemd/user/gh-token-monitor.service",
      "valueRefanged": "~/.config/systemd/user/gh-token-monitor.service",
      "description": "systemd persistence service บน Linux",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "file path:~/.config/systemd/user/gh-token-monitor.service"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "~/Library/LaunchAgents/com.user.gh-token-monitor.plist",
      "valueRefanged": "~/Library/LaunchAgents/com.user.gh-token-monitor.plist",
      "description": "LaunchAgent persistence บน macOS",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา",
          "url": "/posts/2026/06/181/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "file path:~/library/launchagents/com.user.gh-token-monitor.plist"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "gruijvdsdbcmcvbtryedfhpoibbedflokjqnb.js",
      "valueRefanged": "gruijvdsdbcmcvbtryedfhpoibbedflokjqnb.js",
      "description": "ไฟล์แนบ JScript อันตราย (dropper เริ่มต้น)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป",
          "url": "/posts/2026/06/182/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "file name:gruijvdsdbcmcvbtryedfhpoibbedflokjqnb.js"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "us-west-login[.]com",
      "valueRefanged": "us-west-login.com",
      "description": "โดเมนฟิชชิ่ง AWS จดทะเบียนผ่าน NICENIC",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "พบชุดฟิชชิ่ง AiTM เจาะ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ — ทำให้ MFA แทบไร้ผล",
          "url": "/posts/2026/06/180/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:us-west-login.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "aws.us-west-login[.]com",
      "valueRefanged": "aws.us-west-login.com",
      "description": "ซับโดเมนฟิชชิ่ง AWS",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "พบชุดฟิชชิ่ง AiTM เจาะ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ — ทำให้ MFA แทบไร้ผล",
          "url": "/posts/2026/06/180/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:aws.us-west-login.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "aws-central.us-west-login[.]com",
      "valueRefanged": "aws-central.us-west-login.com",
      "description": "ซับโดเมนฟิชชิ่ง AWS",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "พบชุดฟิชชิ่ง AiTM เจาะ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ — ทำให้ MFA แทบไร้ผล",
          "url": "/posts/2026/06/180/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:aws-central.us-west-login.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "us-east-prod[.]com",
      "valueRefanged": "us-east-prod.com",
      "description": "โดเมนฟิชชิ่ง AWS จดทะเบียนผ่าน NICENIC",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "พบชุดฟิชชิ่ง AiTM เจาะ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ — ทำให้ MFA แทบไร้ผล",
          "url": "/posts/2026/06/180/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:us-east-prod.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "aws.us-east-prod[.]com",
      "valueRefanged": "aws.us-east-prod.com",
      "description": "ซับโดเมนฟิชชิ่ง AWS",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "พบชุดฟิชชิ่ง AiTM เจาะ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ — ทำให้ MFA แทบไร้ผล",
          "url": "/posts/2026/06/180/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:aws.us-east-prod.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "loginportal-aws[.]com",
      "valueRefanged": "loginportal-aws.com",
      "description": "โดเมนฟิชชิ่ง AWS (ไม่พบ parameter input_24)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "พบชุดฟิชชิ่ง AiTM เจาะ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ — ทำให้ MFA แทบไร้ผล",
          "url": "/posts/2026/06/180/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:loginportal-aws.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "switch-sglogin[.]com",
      "valueRefanged": "switch-sglogin.com",
      "description": "โดเมนฟิชชิ่ง SendGrid จดทะเบียนผ่าน NICENIC",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "พบชุดฟิชชิ่ง AiTM เจาะ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ — ทำให้ MFA แทบไร้ผล",
          "url": "/posts/2026/06/180/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:switch-sglogin.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "uslogin-prodsg[.]com",
      "valueRefanged": "uslogin-prodsg.com",
      "description": "โดเมนฟิชชิ่ง SendGrid จดทะเบียนผ่าน NICENIC",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "พบชุดฟิชชิ่ง AiTM เจาะ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ — ทำให้ MFA แทบไร้ผล",
          "url": "/posts/2026/06/180/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:uslogin-prodsg.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "sendgrid.uslogin-prodsg[.]com",
      "valueRefanged": "sendgrid.uslogin-prodsg.com",
      "description": "ซับโดเมนฟิชชิ่ง SendGrid",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "พบชุดฟิชชิ่ง AiTM เจาะ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ — ทำให้ MFA แทบไร้ผล",
          "url": "/posts/2026/06/180/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:sendgrid.uslogin-prodsg.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "us-west-prod[.]com",
      "valueRefanged": "us-west-prod.com",
      "description": "โดเมนฟิชชิ่ง SendGrid จดทะเบียนผ่าน NICENIC",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "พบชุดฟิชชิ่ง AiTM เจาะ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ — ทำให้ MFA แทบไร้ผล",
          "url": "/posts/2026/06/180/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:us-west-prod.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "sendgrid.us-west-prod[.]com",
      "valueRefanged": "sendgrid.us-west-prod.com",
      "description": "ซับโดเมนฟิชชิ่ง SendGrid",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "พบชุดฟิชชิ่ง AiTM เจาะ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ — ทำให้ MFA แทบไร้ผล",
          "url": "/posts/2026/06/180/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:sendgrid.us-west-prod.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "15hourolddomain-bypass-ed-google-workspace-protection-fuckgoogle[.]com",
      "valueRefanged": "15hourolddomain-bypass-ed-google-workspace-protection-fuckgoogle.com",
      "description": "โดเมนที่ไม่มีอยู่จริง ถูก ping โดยสคริปต์ตรวจสอบของผู้โจมตี (พบบน VirusTotal)",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "พบชุดฟิชชิ่ง AiTM เจาะ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ — ทำให้ MFA แทบไร้ผล",
          "url": "/posts/2026/06/180/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:15hourolddomain-bypass-ed-google-workspace-protection-fuckgoogle.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "kbfvzoboss[.]bid",
      "valueRefanged": "kbfvzoboss.bid",
      "description": "โดเมน C2 ของ LokiBot",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป",
          "url": "/posts/2026/06/182/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:kbfvzoboss.bid"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "alphastand[.]trade",
      "valueRefanged": "alphastand.trade",
      "description": "โดเมน C2 ของ LokiBot",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป",
          "url": "/posts/2026/06/182/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:alphastand.trade"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "alphastand[.]win",
      "valueRefanged": "alphastand.win",
      "description": "โดเมน C2 ของ LokiBot",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป",
          "url": "/posts/2026/06/182/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:alphastand.win"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "alphastand[.]top",
      "valueRefanged": "alphastand.top",
      "description": "โดเมน C2 ของ LokiBot",
      "firstSeen": "2026-06-25",
      "lastSeen": "2026-06-25",
      "sources": [
        {
          "title": "LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป",
          "url": "/posts/2026/06/182/",
          "date": "2026-06-25"
        }
      ],
      "tags": [],
      "id": "domain:alphastand.top"
    },
    {
      "type": "Vulnerability",
      "category": "hunt-only",
      "valueDefanged": "CVE-2025-49706",
      "valueRefanged": "CVE-2025-49706",
      "description": "ช่องโหว่ SharePoint ที่ Storm-2603 ใช้เข้าถึงเริ่มต้น",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "แฮ็กเกอร์เจาะเซิร์ฟเวอร์ SharePoint ที่ไม่แพตช์ ติดตั้ง ransomware และ backdoor — พบ 2 กลุ่มลงมือพร้อมกัน",
          "url": "/posts/2026/06/162/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "vulnerability:cve-2025-49706"
    },
    {
      "type": "Vulnerability",
      "category": "hunt-only",
      "valueDefanged": "CVE-2025-49704",
      "valueRefanged": "CVE-2025-49704",
      "description": "ช่องโหว่ SharePoint ที่ Storm-2603 ใช้เข้าถึงเริ่มต้น",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "แฮ็กเกอร์เจาะเซิร์ฟเวอร์ SharePoint ที่ไม่แพตช์ ติดตั้ง ransomware และ backdoor — พบ 2 กลุ่มลงมือพร้อมกัน",
          "url": "/posts/2026/06/162/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "vulnerability:cve-2025-49704"
    },
    {
      "type": "Vulnerability",
      "category": "hunt-only",
      "valueDefanged": "CVE-2025-11371",
      "valueRefanged": "CVE-2025-11371",
      "description": "ช่องโหว่ unauthenticated local file inclusion ใช้เข้าถึงไฟล์ระบบสำคัญ",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "แฮ็กเกอร์เจาะเซิร์ฟเวอร์ SharePoint ที่ไม่แพตช์ ติดตั้ง ransomware และ backdoor — พบ 2 กลุ่มลงมือพร้อมกัน",
          "url": "/posts/2026/06/162/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "vulnerability:cve-2025-11371"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https://t[.]me/flufff6262",
      "valueRefanged": "https://t.me/flufff6262",
      "description": "ช่อง Telegram dead-drop ที่ใช้ resolve ที่อยู่ C2 สด",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "url:https://t.me/flufff6262"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https://cdnexpress[.]cc/analytics",
      "valueRefanged": "https://cdnexpress.cc/analytics",
      "description": "endpoint beacon ของ implant Stage-2",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "url:https://cdnexpress.cc/analytics"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "28f58061348a1c54fa6e7ff6618630259618d4afdf78514d5fccfc993797cdff",
      "valueRefanged": "28f58061348a1c54fa6e7ff6618630259618d4afdf78514d5fccfc993797cdff",
      "description": "Besomar_documentation.rar – ไฟล์บีบอัดส่งมอบเริ่มต้น",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "sha-256:28f58061348a1c54fa6e7ff6618630259618d4afdf78514d5fccfc993797cdff"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "ab5681266f70af7df24383f15de876e411fc18e35cb6f24603b12f580b05ccb3",
      "valueRefanged": "ab5681266f70af7df24383f15de876e411fc18e35cb6f24603b12f580b05ccb3",
      "description": "122.exe – XOR-overlay loader (Stage-1)",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "sha-256:ab5681266f70af7df24383f15de876e411fc18e35cb6f24603b12f580b05ccb3"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "8de34006dafd990853a45cbe9aaab4ee18c8cd4c1ad0a98fe71f8d63cd60db25",
      "valueRefanged": "8de34006dafd990853a45cbe9aaab4ee18c8cd4c1ad0a98fe71f8d63cd60db25",
      "description": "22.exe – Go-based Xray/Vidar v2 launcher",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "sha-256:8de34006dafd990853a45cbe9aaab4ee18c8cd4c1ad0a98fe71f8d63cd60db25"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "b1834634820ae696f0514ca2b6723061f115857232306e573f4d115bc6ead012",
      "valueRefanged": "b1834634820ae696f0514ca2b6723061f115857232306e573f4d115bc6ead012",
      "description": "update.exe – in-memory HTTPS stager",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "sha-256:b1834634820ae696f0514ca2b6723061f115857232306e573f4d115bc6ead012"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "423c98b9a8ad09bbb0aa24e86c23095ef6a26e30b3db07358927929d2fb2ecb3",
      "valueRefanged": "423c98b9a8ad09bbb0aa24e86c23095ef6a26e30b3db07358927929d2fb2ecb3",
      "description": "client.key.pem – กุญแจส่วนตัวของ implant",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "sha-256:423c98b9a8ad09bbb0aa24e86c23095ef6a26e30b3db07358927929d2fb2ecb3"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "1d6f3e8583ce84b892097a03b0d4525850f8d3c59dea56482f17e5c44422dc89",
      "valueRefanged": "1d6f3e8583ce84b892097a03b0d4525850f8d3c59dea56482f17e5c44422dc89",
      "description": "client.cert.pem – ใบรับรองไคลเอนต์ mTLS",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "sha-256:1d6f3e8583ce84b892097a03b0d4525850f8d3c59dea56482f17e5c44422dc89"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "c91874dc34e991e614060d6f16da7d4680e5eb7d36fba489644863f4c6c8cf66",
      "valueRefanged": "c91874dc34e991e614060d6f16da7d4680e5eb7d36fba489644863f4c6c8cf66",
      "description": "config.pfx – PKCS#12 container ที่สกัดจาก implant",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "sha-256:c91874dc34e991e614060d6f16da7d4680e5eb7d36fba489644863f4c6c8cf66"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "cff6007dbb9826d0a08865f47a71b31e90c5067c637ac863e360315da984f107",
      "valueRefanged": "cff6007dbb9826d0a08865f47a71b31e90c5067c637ac863e360315da984f107",
      "description": "MicrosoftUpdate-1.302.1609.vbs – สคริปต์ฝังตัวใน Startup",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "sha-256:cff6007dbb9826d0a08865f47a71b31e90c5067c637ac863e360315da984f107"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "154.58.204[.]149",
      "valueRefanged": "154.58.204.149",
      "description": "IP โฮสต์ของ cloudaxis.cc (Madrid/Cogent, AS214036 Ultahost)",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "ip address:154.58.204.149"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "5.252.177[.]88",
      "valueRefanged": "5.252.177.88",
      "description": "IP C2 ของ cdnexpress.cc (MivoCloud, AS39798)",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "ip address:5.252.177.88"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "5.181.156[.]168",
      "valueRefanged": "5.181.156.168",
      "description": "ปลายทางอุโมงค์ Xray VLESS พอร์ต 25475 (MivoCloud, AS39798)",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "ip address:5.181.156.168"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "86.54.25[.]2",
      "valueRefanged": "86.54.25.2",
      "description": "IP C2 Metasploit ที่ resolve ผ่าน Telegram dead-drop",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "ip address:86.54.25.2"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "NSecKrnl.sys",
      "valueRefanged": "NSecKrnl.sys",
      "description": "ไดรเวอร์ที่มีช่องโหว่ โหลดเพื่อใช้ BYOVD เข้าถึง kernel และปิดระบบป้องกัน",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "แฮ็กเกอร์เจาะเซิร์ฟเวอร์ SharePoint ที่ไม่แพตช์ ติดตั้ง ransomware และ backdoor — พบ 2 กลุ่มลงมือพร้อมกัน",
          "url": "/posts/2026/06/162/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "file name:nseckrnl.sys"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "ulib.dll",
      "valueRefanged": "ulib.dll",
      "description": "DLL อันตรายใช้ sideload ผ่าน replace.exe บน Device A",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "แฮ็กเกอร์เจาะเซิร์ฟเวอร์ SharePoint ที่ไม่แพตช์ ติดตั้ง ransomware และ backdoor — พบ 2 กลุ่มลงมือพร้อมกัน",
          "url": "/posts/2026/06/162/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "file name:ulib.dll"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "srvcli.dll",
      "valueRefanged": "srvcli.dll",
      "description": "DLL อันตรายไม่ได้เซ็น ทิ้งไว้ที่ %LOCALAPPDATA%\\Temp และ C:\\Users\\Public\\Documents",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "แฮ็กเกอร์เจาะเซิร์ฟเวอร์ SharePoint ที่ไม่แพตช์ ติดตั้ง ransomware และ backdoor — พบ 2 กลุ่มลงมือพร้อมกัน",
          "url": "/posts/2026/06/162/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "file name:srvcli.dll"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "NTDS.zip",
      "valueRefanged": "NTDS.zip",
      "description": "ไฟล์บีบอัดที่กลุ่มไม่ทราบชื่อสร้างขึ้น บรรจุ NTDS.dit ที่ขโมยมา",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "แฮ็กเกอร์เจาะเซิร์ฟเวอร์ SharePoint ที่ไม่แพตช์ ติดตั้ง ransomware และ backdoor — พบ 2 กลุ่มลงมือพร้อมกัน",
          "url": "/posts/2026/06/162/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "file name:ntds.zip"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "NTDS.dit",
      "valueRefanged": "NTDS.dit",
      "description": "ฐานข้อมูล credential ของ Active Directory ที่เป็นเป้าหมายการขโมย",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "แฮ็กเกอร์เจาะเซิร์ฟเวอร์ SharePoint ที่ไม่แพตช์ ติดตั้ง ransomware และ backdoor — พบ 2 กลุ่มลงมือพร้อมกัน",
          "url": "/posts/2026/06/162/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "file name:ntds.dit"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "win.ini",
      "valueRefanged": "win.ini",
      "description": "ไฟล์ที่ถูกร้องขอระหว่างขั้นตอน reconnaissance/probing",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "แฮ็กเกอร์เจาะเซิร์ฟเวอร์ SharePoint ที่ไม่แพตช์ ติดตั้ง ransomware และ backdoor — พบ 2 กลุ่มลงมือพร้อมกัน",
          "url": "/posts/2026/06/162/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "file name:win.ini"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "web.config",
      "valueRefanged": "web.config",
      "description": "ไฟล์ที่ถูกร้องขอระหว่าง probing บ่งชี้การทดสอบ local file inclusion",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "แฮ็กเกอร์เจาะเซิร์ฟเวอร์ SharePoint ที่ไม่แพตช์ ติดตั้ง ransomware และ backdoor — พบ 2 กลุ่มลงมือพร้อมกัน",
          "url": "/posts/2026/06/162/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "file name:web.config"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "cloudaxis[.]cc",
      "valueRefanged": "cloudaxis.cc",
      "description": "โดเมนส่งมอบ payload Stage-1 (จดทะเบียน ก.พ. 2026)",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "domain:cloudaxis.cc"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "cdnexpress[.]cc",
      "valueRefanged": "cdnexpress.cc",
      "description": "โดเมน C2 แบบ mTLS Stage-2",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "domain:cdnexpress.cc"
    },
    {
      "type": "Certificate Subject",
      "category": "hunt-only",
      "valueDefanged": "CN=ed6e62814295701f",
      "valueRefanged": "CN=ed6e62814295701f",
      "description": "ตัวระบุต่อ implant ที่ฝังในใบรับรองไคลเอนต์ mTLS",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "certificate subject:cn=ed6e62814295701f"
    },
    {
      "type": "Certificate Issuer",
      "category": "hunt-only",
      "valueDefanged": "CN=GhostShell Implant CA",
      "valueRefanged": "CN=GhostShell Implant CA",
      "description": "ผู้ออกใบรับรอง CA ส่วนตัวที่ฝังใน C2 builder – จุด pivot หลักของคลัสเตอร์",
      "firstSeen": "2026-06-24",
      "lastSeen": "2026-06-24",
      "sources": [
        {
          "title": "GhostShell มัลแวร์ใหม่เจาะอุตสาหกรรมโดรนยูเครน — ใช้ mTLS implant และ Telegram เป็น dead-drop",
          "url": "/posts/2026/06/167/",
          "date": "2026-06-24"
        }
      ],
      "tags": [],
      "id": "certificate issuer:cn=ghostshell implant ca"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "fdfc9780b3c67acac3ca1acfdc9a890dcfee2d5d58fbcef8eac3fc80aa1cf2b3",
      "valueRefanged": "fdfc9780b3c67acac3ca1acfdc9a890dcfee2d5d58fbcef8eac3fc80aa1cf2b3",
      "description": "OXLOADER downloader/launcher (Bild0erSetup.bat)",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมตัวติดตั้ง Node.js ผ่าน Google Ads — ปล่อยมัลแวร์ตัวใหม่ OXLOADER ส่ง CASTLESTEALER ขโมยข้อมูล",
          "url": "/posts/2026/06/151/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "sha-256:fdfc9780b3c67acac3ca1acfdc9a890dcfee2d5d58fbcef8eac3fc80aa1cf2b3"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "de2b7c7a9e7c006e7ca990e77e7dff9b8b73aa9e9e24b98a7f88d3b3fff7c2b3",
      "valueRefanged": "de2b7c7a9e7c006e7ca990e77e7dff9b8b73aa9e9e24b98a7f88d3b3fff7c2b3",
      "description": "OXLOADER downloader/launcher (สายพันธุ์)",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมตัวติดตั้ง Node.js ผ่าน Google Ads — ปล่อยมัลแวร์ตัวใหม่ OXLOADER ส่ง CASTLESTEALER ขโมยข้อมูล",
          "url": "/posts/2026/06/151/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "sha-256:de2b7c7a9e7c006e7ca990e77e7dff9b8b73aa9e9e24b98a7f88d3b3fff7c2b3"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "ca99a9fd118f8a99a9bc99ca9bb9cdfc7cd3b3db9fbcd3fecd3fecd7fe9f0f6f",
      "valueRefanged": "ca99a9fd118f8a99a9bc99ca9bb9cdfc7cd3b3db9fbcd3fecd3fecd7fe9f0f6f",
      "description": "apimonitor-x64.exe (OXLOADER)",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมตัวติดตั้ง Node.js ผ่าน Google Ads — ปล่อยมัลแวร์ตัวใหม่ OXLOADER ส่ง CASTLESTEALER ขโมยข้อมูล",
          "url": "/posts/2026/06/151/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "sha-256:ca99a9fd118f8a99a9bc99ca9bb9cdfc7cd3b3db9fbcd3fecd3fecd7fe9f0f6f"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "ce8f8dcb3ca9e9190fd7818f1e7ab87b9fc8f8e7fc88fee8fcc8f8e7fc88fee8",
      "valueRefanged": "ce8f8dcb3ca9e9190fd7818f1e7ab87b9fc8f8e7fc88fee8fcc8f8e7fc88fee8",
      "description": "node-v20.7.0-x64.exe (OXLOADER)",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมตัวติดตั้ง Node.js ผ่าน Google Ads — ปล่อยมัลแวร์ตัวใหม่ OXLOADER ส่ง CASTLESTEALER ขโมยข้อมูล",
          "url": "/posts/2026/06/151/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "sha-256:ce8f8dcb3ca9e9190fd7818f1e7ab87b9fc8f8e7fc88fee8fcc8f8e7fc88fee8"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "9a67a98fdc9e8e6e7886e9c0e8c668b87c0b66e8f07c8e1f7e89f7c8ca7e8cc8",
      "valueRefanged": "9a67a98fdc9e8e6e7886e9c0e8c668b87c0b66e8f07c8e1f7e89f7c8ca7e8cc8",
      "description": "CASTLESTEALER",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมตัวติดตั้ง Node.js ผ่าน Google Ads — ปล่อยมัลแวร์ตัวใหม่ OXLOADER ส่ง CASTLESTEALER ขโมยข้อมูล",
          "url": "/posts/2026/06/151/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "sha-256:9a67a98fdc9e8e6e7886e9c0e8c668b87c0b66e8f07c8e1f7e89f7c8ca7e8cc8"
    },
    {
      "type": "Process",
      "category": "hunt-only",
      "valueDefanged": "syswapd0h, syswapd0w",
      "valueRefanged": "syswapd0h, syswapd0w",
      "description": "ชื่อโปรเซสมัลแวร์",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "AryStinger เปลี่ยนเราเตอร์เก่า 4,300 ตัวเป็นเครือข่ายสอดแนม — ใช้ช่องโหว่ปี 2013-2016 สร้างพร็อกซีซ่อนตัวก่อนเจาะระบบ",
          "url": "/posts/2026/06/149/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "process:syswapd0h, syswapd0w"
    },
    {
      "type": "Port",
      "category": "hunt-only",
      "valueDefanged": "2332 (Dropbear SSH)",
      "valueRefanged": "2332 (Dropbear SSH)",
      "description": "พอร์ตคงอยู่บนเราเตอร์",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "AryStinger เปลี่ยนเราเตอร์เก่า 4,300 ตัวเป็นเครือข่ายสอดแนม — ใช้ช่องโหว่ปี 2013-2016 สร้างพร็อกซีซ่อนตัวก่อนเจาะระบบ",
          "url": "/posts/2026/06/149/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "port:2332 (dropbear ssh)"
    },
    {
      "type": "Path",
      "category": "hunt-only",
      "valueDefanged": "/tmp/bin",
      "valueRefanged": "/tmp/bin",
      "description": "ตำแหน่งไบนารีมัลแวร์",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "AryStinger เปลี่ยนเราเตอร์เก่า 4,300 ตัวเป็นเครือข่ายสอดแนม — ใช้ช่องโหว่ปี 2013-2016 สร้างพร็อกซีซ่อนตัวก่อนเจาะระบบ",
          "url": "/posts/2026/06/149/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "path:/tmp/bin"
    },
    {
      "type": "IPv4",
      "category": "hunt-only",
      "valueDefanged": "52.78.2[.]74",
      "valueRefanged": "52.78.2[.]74",
      "description": "CASTLESTEALER C2",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมตัวติดตั้ง Node.js ผ่าน Google Ads — ปล่อยมัลแวร์ตัวใหม่ OXLOADER ส่ง CASTLESTEALER ขโมยข้อมูล",
          "url": "/posts/2026/06/151/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "ipv4:52.78.2[.]74"
    },
    {
      "type": "IPv4",
      "category": "hunt-only",
      "valueDefanged": "52.78.77[.]48",
      "valueRefanged": "52.78.77[.]48",
      "description": "CASTLESTEALER C2",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมตัวติดตั้ง Node.js ผ่าน Google Ads — ปล่อยมัลแวร์ตัวใหม่ OXLOADER ส่ง CASTLESTEALER ขโมยข้อมูล",
          "url": "/posts/2026/06/151/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "ipv4:52.78.77[.]48"
    },
    {
      "type": "IPv4",
      "category": "hunt-only",
      "valueDefanged": "107.150.106[.]14",
      "valueRefanged": "107.150.106[.]14",
      "description": "IP ต้นทางแพร่กระจาย AryStinger ครั้งแรก",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "AryStinger เปลี่ยนเราเตอร์เก่า 4,300 ตัวเป็นเครือข่ายสอดแนม — ใช้ช่องโหว่ปี 2013-2016 สร้างพร็อกซีซ่อนตัวก่อนเจาะระบบ",
          "url": "/posts/2026/06/149/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "ipv4:107.150.106[.]14"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "nodejs-preventive[.]info",
      "valueRefanged": "nodejs-preventive.info",
      "description": "หน้า landing page malvertising",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมตัวติดตั้ง Node.js ผ่าน Google Ads — ปล่อยมัลแวร์ตัวใหม่ OXLOADER ส่ง CASTLESTEALER ขโมยข้อมูล",
          "url": "/posts/2026/06/151/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "domain:nodejs-preventive.info"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "app.miloyannopoulos[.]com",
      "valueRefanged": "app.miloyannopoulos.com",
      "description": "ตัวเปลี่ยนทาง malvertising",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมตัวติดตั้ง Node.js ผ่าน Google Ads — ปล่อยมัลแวร์ตัวใหม่ OXLOADER ส่ง CASTLESTEALER ขโมยข้อมูล",
          "url": "/posts/2026/06/151/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "domain:app.miloyannopoulos.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "ajb8[.]com",
      "valueRefanged": "ajb8.com",
      "description": "โดเมน C2 / ดาวน์โหลด",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "AryStinger เปลี่ยนเราเตอร์เก่า 4,300 ตัวเป็นเครือข่ายสอดแนม — ใช้ช่องโหว่ปี 2013-2016 สร้างพร็อกซีซ่อนตัวก่อนเจาะระบบ",
          "url": "/posts/2026/06/149/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "domain:ajb8.com"
    },
    {
      "type": "CVE",
      "category": "hunt-only",
      "valueDefanged": "CVE-2013-3307",
      "valueRefanged": "CVE-2013-3307",
      "description": "ช่องโหว่เราเตอร์ Linksys",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "AryStinger เปลี่ยนเราเตอร์เก่า 4,300 ตัวเป็นเครือข่ายสอดแนม — ใช้ช่องโหว่ปี 2013-2016 สร้างพร็อกซีซ่อนตัวก่อนเจาะระบบ",
          "url": "/posts/2026/06/149/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "cve:cve-2013-3307"
    },
    {
      "type": "CVE",
      "category": "hunt-only",
      "valueDefanged": "CVE-2016-5681",
      "valueRefanged": "CVE-2016-5681",
      "description": "ช่องโหว่เราเตอร์ D-Link",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "AryStinger เปลี่ยนเราเตอร์เก่า 4,300 ตัวเป็นเครือข่ายสอดแนม — ใช้ช่องโหว่ปี 2013-2016 สร้างพร็อกซีซ่อนตัวก่อนเจาะระบบ",
          "url": "/posts/2026/06/149/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "cve:cve-2016-5681"
    },
    {
      "type": "CVE",
      "category": "hunt-only",
      "valueDefanged": "CVE-2025-11837",
      "valueRefanged": "CVE-2025-11837",
      "description": "ช่องโหว่ code injection ใน QNAP Malware Remover",
      "firstSeen": "2026-06-22",
      "lastSeen": "2026-06-22",
      "sources": [
        {
          "title": "AryStinger เปลี่ยนเราเตอร์เก่า 4,300 ตัวเป็นเครือข่ายสอดแนม — ใช้ช่องโหว่ปี 2013-2016 สร้างพร็อกซีซ่อนตัวก่อนเจาะระบบ",
          "url": "/posts/2026/06/149/",
          "date": "2026-06-22"
        }
      ],
      "tags": [],
      "id": "cve:cve-2025-11837"
    },
    {
      "type": "npm scope",
      "category": "hunt-only",
      "valueDefanged": "@mastra/*",
      "valueRefanged": "@mastra/*",
      "description": "package กว่า 140 ตัวที่ถูกฝัง malware",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "Microsoft โยงเหตุโจมตี Supply Chain ของ Mastra AI กับแฮ็กเกอร์เกาหลีเหนือ Sapphire Sleet — ฝัง malware ใน 140+ npm package",
          "url": "/posts/2026/06/147/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "npm scope:@mastra/*"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "easy-day-js",
      "valueRefanged": "easy-day-js",
      "description": "dependency อันตราย typosquat ของ dayjs",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "Microsoft โยงเหตุโจมตี Supply Chain ของ Mastra AI กับแฮ็กเกอร์เกาหลีเหนือ Sapphire Sleet — ฝัง malware ใน 140+ npm package",
          "url": "/posts/2026/06/147/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "npm package:easy-day-js"
    },
    {
      "type": "npm account",
      "category": "hunt-only",
      "valueDefanged": "ehindero",
      "valueRefanged": "ehindero",
      "description": "บัญชี maintainer ที่ถูกยึด",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "Microsoft โยงเหตุโจมตี Supply Chain ของ Mastra AI กับแฮ็กเกอร์เกาหลีเหนือ Sapphire Sleet — ฝัง malware ใน 140+ npm package",
          "url": "/posts/2026/06/147/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "npm account:ehindero"
    },
    {
      "type": "URI",
      "category": "hunt-only",
      "valueDefanged": "/wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings",
      "valueRefanged": "/wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings",
      "description": "endpoint ที่ถูกโจมตีดึง System Report",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แฮ็กเกอร์เร่งโจมตีปลั๊กอิน Gravity SMTP บน WordPress — ช่องโหว่ CVE-2026-4020 เปิดเผย API Key กว่าแสนเว็บ",
          "url": "/posts/2026/06/145/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "uri:/wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings"
    },
    {
      "type": "Threat actor",
      "category": "hunt-only",
      "valueDefanged": "Sapphire Sleet / BlueNoroff",
      "valueRefanged": "Sapphire Sleet / BlueNoroff",
      "description": "กลุ่มแฮ็กเกอร์รัฐเกาหลีเหนือ",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "Microsoft โยงเหตุโจมตี Supply Chain ของ Mastra AI กับแฮ็กเกอร์เกาหลีเหนือ Sapphire Sleet — ฝัง malware ใน 140+ npm package",
          "url": "/posts/2026/06/147/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "threat actor:sapphire sleet / bluenoroff"
    },
    {
      "type": "Malware",
      "category": "hunt-only",
      "valueDefanged": "buildx641 (OxideHarvest)",
      "valueRefanged": "buildx641 (OxideHarvest)",
      "description": "infostealer เขียนด้วย Rust ขโมยข้อมูลจากเบราว์เซอร์",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี",
          "url": "/posts/2026/06/143/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "malware:buildx641 (oxideharvest)"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "45.148.10.95",
      "valueRefanged": "45.148.10.95",
      "description": "ต้นทางความพยายามโจมตี CVE-2026-4020",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แฮ็กเกอร์เร่งโจมตีปลั๊กอิน Gravity SMTP บน WordPress — ช่องโหว่ CVE-2026-4020 เปิดเผย API Key กว่าแสนเว็บ",
          "url": "/posts/2026/06/145/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "ip address:45.148.10.95"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "193.32.162.60",
      "valueRefanged": "193.32.162.60",
      "description": "ต้นทางความพยายามโจมตี",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แฮ็กเกอร์เร่งโจมตีปลั๊กอิน Gravity SMTP บน WordPress — ช่องโหว่ CVE-2026-4020 เปิดเผย API Key กว่าแสนเว็บ",
          "url": "/posts/2026/06/145/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "ip address:193.32.162.60"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "176.65.148.139",
      "valueRefanged": "176.65.148.139",
      "description": "ต้นทางความพยายามโจมตี",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แฮ็กเกอร์เร่งโจมตีปลั๊กอิน Gravity SMTP บน WordPress — ช่องโหว่ CVE-2026-4020 เปิดเผย API Key กว่าแสนเว็บ",
          "url": "/posts/2026/06/145/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "ip address:176.65.148.139"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "173.199.90.188",
      "valueRefanged": "173.199.90.188",
      "description": "ต้นทางความพยายามโจมตี",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แฮ็กเกอร์เร่งโจมตีปลั๊กอิน Gravity SMTP บน WordPress — ช่องโหว่ CVE-2026-4020 เปิดเผย API Key กว่าแสนเว็บ",
          "url": "/posts/2026/06/145/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "ip address:173.199.90.188"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "45.148.10.120",
      "valueRefanged": "45.148.10.120",
      "description": "ต้นทางความพยายามโจมตี",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แฮ็กเกอร์เร่งโจมตีปลั๊กอิน Gravity SMTP บน WordPress — ช่องโหว่ CVE-2026-4020 เปิดเผย API Key กว่าแสนเว็บ",
          "url": "/posts/2026/06/145/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "ip address:45.148.10.120"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "185.8.107.155",
      "valueRefanged": "185.8.107.155",
      "description": "ต้นทางความพยายามโจมตี",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แฮ็กเกอร์เร่งโจมตีปลั๊กอิน Gravity SMTP บน WordPress — ช่องโหว่ CVE-2026-4020 เปิดเผย API Key กว่าแสนเว็บ",
          "url": "/posts/2026/06/145/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "ip address:185.8.107.155"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "185.8.106.37",
      "valueRefanged": "185.8.106.37",
      "description": "ต้นทางความพยายามโจมตี",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แฮ็กเกอร์เร่งโจมตีปลั๊กอิน Gravity SMTP บน WordPress — ช่องโหว่ CVE-2026-4020 เปิดเผย API Key กว่าแสนเว็บ",
          "url": "/posts/2026/06/145/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "ip address:185.8.106.37"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "185.8.106.92",
      "valueRefanged": "185.8.106.92",
      "description": "ต้นทางความพยายามโจมตี",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แฮ็กเกอร์เร่งโจมตีปลั๊กอิน Gravity SMTP บน WordPress — ช่องโหว่ CVE-2026-4020 เปิดเผย API Key กว่าแสนเว็บ",
          "url": "/posts/2026/06/145/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "ip address:185.8.106.92"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "185.8.106.145",
      "valueRefanged": "185.8.106.145",
      "description": "ต้นทางความพยายามโจมตี",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แฮ็กเกอร์เร่งโจมตีปลั๊กอิน Gravity SMTP บน WordPress — ช่องโหว่ CVE-2026-4020 เปิดเผย API Key กว่าแสนเว็บ",
          "url": "/posts/2026/06/145/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "ip address:185.8.106.145"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "176.65.148.30",
      "valueRefanged": "176.65.148.30",
      "description": "ต้นทางความพยายามโจมตี",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แฮ็กเกอร์เร่งโจมตีปลั๊กอิน Gravity SMTP บน WordPress — ช่องโหว่ CVE-2026-4020 เปิดเผย API Key กว่าแสนเว็บ",
          "url": "/posts/2026/06/145/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "ip address:176.65.148.30"
    },
    {
      "type": "Driver",
      "category": "hunt-only",
      "valueDefanged": "eb.sys",
      "valueRefanged": "eb.sys",
      "description": "ไดรเวอร์ Kaspersky ที่ถูกใช้ใน BYOVD โดย GentleKiller",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี",
          "url": "/posts/2026/06/143/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "driver:eb.sys"
    },
    {
      "type": "Driver",
      "category": "hunt-only",
      "valueDefanged": "nseckrnl.sys",
      "valueRefanged": "nseckrnl.sys",
      "description": "ไดรเวอร์ FACEIT Anti-Cheat",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี",
          "url": "/posts/2026/06/143/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "driver:nseckrnl.sys"
    },
    {
      "type": "Driver",
      "category": "hunt-only",
      "valueDefanged": "GameDriverX64.sys",
      "valueRefanged": "GameDriverX64.sys",
      "description": "ไดรเวอร์ Valorant",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี",
          "url": "/posts/2026/06/143/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "driver:gamedriverx64.sys"
    },
    {
      "type": "Driver",
      "category": "hunt-only",
      "valueDefanged": "stpm_old.sys / stpm_new.sys",
      "valueRefanged": "stpm_old.sys / stpm_new.sys",
      "description": "ไดรเวอร์ Javelin",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี",
          "url": "/posts/2026/06/143/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "driver:stpm_old.sys / stpm_new.sys"
    },
    {
      "type": "Driver",
      "category": "hunt-only",
      "valueDefanged": "dmx.sys",
      "valueRefanged": "dmx.sys",
      "description": "ไดรเวอร์ WatchDog",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี",
          "url": "/posts/2026/06/143/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "driver:dmx.sys"
    },
    {
      "type": "Driver",
      "category": "hunt-only",
      "valueDefanged": "360netmon_wfp.sys",
      "valueRefanged": "360netmon_wfp.sys",
      "description": "ไดรเวอร์ Network Blocker",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี",
          "url": "/posts/2026/06/143/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "driver:360netmon_wfp.sys"
    },
    {
      "type": "Driver",
      "category": "hunt-only",
      "valueDefanged": "IMFForceDelete.sys",
      "valueRefanged": "IMFForceDelete.sys",
      "description": "ไดรเวอร์ Cleaner",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี",
          "url": "/posts/2026/06/143/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "driver:imfforcedelete.sys"
    },
    {
      "type": "Driver",
      "category": "hunt-only",
      "valueDefanged": "PoisonX.sys",
      "valueRefanged": "PoisonX.sys",
      "description": "ไดรเวอร์ G11 — ใช้ฆ่า CrowdStrike Falcon EDR",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี",
          "url": "/posts/2026/06/143/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "driver:poisonx.sys"
    },
    {
      "type": "Driver",
      "category": "hunt-only",
      "valueDefanged": "googleApiUtil64.sys",
      "valueRefanged": "googleApiUtil64.sys",
      "description": "HexKiller (เดิมเชื่อว่าเป็นของกลุ่ม Warlock)",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี",
          "url": "/posts/2026/06/143/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "driver:googleapiutil64.sys"
    },
    {
      "type": "Driver",
      "category": "hunt-only",
      "valueDefanged": "ThrottleBlood.sys",
      "valueRefanged": "ThrottleBlood.sys",
      "description": "ThrottleBlood (พบใน MedusaLocker, DragonForce)",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี",
          "url": "/posts/2026/06/143/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "driver:throttleblood.sys"
    },
    {
      "type": "Driver",
      "category": "hunt-only",
      "valueDefanged": "havoc.sys",
      "valueRefanged": "havoc.sys",
      "description": "HavocKiller / HwAudKiller",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี",
          "url": "/posts/2026/06/143/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "driver:havoc.sys"
    },
    {
      "type": "Driver",
      "category": "hunt-only",
      "valueDefanged": "hrwfpdrv.sys",
      "valueRefanged": "hrwfpdrv.sys",
      "description": "ไดรเวอร์ที่ใช้ร่วมปิดเครื่องมือความปลอดภัย",
      "firstSeen": "2026-06-20",
      "lastSeen": "2026-06-20",
      "sources": [
        {
          "title": "แรนซัมแวร์ The Gentlemen แจก GentleKiller — ชุดเครื่องมือฆ่า EDR เล็ง 400 โปรเซสความปลอดภัยให้สมาชิกใช้ฟรี",
          "url": "/posts/2026/06/143/",
          "date": "2026-06-20"
        }
      ],
      "tags": [],
      "id": "driver:hrwfpdrv.sys"
    },
    {
      "type": "MD5 Hash",
      "category": "hunt-only",
      "valueDefanged": "297eb45f028d44d750297d2f932b9c91",
      "valueRefanged": "297eb45f028d44d750297d2f932b9c91",
      "description": "st.txt (PowerShell dropper)",
      "firstSeen": "2026-06-18",
      "lastSeen": "2026-06-18",
      "sources": [
        {
          "title": "SmartRAT มัลแวร์ใหม่แพร่ผ่านหน้าธนาคารปลอมที่สร้างด้วย AI — ใช้ ClickFix หลอกเหยื่อรันคำสั่ง PowerShell ติดตั้ง RAT เต็มรูปแบบ",
          "url": "/posts/2026/06/133/",
          "date": "2026-06-18"
        }
      ],
      "tags": [],
      "id": "md5 hash:297eb45f028d44d750297d2f932b9c91"
    },
    {
      "type": "MD5 Hash",
      "category": "hunt-only",
      "valueDefanged": "6bf4d4c62b5138ace281ce3d08297787",
      "valueRefanged": "6bf4d4c62b5138ace281ce3d08297787",
      "description": "payload.php (encrypted loader)",
      "firstSeen": "2026-06-18",
      "lastSeen": "2026-06-18",
      "sources": [
        {
          "title": "SmartRAT มัลแวร์ใหม่แพร่ผ่านหน้าธนาคารปลอมที่สร้างด้วย AI — ใช้ ClickFix หลอกเหยื่อรันคำสั่ง PowerShell ติดตั้ง RAT เต็มรูปแบบ",
          "url": "/posts/2026/06/133/",
          "date": "2026-06-18"
        }
      ],
      "tags": [],
      "id": "md5 hash:6bf4d4c62b5138ace281ce3d08297787"
    },
    {
      "type": "MD5 Hash",
      "category": "hunt-only",
      "valueDefanged": "3c72e1f37f115b00c3ad6ed31bacfe8a",
      "valueRefanged": "3c72e1f37f115b00c3ad6ed31bacfe8a",
      "description": "PowerShell RAT (SmartRAT)",
      "firstSeen": "2026-06-18",
      "lastSeen": "2026-06-18",
      "sources": [
        {
          "title": "SmartRAT มัลแวร์ใหม่แพร่ผ่านหน้าธนาคารปลอมที่สร้างด้วย AI — ใช้ ClickFix หลอกเหยื่อรันคำสั่ง PowerShell ติดตั้ง RAT เต็มรูปแบบ",
          "url": "/posts/2026/06/133/",
          "date": "2026-06-18"
        }
      ],
      "tags": [],
      "id": "md5 hash:3c72e1f37f115b00c3ad6ed31bacfe8a"
    },
    {
      "type": "MD5 Hash",
      "category": "hunt-only",
      "valueDefanged": "b17ccdb5531555e43f082d6e77c07227",
      "valueRefanged": "b17ccdb5531555e43f082d6e77c07227",
      "description": "PowerShell RAT (SmartRAT variant)",
      "firstSeen": "2026-06-18",
      "lastSeen": "2026-06-18",
      "sources": [
        {
          "title": "SmartRAT มัลแวร์ใหม่แพร่ผ่านหน้าธนาคารปลอมที่สร้างด้วย AI — ใช้ ClickFix หลอกเหยื่อรันคำสั่ง PowerShell ติดตั้ง RAT เต็มรูปแบบ",
          "url": "/posts/2026/06/133/",
          "date": "2026-06-18"
        }
      ],
      "tags": [],
      "id": "md5 hash:b17ccdb5531555e43f082d6e77c07227"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "138[.]226[.]246[.]94",
      "valueRefanged": "138.226.246.94",
      "description": "IP ที่เชื่อมโยงกับการขโมยข้อมูล",
      "firstSeen": "2026-06-18",
      "lastSeen": "2026-06-18",
      "sources": [
        {
          "title": "Klue ถูกเจาะ OAuth token — กลุ่ม Icarus ขโมยข้อมูล Salesforce CRM จากหลายองค์กรและเรียกค่าไถ่",
          "url": "/posts/2026/06/137/",
          "date": "2026-06-18"
        }
      ],
      "tags": [],
      "id": "ip address:138.226.246.94"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "212[.]86[.]125[.]24",
      "valueRefanged": "212.86.125.24",
      "description": "IP ที่เชื่อมโยงกับการขโมยข้อมูล",
      "firstSeen": "2026-06-18",
      "lastSeen": "2026-06-18",
      "sources": [
        {
          "title": "Klue ถูกเจาะ OAuth token — กลุ่ม Icarus ขโมยข้อมูล Salesforce CRM จากหลายองค์กรและเรียกค่าไถ่",
          "url": "/posts/2026/06/137/",
          "date": "2026-06-18"
        }
      ],
      "tags": [],
      "id": "ip address:212.86.125.24"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "213[.]111[.]148[.]90",
      "valueRefanged": "213.111.148.90",
      "description": "IP ที่เชื่อมโยงกับการขโมยข้อมูล",
      "firstSeen": "2026-06-18",
      "lastSeen": "2026-06-18",
      "sources": [
        {
          "title": "Klue ถูกเจาะ OAuth token — กลุ่ม Icarus ขโมยข้อมูล Salesforce CRM จากหลายองค์กรและเรียกค่าไถ่",
          "url": "/posts/2026/06/137/",
          "date": "2026-06-18"
        }
      ],
      "tags": [],
      "id": "ip address:213.111.148.90"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "94[.]154[.]32[.]160",
      "valueRefanged": "94.154.32.160",
      "description": "IP ที่เชื่อมโยงกับการขโมยข้อมูล",
      "firstSeen": "2026-06-18",
      "lastSeen": "2026-06-18",
      "sources": [
        {
          "title": "Klue ถูกเจาะ OAuth token — กลุ่ม Icarus ขโมยข้อมูล Salesforce CRM จากหลายองค์กรและเรียกค่าไถ่",
          "url": "/posts/2026/06/137/",
          "date": "2026-06-18"
        }
      ],
      "tags": [],
      "id": "ip address:94.154.32.160"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "64[.]95[.]13[.]238",
      "valueRefanged": "64.95.13.238",
      "description": "IP ของ C2 สำหรับ payload delivery",
      "firstSeen": "2026-06-18",
      "lastSeen": "2026-06-18",
      "sources": [
        {
          "title": "SmartRAT มัลแวร์ใหม่แพร่ผ่านหน้าธนาคารปลอมที่สร้างด้วย AI — ใช้ ClickFix หลอกเหยื่อรันคำสั่ง PowerShell ติดตั้ง RAT เต็มรูปแบบ",
          "url": "/posts/2026/06/133/",
          "date": "2026-06-18"
        }
      ],
      "tags": [],
      "id": "ip address:64.95.13.238"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "162[.]141[.]111[.]227",
      "valueRefanged": "162.141.111.227",
      "description": "IP สำรองของ C2",
      "firstSeen": "2026-06-18",
      "lastSeen": "2026-06-18",
      "sources": [
        {
          "title": "SmartRAT มัลแวร์ใหม่แพร่ผ่านหน้าธนาคารปลอมที่สร้างด้วย AI — ใช้ ClickFix หลอกเหยื่อรันคำสั่ง PowerShell ติดตั้ง RAT เต็มรูปแบบ",
          "url": "/posts/2026/06/133/",
          "date": "2026-06-18"
        }
      ],
      "tags": [],
      "id": "ip address:162.141.111.227"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "crefisa[.]online",
      "valueRefanged": "crefisa.online",
      "description": "โดเมนฟิชชิงปลอม",
      "firstSeen": "2026-06-18",
      "lastSeen": "2026-06-18",
      "sources": [
        {
          "title": "SmartRAT มัลแวร์ใหม่แพร่ผ่านหน้าธนาคารปลอมที่สร้างด้วย AI — ใช้ ClickFix หลอกเหยื่อรันคำสั่ง PowerShell ติดตั้ง RAT เต็มรูปแบบ",
          "url": "/posts/2026/06/133/",
          "date": "2026-06-18"
        }
      ],
      "tags": [],
      "id": "domain:crefisa.online"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "vfsgloball[.]net",
      "valueRefanged": "vfsgloball.net",
      "description": "โดเมนฟิชชิงปลอม",
      "firstSeen": "2026-06-18",
      "lastSeen": "2026-06-18",
      "sources": [
        {
          "title": "SmartRAT มัลแวร์ใหม่แพร่ผ่านหน้าธนาคารปลอมที่สร้างด้วย AI — ใช้ ClickFix หลอกเหยื่อรันคำสั่ง PowerShell ติดตั้ง RAT เต็มรูปแบบ",
          "url": "/posts/2026/06/133/",
          "date": "2026-06-18"
        }
      ],
      "tags": [],
      "id": "domain:vfsgloball.net"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "cartaobb[.]com",
      "valueRefanged": "cartaobb.com",
      "description": "โดเมนปลอมเลียนแบบธนาคารบราซิล",
      "firstSeen": "2026-06-18",
      "lastSeen": "2026-06-18",
      "sources": [
        {
          "title": "SmartRAT มัลแวร์ใหม่แพร่ผ่านหน้าธนาคารปลอมที่สร้างด้วย AI — ใช้ ClickFix หลอกเหยื่อรันคำสั่ง PowerShell ติดตั้ง RAT เต็มรูปแบบ",
          "url": "/posts/2026/06/133/",
          "date": "2026-06-18"
        }
      ],
      "tags": [],
      "id": "domain:cartaobb.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "windowsupdate-cdn[.]com",
      "valueRefanged": "windowsupdate-cdn.com",
      "description": "โดเมน C2 ของ SmartRAT",
      "firstSeen": "2026-06-18",
      "lastSeen": "2026-06-18",
      "sources": [
        {
          "title": "SmartRAT มัลแวร์ใหม่แพร่ผ่านหน้าธนาคารปลอมที่สร้างด้วย AI — ใช้ ClickFix หลอกเหยื่อรันคำสั่ง PowerShell ติดตั้ง RAT เต็มรูปแบบ",
          "url": "/posts/2026/06/133/",
          "date": "2026-06-18"
        }
      ],
      "tags": [],
      "id": "domain:windowsupdate-cdn.com"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "77.110.122[.]58",
      "valueRefanged": "77.110.122.58",
      "description": "C2 หลักและ staging server",
      "firstSeen": "2026-06-17",
      "lastSeen": "2026-06-17",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้เทคนิค ClickFix หลอกติดตั้ง Potemkin Loader และ EtherRAT — แพร่กระจาย 11 เครื่องด้วย Hands-on-Keyboard Attack",
          "url": "/posts/2026/06/125/",
          "date": "2026-06-17"
        }
      ],
      "tags": [],
      "id": "ip address:77.110.122.58"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "213.165.41[.]26",
      "valueRefanged": "213.165.41.26",
      "description": "Chisel reverse SOCKS server",
      "firstSeen": "2026-06-17",
      "lastSeen": "2026-06-17",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้เทคนิค ClickFix หลอกติดตั้ง Potemkin Loader และ EtherRAT — แพร่กระจาย 11 เครื่องด้วย Hands-on-Keyboard Attack",
          "url": "/posts/2026/06/125/",
          "date": "2026-06-17"
        }
      ],
      "tags": [],
      "id": "ip address:213.165.41.26"
    },
    {
      "type": "Ethereum",
      "category": "hunt-only",
      "valueDefanged": "0xb3f2897f2bc797e5b9033faef8c81e92b01cb831",
      "valueRefanged": "0xb3f2897f2bc797e5b9033faef8c81e92b01cb831",
      "description": "EtherRAT contract address",
      "firstSeen": "2026-06-17",
      "lastSeen": "2026-06-17",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้เทคนิค ClickFix หลอกติดตั้ง Potemkin Loader และ EtherRAT — แพร่กระจาย 11 เครื่องด้วย Hands-on-Keyboard Attack",
          "url": "/posts/2026/06/125/",
          "date": "2026-06-17"
        }
      ],
      "tags": [],
      "id": "ethereum:0xb3f2897f2bc797e5b9033faef8c81e92b01cb831"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "cl.distritovagas[.]com",
      "valueRefanged": "cl.distritovagas.com",
      "description": "โดเมนส่ง HTA ของ ClickFix",
      "firstSeen": "2026-06-17",
      "lastSeen": "2026-06-17",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้เทคนิค ClickFix หลอกติดตั้ง Potemkin Loader และ EtherRAT — แพร่กระจาย 11 เครื่องด้วย Hands-on-Keyboard Attack",
          "url": "/posts/2026/06/125/",
          "date": "2026-06-17"
        }
      ],
      "tags": [],
      "id": "domain:cl.distritovagas.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "sonra.eutialyson[.]com",
      "valueRefanged": "sonra.eutialyson.com",
      "description": "โดเมนดาวน์โหลด MSI",
      "firstSeen": "2026-06-17",
      "lastSeen": "2026-06-17",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้เทคนิค ClickFix หลอกติดตั้ง Potemkin Loader และ EtherRAT — แพร่กระจาย 11 เครื่องด้วย Hands-on-Keyboard Attack",
          "url": "/posts/2026/06/125/",
          "date": "2026-06-17"
        }
      ],
      "tags": [],
      "id": "domain:sonra.eutialyson.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "anus-staylard[.]xyz",
      "valueRefanged": "anus-staylard.xyz",
      "description": "C2 ของ Potemkin และ RMMProject",
      "firstSeen": "2026-06-17",
      "lastSeen": "2026-06-17",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้เทคนิค ClickFix หลอกติดตั้ง Potemkin Loader และ EtherRAT — แพร่กระจาย 11 เครื่องด้วย Hands-on-Keyboard Attack",
          "url": "/posts/2026/06/125/",
          "date": "2026-06-17"
        }
      ],
      "tags": [],
      "id": "domain:anus-staylard.xyz"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "resumeacceptable[.]com",
      "valueRefanged": "resumeacceptable.com",
      "description": "C2 ของ EtherRAT (ดึงจาก blockchain)",
      "firstSeen": "2026-06-17",
      "lastSeen": "2026-06-17",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้เทคนิค ClickFix หลอกติดตั้ง Potemkin Loader และ EtherRAT — แพร่กระจาย 11 เครื่องด้วย Hands-on-Keyboard Attack",
          "url": "/posts/2026/06/125/",
          "date": "2026-06-17"
        }
      ],
      "tags": [],
      "id": "domain:resumeacceptable.com"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps://github[.]com/Pulsynk/pulsynk",
      "valueRefanged": "https://github.com/Pulsynk/pulsynk",
      "description": "URL",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/pulsynk/pulsynk"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps://github[.]com/Trixauvex-org/trixauvex",
      "valueRefanged": "https://github.com/Trixauvex-org/trixauvex",
      "description": "URL",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/trixauvex-org/trixauvex"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps://github[.]com/PedrinPY/rekt-db",
      "valueRefanged": "https://github.com/PedrinPY/rekt-db",
      "description": "URL",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/pedrinpy/rekt-db"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps://github[.]com/sr-werney/forge-4626invariants",
      "valueRefanged": "https://github.com/sr-werney/forge-4626invariants",
      "description": "URL",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/sr-werney/forge-4626invariants"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps://github[.]com/skyjum/x402-kit",
      "valueRefanged": "https://github.com/skyjum/x402-kit",
      "description": "URL",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/skyjum/x402-kit"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps://gitlab[.]com/pulsynk-org/rekt-db.git",
      "valueRefanged": "https://gitlab.com/pulsynk-org/rekt-db.git",
      "description": "URL",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "url:https://gitlab.com/pulsynk-org/rekt-db.git"
    },
    {
      "type": "QTox Handle",
      "category": "hunt-only",
      "valueDefanged": "37BC1EC8D8EEE7ECEA44A953855DAC628DF0920CE41EE4164006BDC95ADEBA5738C870A23686",
      "valueRefanged": "37BC1EC8D8EEE7ECEA44A953855DAC628DF0920CE41EE4164006BDC95ADEBA5738C870A23686",
      "description": "ช่องทางติดต่อของผู้ดำเนินการ Hyflock RaaS สำหรับรับสมัคร affiliate บนฟอรัม Duty-Free",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "ระบบนิเวศแรนซัมแวร์รวมตัวรอบอดีตสมาชิก LockBit — กลุ่มใหม่ Hyflock และ The Gentlemen เติบโตอย่างรวดเร็ว",
          "url": "/posts/2026/06/110/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "qtox handle:37bc1ec8d8eee7ecea44a953855dac628df0920ce41ee4164006bdc95adeba5738c870a23686"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "23.137.105[.]75:5173",
      "valueRefanged": "23.137.105.75:5173",
      "description": "เซิร์ฟเวอร์ C&C",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "ip address:23.137.105.75:5173"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "170.205.29[.]83",
      "valueRefanged": "170.205.29.83",
      "description": "IP ผู้ส่งอีเมล",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "ip address:170.205.29.83"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "170.205.30[.]227",
      "valueRefanged": "170.205.30.227",
      "description": "IP ผู้ส่งอีเมล",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "ip address:170.205.30.227"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "ondofinance[.]tech",
      "valueRefanged": "ondofinance.tech",
      "description": "โดเมนผู้ส่ง (เม.ย. 2569)",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "domain:ondofinance.tech"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "nxlog[.]tech",
      "valueRefanged": "nxlog.tech",
      "description": "โดเมนผู้ส่ง (เม.ย. 2569)",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "domain:nxlog.tech"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "empowerpharmacy[.]space",
      "valueRefanged": "empowerpharmacy.space",
      "description": "โดเมนผู้ส่ง (เม.ย. 2569)",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "domain:empowerpharmacy.space"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "migadyn[.]info",
      "valueRefanged": "migadyn.info",
      "description": "โดเมนผู้ส่ง (เม.ย. 2569)",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "domain:migadyn.info"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "valorecuiting[.]online",
      "valueRefanged": "valorecuiting.online",
      "description": "โดเมนผู้ส่ง (เม.ย. 2569)",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "domain:valorecuiting.online"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "pulsynk[.]org",
      "valueRefanged": "pulsynk.org",
      "description": "โดเมนผู้ส่ง (พ.ค. 2569)",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "domain:pulsynk.org"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "trixauvex[.]org",
      "valueRefanged": "trixauvex.org",
      "description": "โดเมนผู้ส่ง (พ.ค. 2569)",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "domain:trixauvex.org"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "trixauvexnet[.]ink",
      "valueRefanged": "trixauvexnet.ink",
      "description": "โดเมนผู้ส่ง (พ.ค. 2569)",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "domain:trixauvexnet.ink"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "contacttrixauvex[.]ink",
      "valueRefanged": "contacttrixauvex.ink",
      "description": "โดเมนผู้ส่ง (พ.ค. 2569)",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "domain:contacttrixauvex.ink"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "onoplanoai[.]ink",
      "valueRefanged": "onoplanoai.ink",
      "description": "โดเมนผู้ส่ง (พ.ค. 2569)",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "domain:onoplanoai.ink"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "recruitvex[.]us",
      "valueRefanged": "recruitvex.us",
      "description": "โดเมนผู้ส่ง (พ.ค. 2569)",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "domain:recruitvex.us"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "predicttocareer[.]space",
      "valueRefanged": "predicttocareer.space",
      "description": "โดเมนผู้ส่ง (พ.ค. 2569)",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "domain:predicttocareer.space"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "hyperdevpipline[.]org",
      "valueRefanged": "hyperdevpipline.org",
      "description": "โดเมนผู้ส่ง (พ.ค. 2569)",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "domain:hyperdevpipline.org"
    },
    {
      "type": "AES-256-GCM key",
      "category": "hunt-only",
      "valueDefanged": "4f7a8c3d2e1b5f9071a6b2c8d4e3f50a92b1c7d6e8f4a30b5c2d9e1f7a6b8c4d",
      "valueRefanged": "4f7a8c3d2e1b5f9071a6b2c8d4e3f50a92b1c7d6e8f4a30b5c2d9e1f7a6b8c4d",
      "description": "กุญแจถอดรหัส Payload บน Windows",
      "firstSeen": "2026-06-16",
      "lastSeen": "2026-06-16",
      "sources": [
        {
          "title": "แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub",
          "url": "/posts/2026/06/105/",
          "date": "2026-06-16"
        }
      ],
      "tags": [],
      "id": "aes-256-gcm key:4f7a8c3d2e1b5f9071a6b2c8d4e3f50a92b1c7d6e8f4a30b5c2d9e1f7a6b8c4d"
    },
    {
      "type": "โดเมน",
      "category": "hunt-only",
      "valueDefanged": "sheets[.]googleapis[.]com",
      "valueRefanged": "sheets[.]googleapis[.]com",
      "description": "Google Sheets API ที่ใช้เป็น C2",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "มัลแวร์ SHEETCREEP ใช้ Google Sheets API เป็น C2 โจมตีองค์กรการทูต — เชื่อมโยงกลุ่ม APT36 พบเหยื่อ 91 ราย",
          "url": "/posts/2026/06/087/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "โดเมน:sheets[.]googleapis[.]com"
    },
    {
      "type": "โดเมน",
      "category": "hunt-only",
      "valueDefanged": "oauth2[.]googleapis[.]com",
      "valueRefanged": "oauth2[.]googleapis[.]com",
      "description": "OAuth2 endpoint สำหรับยืนยันตัวตน",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "มัลแวร์ SHEETCREEP ใช้ Google Sheets API เป็น C2 โจมตีองค์กรการทูต — เชื่อมโยงกลุ่ม APT36 พบเหยื่อ 91 ราย",
          "url": "/posts/2026/06/087/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "โดเมน:oauth2[.]googleapis[.]com"
    },
    {
      "type": "URL Path",
      "category": "hunt-only",
      "valueDefanged": "/backend/api/app.php",
      "valueRefanged": "/backend/api/app.php",
      "description": "เส้นทาง C2 endpoint เริ่มต้นที่ตัว builder กำหนด",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "OnyxC2 — มัลแวร์ขโมยข้อมูลแบบ MaaS ราคา 250 ดอลลาร์ต่อเดือน โจมตีแอปกว่า 210 ตัว",
          "url": "/posts/2026/06/091/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "url path:/backend/api/app.php"
    },
    {
      "type": "Spreadsheet ID",
      "category": "hunt-only",
      "valueDefanged": "1Lb5BEIsehbCGe8p1jkfWf5Mw1dBAcw5RHWFdga5gFq8",
      "valueRefanged": "1Lb5BEIsehbCGe8p1jkfWf5Mw1dBAcw5RHWFdga5gFq8",
      "description": "Google Sheet ที่ใช้เป็น C2",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "มัลแวร์ SHEETCREEP ใช้ Google Sheets API เป็น C2 โจมตีองค์กรการทูต — เชื่อมโยงกลุ่ม APT36 พบเหยื่อ 91 ราย",
          "url": "/posts/2026/06/087/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "spreadsheet id:1lb5beisehbcge8p1jkfwf5mw1dbacw5rhwfdga5gfq8"
    },
    {
      "type": "Service Account",
      "category": "hunt-only",
      "valueDefanged": "sheet5-495707@sheetcreep-serviceaccount[.]iam[.]gserviceaccount[.]com",
      "valueRefanged": "sheet5-495707@sheetcreep-serviceaccount[.]iam[.]gserviceaccount[.]com",
      "description": "GCP service account ที่ฝังใน RAT",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "มัลแวร์ SHEETCREEP ใช้ Google Sheets API เป็น C2 โจมตีองค์กรการทูต — เชื่อมโยงกลุ่ม APT36 พบเหยื่อ 91 ราย",
          "url": "/posts/2026/06/087/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "service account:sheet5-495707@sheetcreep-serviceaccount[.]iam[.]gserviceaccount[.]com"
    },
    {
      "type": "Scheduled Task",
      "category": "hunt-only",
      "valueDefanged": "WindowsVaultSyncService",
      "valueRefanged": "WindowsVaultSyncService",
      "description": "กลไก persistence",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "มัลแวร์ SHEETCREEP ใช้ Google Sheets API เป็น C2 โจมตีองค์กรการทูต — เชื่อมโยงกลุ่ม APT36 พบเหยื่อ 91 ราย",
          "url": "/posts/2026/06/087/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "scheduled task:windowsvaultsyncservice"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "41999a3d...5e3ae2",
      "valueRefanged": "41999a3d...5e3ae2",
      "description": "ไฟล์ host executable ที่มีลายเซ็นดิจิทัล (0/71 detections)",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "OnyxC2 — มัลแวร์ขโมยข้อมูลแบบ MaaS ราคา 250 ดอลลาร์ต่อเดือน โจมตีแอปกว่า 210 ตัว",
          "url": "/posts/2026/06/091/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "sha-256:41999a3d...5e3ae2"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "78945c84...a5a38d1",
      "valueRefanged": "78945c84...a5a38d1",
      "description": "DLL อันตราย (borlndmm.dll) — Build 1",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "OnyxC2 — มัลแวร์ขโมยข้อมูลแบบ MaaS ราคา 250 ดอลลาร์ต่อเดือน โจมตีแอปกว่า 210 ตัว",
          "url": "/posts/2026/06/091/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "sha-256:78945c84...a5a38d1"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "d89bb4b2...7ef61e54",
      "valueRefanged": "d89bb4b2...7ef61e54",
      "description": "DLL อันตราย (borlndmm.dll) — Build 2",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "OnyxC2 — มัลแวร์ขโมยข้อมูลแบบ MaaS ราคา 250 ดอลลาร์ต่อเดือน โจมตีแอปกว่า 210 ตัว",
          "url": "/posts/2026/06/091/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "sha-256:d89bb4b2...7ef61e54"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "f6e4b09e...c8fdfab",
      "valueRefanged": "f6e4b09e...c8fdfab",
      "description": "ไฟล์ ZIP เข้ารหัสสำหรับเผยแพร่",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "OnyxC2 — มัลแวร์ขโมยข้อมูลแบบ MaaS ราคา 250 ดอลลาร์ต่อเดือน โจมตีแอปกว่า 210 ตัว",
          "url": "/posts/2026/06/091/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "sha-256:f6e4b09e...c8fdfab"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "1ba67bb1cfad42446880cca53cbd05fe66d7514b2bb139b48e5c63adff14be7b",
      "valueRefanged": "1ba67bb1cfad42446880cca53cbd05fe66d7514b2bb139b48e5c63adff14be7b",
      "description": "ไฟล์ ISO ที่ใช้หลอกล่อ",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "มัลแวร์ SHEETCREEP ใช้ Google Sheets API เป็น C2 โจมตีองค์กรการทูต — เชื่อมโยงกลุ่ม APT36 พบเหยื่อ 91 ราย",
          "url": "/posts/2026/06/087/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "sha-256:1ba67bb1cfad42446880cca53cbd05fe66d7514b2bb139b48e5c63adff14be7b"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "2cc7c2d8653c98e5bac32fcaf5e45b861efb4bb87df3b3f96285edb475e75bba",
      "valueRefanged": "2cc7c2d8653c98e5bac32fcaf5e45b861efb4bb87df3b3f96285edb475e75bba",
      "description": "C# dropper",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "มัลแวร์ SHEETCREEP ใช้ Google Sheets API เป็น C2 โจมตีองค์กรการทูต — เชื่อมโยงกลุ่ม APT36 พบเหยื่อ 91 ราย",
          "url": "/posts/2026/06/087/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "sha-256:2cc7c2d8653c98e5bac32fcaf5e45b861efb4bb87df3b3f96285edb475e75bba"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "62d62950ff7a0e43550a5d0ba55d32d5083b9de5538e0f012e406b6d951e16aa",
      "valueRefanged": "62d62950ff7a0e43550a5d0ba55d32d5083b9de5538e0f012e406b6d951e16aa",
      "description": "SHEETCREEP RAT payload (vaultsvc.exe)",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "มัลแวร์ SHEETCREEP ใช้ Google Sheets API เป็น C2 โจมตีองค์กรการทูต — เชื่อมโยงกลุ่ม APT36 พบเหยื่อ 91 ราย",
          "url": "/posts/2026/06/087/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "sha-256:62d62950ff7a0e43550a5d0ba55d32d5083b9de5538e0f012e406b6d951e16aa"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "104.18.20[.]213",
      "valueRefanged": "104.18.20.213",
      "description": "IP ของ Cloudflare ที่ใช้เป็น fronting สำหรับโครงสร้าง C2",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "OnyxC2 — มัลแวร์ขโมยข้อมูลแบบ MaaS ราคา 250 ดอลลาร์ต่อเดือน โจมตีแอปกว่า 210 ตัว",
          "url": "/posts/2026/06/091/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "ip address:104.18.20.213"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "104.21.46[.]39",
      "valueRefanged": "104.21.46.39",
      "description": "IP ของ Cloudflare ที่ใช้เป็น fronting สำหรับโครงสร้าง C2",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "OnyxC2 — มัลแวร์ขโมยข้อมูลแบบ MaaS ราคา 250 ดอลลาร์ต่อเดือน โจมตีแอปกว่า 210 ตัว",
          "url": "/posts/2026/06/091/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "ip address:104.21.46.39"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "172.67.223[.]39",
      "valueRefanged": "172.67.223.39",
      "description": "IP ของ Cloudflare ที่ใช้เป็น fronting สำหรับโครงสร้าง C2",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "OnyxC2 — มัลแวร์ขโมยข้อมูลแบบ MaaS ราคา 250 ดอลลาร์ต่อเดือน โจมตีแอปกว่า 210 ตัว",
          "url": "/posts/2026/06/091/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "ip address:172.67.223.39"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "142[.]251[.]223[.]42",
      "valueRefanged": "142.251.223.42",
      "description": "Google API C2 endpoint",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "มัลแวร์ SHEETCREEP ใช้ Google Sheets API เป็น C2 โจมตีองค์กรการทูต — เชื่อมโยงกลุ่ม APT36 พบเหยื่อ 91 ราย",
          "url": "/posts/2026/06/087/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "ip address:142.251.223.42"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "%LOCALAPPDATA%\\Microsoft\\Vault\\vaultsvc.exe",
      "valueRefanged": "%LOCALAPPDATA%\\Microsoft\\Vault\\vaultsvc.exe",
      "description": "ตำแหน่งไฟล์ RAT",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "มัลแวร์ SHEETCREEP ใช้ Google Sheets API เป็น C2 โจมตีองค์กรการทูต — เชื่อมโยงกลุ่ม APT36 พบเหยื่อ 91 ราย",
          "url": "/posts/2026/06/087/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "file path:%localappdata%\\microsoft\\vault\\vaultsvc.exe"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "Fling-Standalone*`, `FinePrint*`, `SystemSettings.exe",
      "valueRefanged": "Fling-Standalone*`, `FinePrint*`, `SystemSettings.exe",
      "description": "ชื่อไฟล์ล่อที่ใช้ในแพ็กเกจตัวติดตั้งปลอม",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "OnyxC2 — มัลแวร์ขโมยข้อมูลแบบ MaaS ราคา 250 ดอลลาร์ต่อเดือน โจมตีแอปกว่า 210 ตัว",
          "url": "/posts/2026/06/091/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "file name:fling-standalone*`, `fineprint*`, `systemsettings.exe"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "akmuniverstall[.]top",
      "valueRefanged": "akmuniverstall.top",
      "description": "โดเมน C2 และเผยแพร่มัลแวร์ (ตรวจพบ 13/94 รายการบน VirusTotal)",
      "firstSeen": "2026-06-12",
      "lastSeen": "2026-06-12",
      "sources": [
        {
          "title": "OnyxC2 — มัลแวร์ขโมยข้อมูลแบบ MaaS ราคา 250 ดอลลาร์ต่อเดือน โจมตีแอปกว่า 210 ตัว",
          "url": "/posts/2026/06/091/",
          "date": "2026-06-12"
        }
      ],
      "tags": [],
      "id": "domain:akmuniverstall.top"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp://dash.awaydouble[.]org/0v2auth",
      "valueRefanged": "http://dash.awaydouble.org/0v2auth",
      "description": "URL ในไฟล์ PDF ของแคมเปญ Claude phishing",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "url:http://dash.awaydouble.org/0v2auth"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps://github[.]com/shippingtechnologymovie/AI-techVideos/releases/download/13123/ProFluxeFlowAi-win-Setup.exe",
      "valueRefanged": "https://github.com/shippingtechnologymovie/AI-techVideos/releases/download/13123/ProFluxeFlowAi-win-Setup.exe",
      "description": "GitHub repository ปลอม (ถูกลบแล้ว) โฮสต์ไฟล์มัลแวร์",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/shippingtechnologymovie/ai-techvideos/releases/download/13123/profluxeflowai-win-setup.exe"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps://github[.]com/DeepSeek-V4/deepseek-V4/releases/download/deepseek-V4/deepseek-v4-pro_x64.7z",
      "valueRefanged": "https://github.com/DeepSeek-V4/deepseek-V4/releases/download/deepseek-V4/deepseek-v4-pro_x64.7z",
      "description": "GitHub repository ปลอมของ DeepSeek (ถูกลบแล้ว)",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "url:https://github.com/deepseek-v4/deepseek-v4/releases/download/deepseek-v4/deepseek-v4-pro_x64.7z"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "791efb555eefb7215e96659a1353a97416743b66bdd72705493129c64057d40e",
      "valueRefanged": "791efb555eefb7215e96659a1353a97416743b66bdd72705493129c64057d40e",
      "description": "hash ของไฟล์แนบ Fill and Sign Claude Appeal Form.pdf",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "sha-256:791efb555eefb7215e96659a1353a97416743b66bdd72705493129c64057d40e"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "c7c5072df9f83f4c440a5c3bb4be1d5f6c67bbf78f196406ca20d27b43b975b8",
      "valueRefanged": "c7c5072df9f83f4c440a5c3bb4be1d5f6c67bbf78f196406ca20d27b43b975b8",
      "description": "hash ของ ProFluxeFlowAi-win-Setup.exe",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "sha-256:c7c5072df9f83f4c440a5c3bb4be1d5f6c67bbf78f196406ca20d27b43b975b8"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "0a26238f6c516de5885457c93042531aa59bc206a9537cebf5267cedc6c68531",
      "valueRefanged": "0a26238f6c516de5885457c93042531aa59bc206a9537cebf5267cedc6c68531",
      "description": "deepseek-v4-pro_x64.7z (v1)",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "sha-256:0a26238f6c516de5885457c93042531aa59bc206a9537cebf5267cedc6c68531"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "8610d4fb0ec5b525071c2aaec4df0f8fcbb3673aba58a7e1959fc44e83c0e2ca",
      "valueRefanged": "8610d4fb0ec5b525071c2aaec4df0f8fcbb3673aba58a7e1959fc44e83c0e2ca",
      "description": "deepseek-v4-flash_x64.7z (v1)",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "sha-256:8610d4fb0ec5b525071c2aaec4df0f8fcbb3673aba58a7e1959fc44e83c0e2ca"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "99231deb373997364381d1eb513d2d42231d418c3a2db9007c5af9bd56ab9371",
      "valueRefanged": "99231deb373997364381d1eb513d2d42231d418c3a2db9007c5af9bd56ab9371",
      "description": "deepseek-v4-flash_x64.7z (v2)",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "sha-256:99231deb373997364381d1eb513d2d42231d418c3a2db9007c5af9bd56ab9371"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "25270cc429ada8028b5b33220ed412c47907ecceea7377d608fac5af01bed56a",
      "valueRefanged": "25270cc429ada8028b5b33220ed412c47907ecceea7377d608fac5af01bed56a",
      "description": "deepseek-v4-pro_x64.7z (v2)",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "sha-256:25270cc429ada8028b5b33220ed412c47907ecceea7377d608fac5af01bed56a"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "56d722b0331bf0aaa86bb37483486c6dff6ad9427fc473ed7c3226c21a9bdd23",
      "valueRefanged": "56d722b0331bf0aaa86bb37483486c6dff6ad9427fc473ed7c3226c21a9bdd23",
      "description": "DeepSeek extracted PE (deepseek-v4-pro_x64.exe, deepseek-v4-flash_x64.exe, VectorEngine.exe)",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "sha-256:56d722b0331bf0aaa86bb37483486c6dff6ad9427fc473ed7c3226c21a9bdd23"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "5455341ed1bbe75a664fca2dd0794c508e1874f75360253a7ff5bc119bc92d80",
      "valueRefanged": "5455341ed1bbe75a664fca2dd0794c508e1874f75360253a7ff5bc119bc92d80",
      "description": "shared loader ที่พบในหลายแคมเปญปลอมแบรนด์ AI",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "sha-256:5455341ed1bbe75a664fca2dd0794c508e1874f75360253a7ff5bc119bc92d80"
    },
    {
      "type": "SHA-1",
      "category": "blockable",
      "valueDefanged": "4f5c5b3ef45cfff7721754487a86aeff9a2e6e32",
      "valueRefanged": "4f5c5b3ef45cfff7721754487a86aeff9a2e6e32",
      "description": "certificate ปลอมสำหรับ code-signing ของกลุ่ม Fox Tempest",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "sha-1:4f5c5b3ef45cfff7721754487a86aeff9a2e6e32"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "brokeapt[.]com",
      "valueRefanged": "brokeapt.com",
      "description": "C2 domain ของ Python loader",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "domain:brokeapt.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "pan.ssffaa19[.]xyz",
      "valueRefanged": "pan.ssffaa19.xyz",
      "description": "C2 domain ของ Vidar",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "domain:pan.ssffaa19.xyz"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "pan.rongtv[.]xyz",
      "valueRefanged": "pan.rongtv.xyz",
      "description": "C2 domain ของ Vidar",
      "firstSeen": "2026-06-09",
      "lastSeen": "2026-06-09",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมแบรนด์ ChatGPT, Claude และ DeepSeek หลอกฟิชชิงขโมย credential — Microsoft จับ 3 แคมเปญใหญ่ปล่อย Vidar และ AiTM",
          "url": "/posts/2026/06/067/",
          "date": "2026-06-09"
        }
      ],
      "tags": [],
      "id": "domain:pan.rongtv.xyz"
    },
    {
      "type": "Username",
      "category": "hunt-only",
      "valueDefanged": "diksimarina",
      "valueRefanged": "diksimarina",
      "description": "Rogue admin account created by attackers",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "CVE-2026-3300 — ช่องโหว่ RCE Critical (CVSS 9.8) ใน WordPress Plugin Everest Forms Pro ถูกโจมตีแล้วกว่า 29,000 ครั้ง",
          "url": "/posts/2026/06/039/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "username:diksimarina"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps://deepaichats[.]com/ext/aimodel",
      "valueRefanged": "https://deepaichats.com/ext/aimodel",
      "description": "POST destination สำหรับ stolen AI chat data",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "เอ็กซ์เทนชัน Chrome ปลอม — Urban VPN, Smart Sidebar, Chat AI แอบขโมยบทสนทนา ChatGPT, Claude, Gemini จากผู้ใช้ 115 ล้านคน",
          "url": "/posts/2026/06/043/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "url:https://deepaichats.com/ext/aimodel"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "support.apple[.]com/downloads/xprotect-remediator-150.dmg",
      "valueRefanged": "support.apple.com/downloads/xprotect-remediator-150.dmg",
      "description": "ลิงก์ดาวน์โหลด Apple security update ปลอม",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "SHub Reaper — มัลแวร์ macOS สายพันธุ์ใหม่ใช้ ClickFix อัตโนมัติ เปิด Script Editor ขโมยเบราว์เซอร์และกระเป๋าคริปโต",
          "url": "/posts/2026/06/044/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "url:support.apple.com/downloads/xprotect-remediator-150.dmg"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hebsbsbzjsjshduxbs[.]xyz/gate/chunk",
      "valueRefanged": "hebsbsbzjsjshduxbs.xyz/gate/chunk",
      "description": "C2 server endpoint สำหรับรับข้อมูลที่ขโมยมา",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "SHub Reaper — มัลแวร์ macOS สายพันธุ์ใหม่ใช้ ClickFix อัตโนมัติ เปิด Script Editor ขโมยเบราว์เซอร์และกระเป๋าคริปโต",
          "url": "/posts/2026/06/044/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "url:hebsbsbzjsjshduxbs.xyz/gate/chunk"
    },
    {
      "type": "Telegram",
      "category": "hunt-only",
      "valueDefanged": "t[.]me/liveuamap_ar",
      "valueRefanged": "t[.]me/liveuamap_ar",
      "description": "ช่อง Telegram โปรโมต War Map spyware",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "Asin Spyware บน Android — ดักฟังผู้ใช้ภาษาอาหรับผ่านแอปข่าว PDF และแผนที่สงครามปลอม เล็งนักข่าวและ OSINT",
          "url": "/posts/2026/06/045/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "telegram:t[.]me/liveuamap_ar"
    },
    {
      "type": "LaunchAgent",
      "category": "hunt-only",
      "valueDefanged": "com.google.keystone.agent.plist",
      "valueRefanged": "com.google.keystone.agent.plist",
      "description": "ใช้ลงทะเบียน backdoor ให้ทำงานต่อเนื่อง",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "SHub Reaper — มัลแวร์ macOS สายพันธุ์ใหม่ใช้ ClickFix อัตโนมัติ เปิด Script Editor ขโมยเบราว์เซอร์และกระเป๋าคริปโต",
          "url": "/posts/2026/06/044/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "launchagent:com.google.keystone.agent.plist"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "202.56.2.126",
      "valueRefanged": "202.56.2.126",
      "description": "Attack source IP",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "CVE-2026-3300 — ช่องโหว่ RCE Critical (CVSS 9.8) ใน WordPress Plugin Everest Forms Pro ถูกโจมตีแล้วกว่า 29,000 ครั้ง",
          "url": "/posts/2026/06/039/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "ip address:202.56.2.126"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "209.146.60.26",
      "valueRefanged": "209.146.60.26",
      "description": "Attack source IP",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "CVE-2026-3300 — ช่องโหว่ RCE Critical (CVSS 9.8) ใน WordPress Plugin Everest Forms Pro ถูกโจมตีแล้วกว่า 29,000 ครั้ง",
          "url": "/posts/2026/06/039/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "ip address:209.146.60.26"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "15.235.166.18",
      "valueRefanged": "15.235.166.18",
      "description": "Attack source IP",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "CVE-2026-3300 — ช่องโหว่ RCE Critical (CVSS 9.8) ใน WordPress Plugin Everest Forms Pro ถูกโจมตีแล้วกว่า 29,000 ครั้ง",
          "url": "/posts/2026/06/039/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "ip address:15.235.166.18"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "2402:1f00:8000:800::40db",
      "valueRefanged": "2402:1f00:8000:800::40db",
      "description": "Attack source IPv6",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "CVE-2026-3300 — ช่องโหว่ RCE Critical (CVSS 9.8) ใน WordPress Plugin Everest Forms Pro ถูกโจมตีแล้วกว่า 29,000 ครั้ง",
          "url": "/posts/2026/06/039/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "ip address:2402:1f00:8000:800::40db"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "185.78.165.153",
      "valueRefanged": "185.78.165.153",
      "description": "Attack source IP",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "CVE-2026-3300 — ช่องโหว่ RCE Critical (CVSS 9.8) ใน WordPress Plugin Everest Forms Pro ถูกโจมตีแล้วกว่า 29,000 ครั้ง",
          "url": "/posts/2026/06/039/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "ip address:185.78.165.153"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "8.8.8.8",
      "valueRefanged": "8.8.8.8",
      "description": "Google DNS ที่ BRICKSTORM ใช้สำหรับ DNS-over-HTTPS C2 resolution",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "VerdantBamboo APT จีน — ซ่อนตัวในเครือข่ายองค์กรนาน 18 เดือน ด้วยมัลแวร์ BRICKSTORM เจาะ Firewall, NAS และ Appliance",
          "url": "/posts/2026/06/040/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "ip address:8.8.8.8"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/",
      "valueRefanged": "~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/",
      "description": "ไดเรกทอรีที่ Reaper ซ่อน backdoor",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "SHub Reaper — มัลแวร์ macOS สายพันธุ์ใหม่ใช้ ClickFix อัตโนมัติ เปิด Script Editor ขโมยเบราว์เซอร์และกระเป๋าคริปโต",
          "url": "/posts/2026/06/044/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "file path:~/library/application support/google/googleupdate.app/contents/macos/"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "GoogleUpdate",
      "valueRefanged": "GoogleUpdate",
      "description": "bash script เข้ารหัส Base64 สำหรับ backdoor",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "SHub Reaper — มัลแวร์ macOS สายพันธุ์ใหม่ใช้ ClickFix อัตโนมัติ เปิด Script Editor ขโมยเบราว์เซอร์และกระเป๋าคริปโต",
          "url": "/posts/2026/06/044/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "file name:googleupdate"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "egnyte_host_monitor_client",
      "valueRefanged": "egnyte_host_monitor_client",
      "description": "AGENTPSD malware binary (ELF, 6.4MB)",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "VerdantBamboo APT จีน — ซ่อนตัวในเครือข่ายองค์กรนาน 18 เดือน ด้วยมัลแวร์ BRICKSTORM เจาะ Firewall, NAS และ Appliance",
          "url": "/posts/2026/06/040/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "file name:egnyte_host_monitor_client"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "luserput",
      "valueRefanged": "luserput",
      "description": "BRICKSTORM บน Egnyte Storage Sync (ELF, 5.6MB)",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "VerdantBamboo APT จีน — ซ่อนตัวในเครือข่ายองค์กรนาน 18 เดือน ด้วยมัลแวร์ BRICKSTORM เจาะ Firewall, NAS และ Appliance",
          "url": "/posts/2026/06/040/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "file name:luserput"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "blacklist",
      "valueRefanged": "blacklist",
      "description": "BRICKSTORM FreeBSD บน pfSense (ELF, 5.6MB)",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "VerdantBamboo APT จีน — ซ่อนตัวในเครือข่ายองค์กรนาน 18 เดือน ด้วยมัลแวร์ BRICKSTORM เจาะ Firewall, NAS และ Appliance",
          "url": "/posts/2026/06/040/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "file name:blacklist"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "ovs-dbctl",
      "valueRefanged": "ovs-dbctl",
      "description": "PLENET malware บน Synology NAS (ELF, 2.5MB)",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "VerdantBamboo APT จีน — ซ่อนตัวในเครือข่ายองค์กรนาน 18 เดือน ด้วยมัลแวร์ BRICKSTORM เจาะ Firewall, NAS และ Appliance",
          "url": "/posts/2026/06/040/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "file name:ovs-dbctl"
    },
    {
      "type": "Facebook Page",
      "category": "hunt-only",
      "valueDefanged": "facebook[.]com/GovLens",
      "valueRefanged": "facebook[.]com/GovLens",
      "description": "เพจโปรโมต GovLens spyware",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "Asin Spyware บน Android — ดักฟังผู้ใช้ภาษาอาหรับผ่านแอปข่าว PDF และแผนที่สงครามปลอม เล็งนักข่าวและ OSINT",
          "url": "/posts/2026/06/045/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "facebook page:facebook[.]com/govlens"
    },
    {
      "type": "Extension ID",
      "category": "hunt-only",
      "valueDefanged": "eppiocemhmnlbhjplcgkofciiegomcon",
      "valueRefanged": "eppiocemhmnlbhjplcgkofciiegomcon",
      "description": "Urban VPN Chrome Extension ID",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "เอ็กซ์เทนชัน Chrome ปลอม — Urban VPN, Smart Sidebar, Chat AI แอบขโมยบทสนทนา ChatGPT, Claude, Gemini จากผู้ใช้ 115 ล้านคน",
          "url": "/posts/2026/06/043/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "extension id:eppiocemhmnlbhjplcgkofciiegomcon"
    },
    {
      "type": "Extension ID",
      "category": "hunt-only",
      "valueDefanged": "fnmihdojmnkclgjpcoonokmkhjpjechg",
      "valueRefanged": "fnmihdojmnkclgjpcoonokmkhjpjechg",
      "description": "Smart Sidebar Chrome Extension ID",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "เอ็กซ์เทนชัน Chrome ปลอม — Urban VPN, Smart Sidebar, Chat AI แอบขโมยบทสนทนา ChatGPT, Claude, Gemini จากผู้ใช้ 115 ล้านคน",
          "url": "/posts/2026/06/043/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "extension id:fnmihdojmnkclgjpcoonokmkhjpjechg"
    },
    {
      "type": "Email",
      "category": "blockable",
      "valueDefanged": "diksimarina@gmail.com",
      "valueRefanged": "diksimarina@gmail.com",
      "description": "Email used with rogue admin account",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "CVE-2026-3300 — ช่องโหว่ RCE Critical (CVSS 9.8) ใน WordPress Plugin Everest Forms Pro ถูกโจมตีแล้วกว่า 29,000 ครั้ง",
          "url": "/posts/2026/06/039/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "email:diksimarina@gmail.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "deepaichats[.]com",
      "valueRefanged": "deepaichats.com",
      "description": "Exfiltration endpoint ของ Smart Sidebar",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "เอ็กซ์เทนชัน Chrome ปลอม — Urban VPN, Smart Sidebar, Chat AI แอบขโมยบทสนทนา ChatGPT, Claude, Gemini จากผู้ใช้ 115 ล้านคน",
          "url": "/posts/2026/06/043/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "domain:deepaichats.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "govlens[.]net",
      "valueRefanged": "govlens.net",
      "description": "เว็บแจกจ่าย GovLens spyware APK",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "Asin Spyware บน Android — ดักฟังผู้ใช้ภาษาอาหรับผ่านแอปข่าว PDF และแผนที่สงครามปลอม เล็งนักข่าวและ OSINT",
          "url": "/posts/2026/06/045/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "domain:govlens.net"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "pdf-reader[.]help",
      "valueRefanged": "pdf-reader.help",
      "description": "เว็บแจกจ่าย PDF reader spyware APK",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "Asin Spyware บน Android — ดักฟังผู้ใช้ภาษาอาหรับผ่านแอปข่าว PDF และแผนที่สงครามปลอม เล็งนักข่าวและ OSINT",
          "url": "/posts/2026/06/045/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "domain:pdf-reader.help"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "live-war-map[.]com",
      "valueRefanged": "live-war-map.com",
      "description": "เว็บแจกจ่าย War Map spyware APK",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "Asin Spyware บน Android — ดักฟังผู้ใช้ภาษาอาหรับผ่านแอปข่าว PDF และแผนที่สงครามปลอม เล็งนักข่าวและ OSINT",
          "url": "/posts/2026/06/045/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "domain:live-war-map.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "c-pdf[.]net",
      "valueRefanged": "c-pdf.net",
      "description": "โดเมนที่พบในตัวอย่าง Asin ธันวาคม 2568",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "Asin Spyware บน Android — ดักฟังผู้ใช้ภาษาอาหรับผ่านแอปข่าว PDF และแผนที่สงครามปลอม เล็งนักข่าวและ OSINT",
          "url": "/posts/2026/06/045/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "domain:c-pdf.net"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "syriadefensemap[.]com",
      "valueRefanged": "syriadefensemap.com",
      "description": "เว็บแจกจ่าย Syria Defense Map spyware APK",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "Asin Spyware บน Android — ดักฟังผู้ใช้ภาษาอาหรับผ่านแอปข่าว PDF และแผนที่สงครามปลอม เล็งนักข่าวและ OSINT",
          "url": "/posts/2026/06/045/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "domain:syriadefensemap.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "mlcrosoft[.]co[.]com",
      "valueRefanged": "mlcrosoft.co.com",
      "description": "โดเมนปลอมเลียนแบบ Microsoft ใช้โฮสต์ malware payload",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "SHub Reaper — มัลแวร์ macOS สายพันธุ์ใหม่ใช้ ClickFix อัตโนมัติ เปิด Script Editor ขโมยเบราว์เซอร์และกระเป๋าคริปโต",
          "url": "/posts/2026/06/044/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "domain:mlcrosoft.co.com"
    },
    {
      "type": "Detection",
      "category": "hunt-only",
      "valueDefanged": "Script.Trojan-Stealer.AIStealer.08LJNB",
      "valueRefanged": "Script.Trojan-Stealer.AIStealer.08LJNB",
      "description": "Urban VPN malware detection name",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "เอ็กซ์เทนชัน Chrome ปลอม — Urban VPN, Smart Sidebar, Chat AI แอบขโมยบทสนทนา ChatGPT, Claude, Gemini จากผู้ใช้ 115 ล้านคน",
          "url": "/posts/2026/06/043/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "detection:script.trojan-stealer.aistealer.08ljnb"
    },
    {
      "type": "Detection",
      "category": "hunt-only",
      "valueDefanged": "Script.Trojan-Stealer.AIStealer.8HGRSW",
      "valueRefanged": "Script.Trojan-Stealer.AIStealer.8HGRSW",
      "description": "Smart Sidebar malware detection name",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "เอ็กซ์เทนชัน Chrome ปลอม — Urban VPN, Smart Sidebar, Chat AI แอบขโมยบทสนทนา ChatGPT, Claude, Gemini จากผู้ใช้ 115 ล้านคน",
          "url": "/posts/2026/06/043/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "detection:script.trojan-stealer.aistealer.8hgrsw"
    },
    {
      "type": "Detection",
      "category": "hunt-only",
      "valueDefanged": "Script.Trojan.AiFrame.703FYD",
      "valueRefanged": "Script.Trojan.AiFrame.703FYD",
      "description": "Chat AI malware detection name",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "เอ็กซ์เทนชัน Chrome ปลอม — Urban VPN, Smart Sidebar, Chat AI แอบขโมยบทสนทนา ChatGPT, Claude, Gemini จากผู้ใช้ 115 ล้านคน",
          "url": "/posts/2026/06/043/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "detection:script.trojan.aiframe.703fyd"
    },
    {
      "type": "Censys Query",
      "category": "hunt-only",
      "valueDefanged": "banner_hash_sha256: e28a96f983b8605decd2ac1db16ebad5fa741a6aa4e585a38ade0e5ad7d6cec0",
      "valueRefanged": "banner_hash_sha256: e28a96f983b8605decd2ac1db16ebad5fa741a6aa4e585a38ade0e5ad7d6cec0",
      "description": "Fingerprint ใช้ค้นหา BRICKSTORM C2 servers",
      "firstSeen": "2026-06-05",
      "lastSeen": "2026-06-05",
      "sources": [
        {
          "title": "VerdantBamboo APT จีน — ซ่อนตัวในเครือข่ายองค์กรนาน 18 เดือน ด้วยมัลแวร์ BRICKSTORM เจาะ Firewall, NAS และ Appliance",
          "url": "/posts/2026/06/040/",
          "date": "2026-06-05"
        }
      ],
      "tags": [],
      "id": "censys query:banner_hash_sha256: e28a96f983b8605decd2ac1db16ebad5fa741a6aa4e585a38ade0e5ad7d6cec0"
    },
    {
      "type": "localStorage Key",
      "category": "hunt-only",
      "valueDefanged": "_d_data_customer_",
      "valueRefanged": "_d_data_customer_",
      "description": "คีย์เก็บข้อมูลที่ขโมยใน variant Firestore",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แคมเปญขโมยบัตรเครดิต Magecart ใช้ Stripe เก็บข้อมูลที่ขโมย — ซ่อนใน api.stripe.com และ Google Tag Manager",
          "url": "/posts/2026/06/035/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "localstorage key:_d_data_customer_"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "sites[.]google[.]com/view/clau-ver-un-24",
      "valueRefanged": "sites.google.com/view/clau-ver-un-24",
      "description": "หน้า Google Sites ปลอมเลียนแบบตัวติดตั้ง Claude Code",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "ตัวติดตั้ง Claude Code ปลอมบน Google Sites — ใช้ ClickFix + Steganography รันมัลแวร์ในหน่วยความจำ ขโมย credential",
          "url": "/posts/2026/06/029/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "url:sites.google.com/view/clau-ver-un-24"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp://buccstanor[.]pics:28313 / baxe[.]pics:48261",
      "valueRefanged": "http://buccstanor.pics:28313 / baxe.pics:48261",
      "description": "C2 ของ RemusStealer",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมเว็บ Ghidra, dnSpy, SpiderFoot แจกมัลแวร์ — ใช้ TDS คัดกรองเหยื่อ เล็งนักวิจัยความปลอดภัย",
          "url": "/posts/2026/06/037/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "url:http://buccstanor.pics:28313 / baxe.pics:48261"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "github.com/oven-sh/bun/.../bun-linux-x64-baseline.zip",
      "valueRefanged": "github.com/oven-sh/bun/.../bun-linux-x64-baseline.zip",
      "description": "URL ดาวน์โหลด Bun runtime ที่ใช้ระหว่างรัน payload",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "Phantom Gyp — เวิร์ม Miasma สายพันธุ์ใหม่ใช้ไฟล์ binding.gyp เจาะ 57 แพ็กเกจ npm ใน 2 ชั่วโมง",
          "url": "/posts/2026/06/036/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "url:github.com/oven-sh/bun/.../bun-linux-x64-baseline.zip"
    },
    {
      "type": "Target",
      "category": "hunt-only",
      "valueDefanged": "Magento / Adobe Commerce checkout",
      "valueRefanged": "Magento / Adobe Commerce checkout",
      "description": "หน้าเป้าหมายของ skimmer",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แคมเปญขโมยบัตรเครดิต Magecart ใช้ Stripe เก็บข้อมูลที่ขโมย — ซ่อนใน api.stripe.com และ Google Tag Manager",
          "url": "/posts/2026/06/035/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "target:magento / adobe commerce checkout"
    },
    {
      "type": "Tactic",
      "category": "hunt-only",
      "valueDefanged": "ClickFix via Google Sites",
      "valueRefanged": "ClickFix via Google Sites",
      "description": "เหยื่อล่อ social engineering ให้รันคำสั่ง mshta",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "ตัวติดตั้ง Claude Code ปลอมบน Google Sites — ใช้ ClickFix + Steganography รันมัลแวร์ในหน่วยความจำ ขโมย credential",
          "url": "/posts/2026/06/029/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "tactic:clickfix via google sites"
    },
    {
      "type": "Stripe Customer ID",
      "category": "hunt-only",
      "valueDefanged": "cus_TfFjAAZQNOYENR",
      "valueRefanged": "cus_TfFjAAZQNOYENR",
      "description": "customer record ของ Stripe ที่เก็บ skimmer payload",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แคมเปญขโมยบัตรเครดิต Magecart ใช้ Stripe เก็บข้อมูลที่ขโมย — ซ่อนใน api.stripe.com และ Google Tag Manager",
          "url": "/posts/2026/06/035/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "stripe customer id:cus_tffjaazqnoyenr"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "39dc2327fe1e5a56ac5ad9dc02f0386cff3d83dcfdc558cacba42ebb9dcc5ec2",
      "valueRefanged": "39dc2327fe1e5a56ac5ad9dc02f0386cff3d83dcfdc558cacba42ebb9dcc5ec2",
      "description": "RemusStealer",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมเว็บ Ghidra, dnSpy, SpiderFoot แจกมัลแวร์ — ใช้ TDS คัดกรองเหยื่อ เล็งนักวิจัยความปลอดภัย",
          "url": "/posts/2026/06/037/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "sha-256:39dc2327fe1e5a56ac5ad9dc02f0386cff3d83dcfdc558cacba42ebb9dcc5ec2"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "e6a1a428a7c09c9946f7c0179d89b263f442dc3208b5144a9146c200e4185bd6",
      "valueRefanged": "e6a1a428a7c09c9946f7c0179d89b263f442dc3208b5144a9146c200e4185bd6",
      "description": "AnimateClipper",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมเว็บ Ghidra, dnSpy, SpiderFoot แจกมัลแวร์ — ใช้ TDS คัดกรองเหยื่อ เล็งนักวิจัยความปลอดภัย",
          "url": "/posts/2026/06/037/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "sha-256:e6a1a428a7c09c9946f7c0179d89b263f442dc3208b5144a9146c200e4185bd6"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "598b023e56c45b19173e8f96c1c88036d732fec305cf6bf1b9cf4dbe304beb7f",
      "valueRefanged": "598b023e56c45b19173e8f96c1c88036d732fec305cf6bf1b9cf4dbe304beb7f",
      "description": "SessionGate Stage 1",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมเว็บ Ghidra, dnSpy, SpiderFoot แจกมัลแวร์ — ใช้ TDS คัดกรองเหยื่อ เล็งนักวิจัยความปลอดภัย",
          "url": "/posts/2026/06/037/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "sha-256:598b023e56c45b19173e8f96c1c88036d732fec305cf6bf1b9cf4dbe304beb7f"
    },
    {
      "type": "Repo Description",
      "category": "hunt-only",
      "valueDefanged": "\"Miasma – The Spreading Blight\" / สตริงกลับด้าน Shai-Hulud",
      "valueRefanged": "\"Miasma – The Spreading Blight\" / สตริงกลับด้าน Shai-Hulud",
      "description": "ตัวระบุตัวเองใน repo exfiltration",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "Phantom Gyp — เวิร์ม Miasma สายพันธุ์ใหม่ใช้ไฟล์ binding.gyp เจาะ 57 แพ็กเกจ npm ใน 2 ชั่วโมง",
          "url": "/posts/2026/06/036/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "repo description:\"miasma – the spreading blight\" / สตริงกลับด้าน shai-hulud"
    },
    {
      "type": "Process",
      "category": "hunt-only",
      "valueDefanged": "mshta.exe",
      "valueRefanged": "mshta.exe",
      "description": "ยูทิลิตี Windows ที่ถูกใช้เริ่มห่วงโซ่ ClickFix",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "ตัวติดตั้ง Claude Code ปลอมบน Google Sites — ใช้ ClickFix + Steganography รันมัลแวร์ในหน่วยความจำ ขโมย credential",
          "url": "/posts/2026/06/029/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "process:mshta.exe"
    },
    {
      "type": "Process",
      "category": "hunt-only",
      "valueDefanged": "powershell.exe",
      "valueRefanged": "powershell.exe",
      "description": "ใช้ส่ง payload หลายขั้นและรัน shellcode ในหน่วยความจำ",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "ตัวติดตั้ง Claude Code ปลอมบน Google Sites — ใช้ ClickFix + Steganography รันมัลแวร์ในหน่วยความจำ ขโมย credential",
          "url": "/posts/2026/06/029/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "process:powershell.exe"
    },
    {
      "type": "Malicious File",
      "category": "hunt-only",
      "valueDefanged": "binding.gyp (157 ไบต์)",
      "valueRefanged": "binding.gyp (157 ไบต์)",
      "description": "install hook ที่มี Phantom Gyp command substitution",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "Phantom Gyp — เวิร์ม Miasma สายพันธุ์ใหม่ใช้ไฟล์ binding.gyp เจาะ 57 แพ็กเกจ npm ใน 2 ชั่วโมง",
          "url": "/posts/2026/06/036/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "malicious file:binding.gyp (157 ไบต์)"
    },
    {
      "type": "Malicious File",
      "category": "hunt-only",
      "valueDefanged": "index.js (root, 4.5 MB+)",
      "valueRefanged": "index.js (root, 4.5 MB+)",
      "description": "payload มัลแวร์ obfuscate ที่ root แพ็กเกจ",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "Phantom Gyp — เวิร์ม Miasma สายพันธุ์ใหม่ใช้ไฟล์ binding.gyp เจาะ 57 แพ็กเกจ npm ใน 2 ชั่วโมง",
          "url": "/posts/2026/06/036/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "malicious file:index.js (root, 4.5 mb+)"
    },
    {
      "type": "Malicious File",
      "category": "hunt-only",
      "valueDefanged": ".claude/setup.mjs / .cursor/rules/setup.mdc / .gemini/settings.json / .vscode/setup.mjs",
      "valueRefanged": ".claude/setup.mjs / .cursor/rules/setup.mdc / .gemini/settings.json / .vscode/setup.mjs",
      "description": "ไฟล์ backdoor ฝังในเครื่องมือ AI coding",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "Phantom Gyp — เวิร์ม Miasma สายพันธุ์ใหม่ใช้ไฟล์ binding.gyp เจาะ 57 แพ็กเกจ npm ใน 2 ชั่วโมง",
          "url": "/posts/2026/06/036/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "malicious file:.claude/setup.mjs / .cursor/rules/setup.mdc / .gemini/settings.json / .vscode/setup.mjs"
    },
    {
      "type": "GitHub Account",
      "category": "hunt-only",
      "valueDefanged": "github.com/liuende501",
      "valueRefanged": "github.com/liuende501",
      "description": "บัญชี exfiltration ของผู้โจมตี (236 repo ที่สร้างอัตโนมัติ)",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "Phantom Gyp — เวิร์ม Miasma สายพันธุ์ใหม่ใช้ไฟล์ binding.gyp เจาะ 57 แพ็กเกจ npm ใน 2 ชั่วโมง",
          "url": "/posts/2026/06/036/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "github account:github.com/liuende501"
    },
    {
      "type": "Firestore Doc",
      "category": "hunt-only",
      "valueDefanged": "tracking/captcha (project: braintree-payment-app)",
      "valueRefanged": "tracking/captcha (project: braintree-payment-app)",
      "description": "variant ที่ใช้ Google Firestore แทน Stripe",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แคมเปญขโมยบัตรเครดิต Magecart ใช้ Stripe เก็บข้อมูลที่ขโมย — ซ่อนใน api.stripe.com และ Google Tag Manager",
          "url": "/posts/2026/06/035/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "firestore doc:tracking/captcha (project: braintree-payment-app)"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "api.stripe[.]com",
      "valueRefanged": "api.stripe.com",
      "description": "ใช้เป็นทั้งช่องส่ง payload และเก็บข้อมูลที่ขโมย (ถูกใช้ในทางผิด)",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แคมเปญขโมยบัตรเครดิต Magecart ใช้ Stripe เก็บข้อมูลที่ขโมย — ซ่อนใน api.stripe.com และ Google Tag Manager",
          "url": "/posts/2026/06/035/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "domain:api.stripe.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "googletagmanager[.]com",
      "valueRefanged": "googletagmanager.com",
      "description": "GTM container ที่ฝังโค้ด skimmer",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แคมเปญขโมยบัตรเครดิต Magecart ใช้ Stripe เก็บข้อมูลที่ขโมย — ซ่อนใน api.stripe.com และ Google Tag Manager",
          "url": "/posts/2026/06/035/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "domain:googletagmanager.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "dmca-chrome-extensions[.]click",
      "valueRefanged": "dmca-chrome-extensions.click",
      "description": "หน้าฟิชชิง Chrome Web Store ปลอม ใช้เก็บ credential นักพัฒนา Google",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แฮ็กเกอร์ใช้ประกาศลิขสิทธิ์ Chrome Web Store ปลอม หลอกนักพัฒนา extension ขโมยบัญชี Google",
          "url": "/posts/2026/06/030/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "domain:dmca-chrome-extensions.click"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "ghidralite[.]com",
      "valueRefanged": "ghidralite.com",
      "description": "เว็บปลอมเลียนแบบ Ghidra",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมเว็บ Ghidra, dnSpy, SpiderFoot แจกมัลแวร์ — ใช้ TDS คัดกรองเหยื่อ เล็งนักวิจัยความปลอดภัย",
          "url": "/posts/2026/06/037/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "domain:ghidralite.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "dnspy[.]org",
      "valueRefanged": "dnspy.org",
      "description": "เว็บปลอมเลียนแบบ dnSpy",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมเว็บ Ghidra, dnSpy, SpiderFoot แจกมัลแวร์ — ใช้ TDS คัดกรองเหยื่อ เล็งนักวิจัยความปลอดภัย",
          "url": "/posts/2026/06/037/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "domain:dnspy.org"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "ilspy[.]org",
      "valueRefanged": "ilspy.org",
      "description": "เว็บปลอมเลียนแบบ ILSpy",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมเว็บ Ghidra, dnSpy, SpiderFoot แจกมัลแวร์ — ใช้ TDS คัดกรองเหยื่อ เล็งนักวิจัยความปลอดภัย",
          "url": "/posts/2026/06/037/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "domain:ilspy.org"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "appfreshstart[.]com / appgetonline[.]com / webinnosetup[.]com",
      "valueRefanged": "appfreshstart.com / appgetonline.com / webinnosetup.com",
      "description": "C2 ของ SessionGate",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมเว็บ Ghidra, dnSpy, SpiderFoot แจกมัลแวร์ — ใช้ TDS คัดกรองเหยื่อ เล็งนักวิจัยความปลอดภัย",
          "url": "/posts/2026/06/037/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "domain:appfreshstart.com / appgetonline.com / webinnosetup.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "flame-guard[.]cc / carlessclapped[.]com / hugo-lapp[.]lat",
      "valueRefanged": "flame-guard.cc / carlessclapped.com / hugo-lapp.lat",
      "description": "C2 ของ AnimateClipper",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมเว็บ Ghidra, dnSpy, SpiderFoot แจกมัลแวร์ — ใช้ TDS คัดกรองเหยื่อ เล็งนักวิจัยความปลอดภัย",
          "url": "/posts/2026/06/037/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "domain:flame-guard.cc / carlessclapped.com / hugo-lapp.lat"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "oundhertobeconsist[.]org",
      "valueRefanged": "oundhertobeconsist.org",
      "description": "โดเมน TDS redirector",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "แฮ็กเกอร์ปลอมเว็บ Ghidra, dnSpy, SpiderFoot แจกมัลแวร์ — ใช้ TDS คัดกรองเหยื่อ เล็งนักวิจัยความปลอดภัย",
          "url": "/posts/2026/06/037/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "domain:oundhertobeconsist.org"
    },
    {
      "type": "Data Target",
      "category": "hunt-only",
      "valueDefanged": "เบราว์เซอร์, อีเมล, wallet คริปโต",
      "valueRefanged": "เบราว์เซอร์, อีเมล, wallet คริปโต",
      "description": "ประเภท credential ที่ถูกขโมยส่งไป C2",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "ตัวติดตั้ง Claude Code ปลอมบน Google Sites — ใช้ ClickFix + Steganography รันมัลแวร์ในหน่วยความจำ ขโมย credential",
          "url": "/posts/2026/06/029/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "data target:เบราว์เซอร์, อีเมล, wallet คริปโต"
    },
    {
      "type": "API Endpoint",
      "category": "hunt-only",
      "valueDefanged": "169.254.169.254/latest/api/token (AWS) / /metadata/identity (Azure)",
      "valueRefanged": "169.254.169.254/latest/api/token (AWS) / /metadata/identity (Azure)",
      "description": "endpoint cloud metadata ที่มุ่งเป้าขโมย credential",
      "firstSeen": "2026-06-04",
      "lastSeen": "2026-06-04",
      "sources": [
        {
          "title": "Phantom Gyp — เวิร์ม Miasma สายพันธุ์ใหม่ใช้ไฟล์ binding.gyp เจาะ 57 แพ็กเกจ npm ใน 2 ชั่วโมง",
          "url": "/posts/2026/06/036/",
          "date": "2026-06-04"
        }
      ],
      "tags": [],
      "id": "api endpoint:169.254.169.254/latest/api/token (aws) / /metadata/identity (azure)"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp://158[.]94[.]211[.]76:34567/ceoznp",
      "valueRefanged": "http://158.94.211.76:34567/ceoznp",
      "description": "endpoint beacon ของ C2",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ",
          "url": "/posts/2026/06/024/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "url:http://158.94.211.76:34567/ceoznp"
    },
    {
      "type": "Tool",
      "category": "hunt-only",
      "valueDefanged": "G-BOT",
      "valueRefanged": "G-BOT",
      "description": "C2 framework ของกลุ่ม รองรับ SOCKS5 tunneling",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "The Gentlemen — กลุ่มแรนซัมแวร์ดาวรุ่งปี 2026 ใช้ช่องโหว่ Fortinet, AI และ C2 ตัวเอง G-BOT รั้งอันดับ 2 รองจาก Qilin",
          "url": "/posts/2026/06/026/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "tool:g-bot"
    },
    {
      "type": "Tool",
      "category": "hunt-only",
      "valueDefanged": "Phemedrone Stealer V2.3.2 / LummaC2",
      "valueRefanged": "Phemedrone Stealer V2.3.2 / LummaC2",
      "description": "credential stealer ที่กลุ่มใช้",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "The Gentlemen — กลุ่มแรนซัมแวร์ดาวรุ่งปี 2026 ใช้ช่องโหว่ Fortinet, AI และ C2 ตัวเอง G-BOT รั้งอันดับ 2 รองจาก Qilin",
          "url": "/posts/2026/06/026/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "tool:phemedrone stealer v2.3.2 / lummac2"
    },
    {
      "type": "Tool",
      "category": "hunt-only",
      "valueDefanged": "rclone → MEGA",
      "valueRefanged": "rclone → MEGA",
      "description": "เครื่องมือ exfiltration ข้อมูลที่ขโมย",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "The Gentlemen — กลุ่มแรนซัมแวร์ดาวรุ่งปี 2026 ใช้ช่องโหว่ Fortinet, AI และ C2 ตัวเอง G-BOT รั้งอันดับ 2 รองจาก Qilin",
          "url": "/posts/2026/06/026/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "tool:rclone → mega"
    },
    {
      "type": "Suricata Rule",
      "category": "hunt-only",
      "valueDefanged": "85006579, 85006580, 85006581",
      "valueRefanged": "85006579, 85006580, 85006581",
      "description": "กฎตรวจจับทราฟฟิก C2",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ",
          "url": "/posts/2026/06/024/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "suricata rule:85006579, 85006580, 85006581"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "5446b24959c1c2707accfc257aaac61819c01d1ed65bca910a7e8be1787d20b",
      "valueRefanged": "5446b24959c1c2707accfc257aaac61819c01d1ed65bca910a7e8be1787d20b",
      "description": "ตัวอย่างมัลแวร์ JS ที่ obfuscate",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ",
          "url": "/posts/2026/06/024/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "sha-256:5446b24959c1c2707accfc257aaac61819c01d1ed65bca910a7e8be1787d20b"
    },
    {
      "type": "Registry Key",
      "category": "hunt-only",
      "valueDefanged": "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\<random>",
      "valueRefanged": "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\<random>",
      "description": "run key สำหรับ persistence",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ",
          "url": "/posts/2026/06/024/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "registry key:hkcu\\software\\microsoft\\windows\\currentversion\\run\\<random>"
    },
    {
      "type": "Path",
      "category": "hunt-only",
      "valueDefanged": "/opt/updateamd",
      "valueRefanged": "/opt/updateamd",
      "description": "path เรียกใช้ Linux locker",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "The Gentlemen — กลุ่มแรนซัมแวร์ดาวรุ่งปี 2026 ใช้ช่องโหว่ Fortinet, AI และ C2 ตัวเอง G-BOT รั้งอันดับ 2 รองจาก Qilin",
          "url": "/posts/2026/06/026/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "path:/opt/updateamd"
    },
    {
      "type": "Password",
      "category": "hunt-only",
      "valueDefanged": "gentlemen25 / Gentlemen25 / gentle26",
      "valueRefanged": "gentlemen25 / Gentlemen25 / gentle26",
      "description": "รหัสผ่าน VPN ซ้ำที่พบในเหยื่อ Fortinet หลายราย",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "The Gentlemen — กลุ่มแรนซัมแวร์ดาวรุ่งปี 2026 ใช้ช่องโหว่ Fortinet, AI และ C2 ตัวเอง G-BOT รั้งอันดับ 2 รองจาก Qilin",
          "url": "/posts/2026/06/026/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "password:gentlemen25 / gentlemen25 / gentle26"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "158[.]94[.]211[.]76",
      "valueRefanged": "158.94.211.76",
      "description": "เซิร์ฟเวอร์ C2 หลัก",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ",
          "url": "/posts/2026/06/024/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "ip address:158.94.211.76"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "91[.]92[.]243[.]79",
      "valueRefanged": "91.92.243.79",
      "description": "เซิร์ฟเวอร์ C2 รอง",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ",
          "url": "/posts/2026/06/024/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "ip address:91.92.243.79"
    },
    {
      "type": "IP / SSH",
      "category": "hunt-only",
      "valueDefanged": "193[.]228[.]128[.]2:2222",
      "valueRefanged": "193[.]228[.]128[.]2:2222",
      "description": "NAS staging server ใน pipeline exfiltration ผ่าน rclone",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "The Gentlemen — กลุ่มแรนซัมแวร์ดาวรุ่งปี 2026 ใช้ช่องโหว่ Fortinet, AI และ C2 ตัวเอง G-BOT รั้งอันดับ 2 รองจาก Qilin",
          "url": "/posts/2026/06/026/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "ip / ssh:193[.]228[.]128[.]2:2222"
    },
    {
      "type": "HTTP Pattern",
      "category": "hunt-only",
      "valueDefanged": "POST body: a=iz&b=<data>",
      "valueRefanged": "POST body: a=iz&b=<data>",
      "description": "รูปแบบ POST check-in ของ C2",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ",
          "url": "/posts/2026/06/024/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "http pattern:post body: a=iz&b=<data>"
    },
    {
      "type": "HTTP Header",
      "category": "hunt-only",
      "valueDefanged": "X-S / X-A",
      "valueRefanged": "X-S / X-A",
      "description": "header นำพา session ID / รหัสคำสั่งของ C2",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ",
          "url": "/posts/2026/06/024/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "http header:x-s / x-a"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "PURCHASE ORDER_12258.js",
      "valueRefanged": "PURCHASE ORDER_12258.js",
      "description": "ชื่อไฟล์เหยื่อล่อ",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ",
          "url": "/posts/2026/06/024/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "file name:purchase order_12258.js"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "QUOTE_B2026.js",
      "valueRefanged": "QUOTE_B2026.js",
      "description": "ชื่อไฟล์เหยื่อล่อ",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ",
          "url": "/posts/2026/06/024/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "file name:quote_b2026.js"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "QUOTATION2026115.js",
      "valueRefanged": "QUOTATION2026115.js",
      "description": "ชื่อไฟล์เหยื่อล่อ",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ",
          "url": "/posts/2026/06/024/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "file name:quotation2026115.js"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "README-GENTLEMEN.txt",
      "valueRefanged": "README-GENTLEMEN.txt",
      "description": "ransom note ของ Linux locker",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "The Gentlemen — กลุ่มแรนซัมแวร์ดาวรุ่งปี 2026 ใช้ช่องโหว่ Fortinet, AI และ C2 ตัวเอง G-BOT รั้งอันดับ 2 รองจาก Qilin",
          "url": "/posts/2026/06/026/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "file name:readme-gentlemen.txt"
    },
    {
      "type": "File Extension",
      "category": "hunt-only",
      "valueDefanged": ".i8p14s",
      "valueRefanged": ".i8p14s",
      "description": "นามสกุลไฟล์ที่ Linux/NAS locker เพิ่ม",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "The Gentlemen — กลุ่มแรนซัมแวร์ดาวรุ่งปี 2026 ใช้ช่องโหว่ Fortinet, AI และ C2 ตัวเอง G-BOT รั้งอันดับ 2 รองจาก Qilin",
          "url": "/posts/2026/06/026/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "file extension:.i8p14s"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "aryamint[.]com",
      "valueRefanged": "aryamint.com",
      "description": "โดเมนโครงสร้าง C2",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ",
          "url": "/posts/2026/06/024/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "domain:aryamint.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "scan[.]aryamint[.]com",
      "valueRefanged": "scan.aryamint.com",
      "description": "subdomain โครงสร้าง C2",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "JS.MonoGlyphRAT — แฮ็กเกอร์ใช้ใบสั่งซื้อปลอมส่งมัลแวร์ JavaScript ที่ AV ตรวจไม่เจอ เจาะองค์กรสหรัฐฯ",
          "url": "/posts/2026/06/024/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "domain:scan.aryamint.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "bestflowers247[.]online",
      "valueRefanged": "bestflowers247.online",
      "description": "Matrix homeserver เชื่อม Black Basta กับ The Gentlemen",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "The Gentlemen — กลุ่มแรนซัมแวร์ดาวรุ่งปี 2026 ใช้ช่องโหว่ Fortinet, AI และ C2 ตัวเอง G-BOT รั้งอันดับ 2 รองจาก Qilin",
          "url": "/posts/2026/06/026/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "domain:bestflowers247.online"
    },
    {
      "type": "CVE",
      "category": "hunt-only",
      "valueDefanged": "CVE-2024-55591",
      "valueRefanged": "CVE-2024-55591",
      "description": "FortiOS authentication bypass; ทางเข้าหลักของ The Gentlemen",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "The Gentlemen — กลุ่มแรนซัมแวร์ดาวรุ่งปี 2026 ใช้ช่องโหว่ Fortinet, AI และ C2 ตัวเอง G-BOT รั้งอันดับ 2 รองจาก Qilin",
          "url": "/posts/2026/06/026/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "cve:cve-2024-55591"
    },
    {
      "type": "CVE",
      "category": "hunt-only",
      "valueDefanged": "CVE-2025-32433",
      "valueRefanged": "CVE-2025-32433",
      "description": "Erlang/OTP SSH RCE; อยู่ในชุดเครื่องมือกลุ่ม",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "The Gentlemen — กลุ่มแรนซัมแวร์ดาวรุ่งปี 2026 ใช้ช่องโหว่ Fortinet, AI และ C2 ตัวเอง G-BOT รั้งอันดับ 2 รองจาก Qilin",
          "url": "/posts/2026/06/026/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "cve:cve-2025-32433"
    },
    {
      "type": "CVE",
      "category": "hunt-only",
      "valueDefanged": "CVE-2025-33073",
      "valueRefanged": "CVE-2025-33073",
      "description": "NTLM relay; อยู่ในชุดเครื่องมือกลุ่ม",
      "firstSeen": "2026-06-03",
      "lastSeen": "2026-06-03",
      "sources": [
        {
          "title": "The Gentlemen — กลุ่มแรนซัมแวร์ดาวรุ่งปี 2026 ใช้ช่องโหว่ Fortinet, AI และ C2 ตัวเอง G-BOT รั้งอันดับ 2 รองจาก Qilin",
          "url": "/posts/2026/06/026/",
          "date": "2026-06-03"
        }
      ],
      "tags": [],
      "id": "cve:cve-2025-33073"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https[:]//ddjidd564[.]github[.]io/defi-security-best-practices/config.json",
      "valueRefanged": "https://ddjidd564.github.io/defi-security-best-practices/config.json",
      "description": "endpoint config ที่ตัวอย่าง Python และ npm ใช้ดึง webhook",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "url:https://ddjidd564.github.io/defi-security-best-practices/config.json"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https[:]//raw[.]githubusercontent[.]com/ddjidd564/defi-security-best-practices/main/config.json",
      "valueRefanged": "https://raw.githubusercontent.com/ddjidd564/defi-security-best-practices/main/config.json",
      "description": "mirror ของไฟล์ config บน GitHub",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "url:https://raw.githubusercontent.com/ddjidd564/defi-security-best-practices/main/config.json"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https[:]//ddjidd564[.]github[.]io/defi-security-best-practices/priority_targets.json",
      "valueRefanged": "https://ddjidd564.github.io/defi-security-best-practices/priority_targets.json",
      "description": "ไฟล์ config เป้าหมายลำดับความสำคัญ (npm)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "url:https://ddjidd564.github.io/defi-security-best-practices/priority_targets.json"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https[:]//webhook[.]site/2ada14c8-00f6-43ce-9ad6-f5dc15952246",
      "valueRefanged": "https://webhook.site/2ada14c8-00f6-43ce-9ad6-f5dc15952246",
      "description": "endpoint รับข้อมูล exfiltration (ช่องสำรอง)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "url:https://webhook.site/2ada14c8-00f6-43ce-9ad6-f5dc15952246"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https[:]//webhook[.]site/7513bf3d-7092-4739-bf15-a8f779a75546",
      "valueRefanged": "https://webhook.site/7513bf3d-7092-4739-bf15-a8f779a75546",
      "description": "endpoint รับข้อมูล exfiltration (ช่องสำรอง)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "url:https://webhook.site/7513bf3d-7092-4739-bf15-a8f779a75546"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "https[:]//webhook[.]site/d1652693-2eb8-4281-b9e8-cffff36da2f8",
      "valueRefanged": "https://webhook.site/d1652693-2eb8-4281-b9e8-cffff36da2f8",
      "description": "endpoint รับข้อมูล exfiltration (ช่องสำรอง)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "url:https://webhook.site/d1652693-2eb8-4281-b9e8-cffff36da2f8"
    },
    {
      "type": "TLD",
      "category": "hunt-only",
      "valueDefanged": ".top, .shop, .cc",
      "valueRefanged": ".top, .shop, .cc",
      "description": "โดเมนความเสี่ยงสูง มักใช้ DGA + ส่ง payload ผ่าน WinRAR",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ซ่อนทราฟฟิกอันตรายในคลาวด์ที่เชื่อถือได้ — AWS, Google Cloud, Cloudflare, Microsoft, GitHub กลายเป็นเกราะกำบัง C2",
          "url": "/posts/2026/06/015/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "tld:.top, .shop, .cc"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "79af67ed343bc45b6a19e4836ebb83f1130243ff98f48465f9a7a807ba4bfa91",
      "valueRefanged": "79af67ed343bc45b6a19e4836ebb83f1130243ff98f48465f9a7a807ba4bfa91",
      "description": "iis.jpg (payload MSI ปลอมเป็นรูป)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "sha-256:79af67ed343bc45b6a19e4836ebb83f1130243ff98f48465f9a7a807ba4bfa91"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "106f46375d8497d353c22c98f72ab15a9bb87beba4585d5a492fd11edc288b0b",
      "valueRefanged": "106f46375d8497d353c22c98f72ab15a9bb87beba4585d5a492fd11edc288b0b",
      "description": "Browser_Update.zip (archive dropper เริ่มต้น)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "sha-256:106f46375d8497d353c22c98f72ab15a9bb87beba4585d5a492fd11edc288b0b"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "8421e7995778faf1f2a902fb2c51d85ae39481f443b7b3186068d5c33c472d99",
      "valueRefanged": "8421e7995778faf1f2a902fb2c51d85ae39481f443b7b3186068d5c33c472d99",
      "description": "Avk.exe (ไบนารี G DATA ที่ถูกต้อง ใช้ sideloading)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "sha-256:8421e7995778faf1f2a902fb2c51d85ae39481f443b7b3186068d5c33c472d99"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "4cd81d26289c4d8383a0ffa34397f0b03941554eac04f1b420269b831acc",
      "valueRefanged": "4cd81d26289c4d8383a0ffa34397f0b03941554eac04f1b420269b831acc",
      "description": "Avk.dll (loader ขั้นกลางอันตราย)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "sha-256:4cd81d26289c4d8383a0ffa34397f0b03941554eac04f1b420269b831acc"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "d4bc21e12360af2f2cb55872a90b62805150d498c452b2b1c6a05a806cbb",
      "valueRefanged": "d4bc21e12360af2f2cb55872a90b62805150d498c452b2b1c6a05a806cbb",
      "description": "AVKTray.dat (คอนเทนเนอร์ payload ที่เข้ารหัส)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "sha-256:d4bc21e12360af2f2cb55872a90b62805150d498c452b2b1c6a05a806cbb"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "b52c484a3cc383dd3b4dc79c207946b603a810edf74bff76dca7ad29d4de",
      "valueRefanged": "b52c484a3cc383dd3b4dc79c207946b603a810edf74bff76dca7ad29d4de",
      "description": "final_payload.bin (PlugX implant ที่ map เข้าหน่วยความจำ)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "sha-256:b52c484a3cc383dd3b4dc79c207946b603a810edf74bff76dca7ad29d4de"
    },
    {
      "type": "Registry Key",
      "category": "hunt-only",
      "valueDefanged": "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\G Data",
      "valueRefanged": "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\G Data",
      "description": "Run key สำหรับ persistence (ค่า: Avk.exe พร้อม argument หลอก)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "registry key:hkcu\\software\\microsoft\\windows\\currentversion\\run\\g data"
    },
    {
      "type": "Registry Key",
      "category": "hunt-only",
      "valueDefanged": "HKCU\\Software\\Classes\\ms-pu\\CLSID",
      "valueRefanged": "HKCU\\Software\\Classes\\ms-pu\\CLSID",
      "description": "ที่เก็บ client/install ID เฉพาะ",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "registry key:hkcu\\software\\classes\\ms-pu\\clsid"
    },
    {
      "type": "RC4 Key",
      "category": "hunt-only",
      "valueDefanged": "VOphJo",
      "valueRefanged": "VOphJo",
      "description": "คีย์ถอดรหัส config ขณะ runtime",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "rc4 key:vophjo"
    },
    {
      "type": "Process (LOLBin)",
      "category": "hunt-only",
      "valueDefanged": "slui.exe, svchost.exe, powershell",
      "valueRefanged": "slui.exe, svchost.exe, powershell",
      "description": "process Windows ที่ถูกใช้กลบเกลื่อนกิจกรรม C2",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ซ่อนทราฟฟิกอันตรายในคลาวด์ที่เชื่อถือได้ — AWS, Google Cloud, Cloudflare, Microsoft, GitHub กลายเป็นเกราะกำบัง C2",
          "url": "/posts/2026/06/015/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "process (lolbin):slui.exe, svchost.exe, powershell"
    },
    {
      "type": "Port",
      "category": "hunt-only",
      "valueDefanged": "443 (HTTPS)",
      "valueRefanged": "443 (HTTPS)",
      "description": "ช่องทางสื่อสาร C2 หลัก ปลอมเป็นทราฟฟิกเว็บปกติ",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ซ่อนทราฟฟิกอันตรายในคลาวด์ที่เชื่อถือได้ — AWS, Google Cloud, Cloudflare, Microsoft, GitHub กลายเป็นเกราะกำบัง C2",
          "url": "/posts/2026/06/015/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "port:443 (https)"
    },
    {
      "type": "Mutex",
      "category": "hunt-only",
      "valueDefanged": "aumhYjQIQ",
      "valueRefanged": "aumhYjQIQ",
      "description": "mutex ที่สร้างเพื่อกัน controller ทำงานซ้ำ",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "mutex:aumhyjqiq"
    },
    {
      "type": "JA3S Hash",
      "category": "hunt-only",
      "valueDefanged": "1af33e1657631357c73119488045302c",
      "valueRefanged": "1af33e1657631357c73119488045302c",
      "description": "ลายเซ็น TLS ที่เชื่อมโยงกับ beacon ของ Cobalt Strike",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ซ่อนทราฟฟิกอันตรายในคลาวด์ที่เชื่อถือได้ — AWS, Google Cloud, Cloudflare, Microsoft, GitHub กลายเป็นเกราะกำบัง C2",
          "url": "/posts/2026/06/015/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "ja3s hash:1af33e1657631357c73119488045302c"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "45[.]251[.]243[.]210",
      "valueRefanged": "45.251.243.210",
      "description": "เซิร์ฟเวอร์ส่ง payload (iis.jpg ผ่าน HTTP)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "ip address:45.251.243.210"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "%LOCALAPPDATA%\\pZhozR\\",
      "valueRefanged": "%LOCALAPPDATA%\\pZhozR\\",
      "description": "ไดเรกทอรี staging เริ่มต้นของไฟล์สามตัว",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "file path:%localappdata%\\pzhozr\\"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "%PUBLIC%\\GData\\",
      "valueRefanged": "%PUBLIC%\\GData\\",
      "description": "ไดเรกทอรีติดตั้งแบบถาวร",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "file path:%public%\\gdata\\"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "/tmp/.cargo_build_log_<pid>.hex",
      "valueRefanged": "/tmp/.cargo_build_log_<pid>.hex",
      "description": "ไฟล์ชั่วคราวเก็บข้อมูล wallet ที่ถูก XOR (ตัวอย่าง Rust)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "file path:/tmp/.cargo_build_log_<pid>.hex"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "~/.local/share/.p2024_integrity",
      "valueRefanged": "~/.local/share/.p2024_integrity",
      "description": "ไฟล์ marker ป้องกันการติดมัลแวร์ซ้ำใน 24 ชั่วโมง (npm)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "file path:~/.local/share/.p2024_integrity"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "invoice.pdf, pagamento.pdf",
      "valueRefanged": "invoice.pdf, pagamento.pdf",
      "description": "ไฟล์ใบแจ้งหนี้ปลอมในแคมเปญ BEC (โฮสต์บน Amazon S3)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ซ่อนทราฟฟิกอันตรายในคลาวด์ที่เชื่อถือได้ — AWS, Google Cloud, Cloudflare, Microsoft, GitHub กลายเป็นเกราะกำบัง C2",
          "url": "/posts/2026/06/015/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "file name:invoice.pdf, pagamento.pdf"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "Browser_Updater.exe",
      "valueRefanged": "Browser_Updater.exe",
      "description": "dropper เริ่มต้นปลอมเป็นอัปเดตเบราว์เซอร์",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "file name:browser_updater.exe"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "git-config-sync",
      "valueRefanged": "git-config-sync",
      "description": "แพ็กเกจ PyPI อันตราย ปลอมเป็นเครื่องมือ sync Git config",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "file name:git-config-sync"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "token-usage-tracker",
      "valueRefanged": "token-usage-tracker",
      "description": "แพ็กเกจ npm อันตราย ปลอมเป็นตัวติดตามการใช้ AI token",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "file name:token-usage-tracker"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "sui-framework-helpers",
      "valueRefanged": "sui-framework-helpers",
      "description": "แพ็กเกจ Crates.io อันตราย ปลอมเป็น Sui Move helper",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "file name:sui-framework-helpers"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "dev-env-bootstrapper",
      "valueRefanged": "dev-env-bootstrapper",
      "description": "แพ็กเกจ npm รอง ใช้ติดมัลแวร์ซ้ำทุกชั่วโมง",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "file name:dev-env-bootstrapper"
    },
    {
      "type": "Encryption Key",
      "category": "hunt-only",
      "valueDefanged": "cargo-build-helper-2026",
      "valueRefanged": "cargo-build-helper-2026",
      "description": "คีย์ XOR คงที่ที่ตัวอย่าง Rust ใช้ obfuscate ข้อมูล",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "encryption key:cargo-build-helper-2026"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "fruitbrat[.]com:443",
      "valueRefanged": "fruitbrat.com:443",
      "description": "เซิร์ฟเวอร์ C2 หลัก (สื่อสาร HTTPS ผ่าน WinHTTP)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "domain:fruitbrat.com:443"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "dalerocks[.]com:443",
      "valueRefanged": "dalerocks.com:443",
      "description": "C2 ของ variant ที่มุ่งเป้าเวียดนาม (พ.ค. 2569)",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "Mustang Panda ปล่อย PlugX RAT ผ่านห่วงโซ่ LNK และ PowerShell หลายชั้น — ปลอมอัปเดตเบราว์เซอร์ลวงเหยื่อ",
          "url": "/posts/2026/06/011/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "domain:dalerocks.com:443"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "ddjidd564[.]github[.]io",
      "valueRefanged": "ddjidd564.github.io",
      "description": "โดเมน GitHub Pages ของผู้โจมตี ใช้แจกจ่าย config ระยะไกล",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "domain:ddjidd564.github.io"
    },
    {
      "type": "Cloud Platform",
      "category": "hunt-only",
      "valueDefanged": "AWS, Google Cloud, Azure, Cloudflare, GitHub",
      "valueRefanged": "AWS, Google Cloud, Azure, Cloudflare, GitHub",
      "description": "บริการที่ถูกใช้โฮสต์ C2/payload/ฟิชชิง เพื่อหลบการบล็อกตาม reputation",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "แฮ็กเกอร์ซ่อนทราฟฟิกอันตรายในคลาวด์ที่เชื่อถือได้ — AWS, Google Cloud, Cloudflare, Microsoft, GitHub กลายเป็นเกราะกำบัง C2",
          "url": "/posts/2026/06/015/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "cloud platform:aws, google cloud, azure, cloudflare, github"
    },
    {
      "type": "Attack Marker",
      "category": "hunt-only",
      "valueDefanged": "P-2024-001",
      "valueRefanged": "P-2024-001",
      "description": "สตริง marker รวมที่ใช้ใน payload, shell RC และไฟล์ context ของ AI",
      "firstSeen": "2026-06-02",
      "lastSeen": "2026-06-02",
      "sources": [
        {
          "title": "TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool",
          "url": "/posts/2026/06/010/",
          "date": "2026-06-02"
        }
      ],
      "tags": [],
      "id": "attack marker:p-2024-001"
    },
    {
      "type": "npm package",
      "category": "hunt-only",
      "valueDefanged": "@velora-dex/sdk v4.9.1",
      "valueRefanged": "@velora-dex/sdk v4.9.1",
      "description": "แพ็กเกจ npm ที่ถูกฝังโค้ดในการโจมตี supply chain",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "npm package:@velora-dex/sdk v4.9.1"
    },
    {
      "type": "Unknown",
      "category": "hunt-only",
      "valueDefanged": "#RsfsetraW#@EsfesgsgAJOPj4eml;",
      "valueRefanged": "#RsfsetraW#@EsfesgsgAJOPj4eml;",
      "description": "คีย์ถอดรหัสเพย์โหลด (ใช้ซ้ำจาก HttpTroy 2568)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "unknown:#rsfsetraw#@esfesgsgajopj4eml;"
    },
    {
      "type": "Unknown",
      "category": "hunt-only",
      "valueDefanged": "RGdcsedfd@#%dg9ser3$#$^@34sdfxl",
      "valueRefanged": "RGdcsedfd@#%dg9ser3$#$^@34sdfxl",
      "description": "คีย์ถอดรหัส config / C2 traffic",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "unknown:rgdcsedfd@#%dg9ser3$#$^@34sdfxl"
    },
    {
      "type": "Unknown",
      "category": "hunt-only",
      "valueDefanged": "%^fseRW#r3qwrwfsddREfGEgse)(14);",
      "valueRefanged": "%^fseRW#r3qwrwfsddREfGEgse)(14);",
      "description": "คีย์ถอดรหัส cacheMon.dat",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "unknown:%^fserw#r3qwrwfsddrefgegse)(14);"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps://vault88x[.]secure-efficient2[.]su/MSI_105759[.]png",
      "valueRefanged": "https://vault88x.secure-efficient2.su/MSI_105759.png",
      "description": "URL ดาวน์โหลด steganography แรก (downloader component)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "url:https://vault88x.secure-efficient2.su/msi_105759.png"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps://vault88x[.]secure-efficient2[.]su/img_085027[.]png",
      "valueRefanged": "https://vault88x.secure-efficient2.su/img_085027.png",
      "description": "URL ดาวน์โหลด steganography ที่สอง (เพย์โหลดสุดท้าย)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "url:https://vault88x.secure-efficient2.su/img_085027.png"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxps[:]//reallyfreegeoip[.]org/xml/",
      "valueRefanged": "https://reallyfreegeoip.org/xml/",
      "description": "URL geolocation lookup สำหรับ C2 beaconing",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "url:https://reallyfreegeoip.org/xml/"
    },
    {
      "type": "URL",
      "category": "blockable",
      "valueDefanged": "hxxp[:]//checkip[.]dyndns[.]org/",
      "valueRefanged": "http://checkip.dyndns.org/",
      "description": "URL ตรวจ IP ระหว่าง C2 beaconing",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "url:http://checkip.dyndns.org/"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "0a8ab3d16b12d3a453ee5a3208fe04744ad54514ef8ea27bb8fe32679efad270",
      "valueRefanged": "0a8ab3d16b12d3a453ee5a3208fe04744ad54514ef8ea27bb8fe32679efad270",
      "description": "MINIRAT ARM64",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "sha-256:0a8ab3d16b12d3a453ee5a3208fe04744ad54514ef8ea27bb8fe32679efad270"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "0b028b781950641818800fee2b4bf68e4ef2bcee53fe71a21755275ba10875f5",
      "valueRefanged": "0b028b781950641818800fee2b4bf68e4ef2bcee53fe71a21755275ba10875f5",
      "description": "MINIRAT x86_64",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "sha-256:0b028b781950641818800fee2b4bf68e4ef2bcee53fe71a21755275ba10875f5"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "65cba741fe30fa4799fb9002ea8de6d96042a59159dd7c3419c766af24c7a8b4",
      "valueRefanged": "65cba741fe30fa4799fb9002ea8de6d96042a59159dd7c3419c766af24c7a8b4",
      "description": "AUDIOFIX HTTPS/ARM64",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "sha-256:65cba741fe30fa4799fb9002ea8de6d96042a59159dd7c3419c766af24c7a8b4"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "0b1a36a31b952341a534fe24890f1ed2921ee259773cff46e4f6273b8c4d5e3a",
      "valueRefanged": "0b1a36a31b952341a534fe24890f1ed2921ee259773cff46e4f6273b8c4d5e3a",
      "description": "AUDIOFIX HTTPS/x86_64",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "sha-256:0b1a36a31b952341a534fe24890f1ed2921ee259773cff46e4f6273b8c4d5e3a"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "9c2ce925133a3bf5a924063bbef8df49918d5b7258695c1894cd18c75970157a",
      "valueRefanged": "9c2ce925133a3bf5a924063bbef8df49918d5b7258695c1894cd18c75970157a",
      "description": "Dropper – หน้าแก้ไฟล์เสียงปลอม (apple.driver-store.com)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "sha-256:9c2ce925133a3bf5a924063bbef8df49918d5b7258695c1894cd18c75970157a"
    },
    {
      "type": "IP Range",
      "category": "hunt-only",
      "valueDefanged": "104.28.0.0/16",
      "valueRefanged": "104.28.0.0/16",
      "description": "Cloudflare Workers egress pool (AS13335) ใช้สำหรับ AWS API call และเซสชัน SSH bastion",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "CVE-2026-39987: แฮ็กเกอร์ใช้ AI Agent เจาะ Marimo RCE ถึงฐานข้อมูลภายในใน 4 ขั้นภายใน 2 นาที",
          "url": "/posts/2026/05/076/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "ip range:104.28.0.0/16"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "89[.]36[.]224[.]5",
      "valueRefanged": "89.36.224.5",
      "description": "เซิร์ฟเวอร์ส่งเพย์โหลด",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "ip address:89.36.224.5"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "208[.]115[.]220[.]17",
      "valueRefanged": "208.115.220.17",
      "description": "เซิร์ฟเวอร์ C2 (datahub.ink)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "ip address:208.115.220.17"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "185[.]175[.]59[.]85",
      "valueRefanged": "185.175.59.85",
      "description": "เซิร์ฟเวอร์ C2 (datahub.ink)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "ip address:185.175.59.85"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "157.66.54.26",
      "valueRefanged": "157.66.54.26",
      "description": "IP ต้นทางของทั้งสองเซสชัน marimo terminal (AS141892, อินโดนีเซีย)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "CVE-2026-39987: แฮ็กเกอร์ใช้ AI Agent เจาะ Marimo RCE ถึงฐานข้อมูลภายในใน 4 ขั้นภายใน 2 นาที",
          "url": "/posts/2026/05/076/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "ip address:157.66.54.26"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "104.28.162.160",
      "valueRefanged": "104.28.162.160",
      "description": "Cloudflare Workers IP ใช้ใน schema enumeration และ HEREDOC PostgreSQL dump",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "CVE-2026-39987: แฮ็กเกอร์ใช้ AI Agent เจาะ Marimo RCE ถึงฐานข้อมูลภายในใน 4 ขั้นภายใน 2 นาที",
          "url": "/posts/2026/05/076/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "ip address:104.28.162.160"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "104.28.165.251",
      "valueRefanged": "104.28.165.251",
      "description": "Cloudflare Workers IP ใช้ dump ตาราง credential แบบเจาะจง",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "CVE-2026-39987: แฮ็กเกอร์ใช้ AI Agent เจาะ Marimo RCE ถึงฐานข้อมูลภายในใน 4 ขั้นภายใน 2 นาที",
          "url": "/posts/2026/05/076/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "ip address:104.28.165.251"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "104.28.165.169",
      "valueRefanged": "104.28.165.169",
      "description": "Cloudflare Workers IP ใช้ค้นหาไฟล์ credential",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "CVE-2026-39987: แฮ็กเกอร์ใช้ AI Agent เจาะ Marimo RCE ถึงฐานข้อมูลภายในใน 4 ขั้นภายใน 2 นาที",
          "url": "/posts/2026/05/076/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "ip address:104.28.165.169"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "104.28.157.50",
      "valueRefanged": "104.28.157.50",
      "description": "Cloudflare Workers IP ใช้ enumerate container และ SSH key",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "CVE-2026-39987: แฮ็กเกอร์ใช้ AI Agent เจาะ Marimo RCE ถึงฐานข้อมูลภายในใน 4 ขั้นภายใน 2 นาที",
          "url": "/posts/2026/05/076/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "ip address:104.28.157.50"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "163.245.221[.]218",
      "valueRefanged": "163.245.221.218",
      "description": "โครงสร้างพื้นฐาน Kimsuky",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "ip address:163.245.221.218"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "163.245.215[.]46",
      "valueRefanged": "163.245.215.46",
      "description": "โครงสร้างพื้นฐาน Kimsuky",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "ip address:163.245.215.46"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "27.102.113[.]106",
      "valueRefanged": "27.102.113.106",
      "description": "โครงสร้างพื้นฐาน Kimsuky",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "ip address:27.102.113.106"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "157.250.202[.]123",
      "valueRefanged": "157.250.202.123",
      "description": "โฮสต์หน้า recaptcha.html (JSONPing)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "ip address:157.250.202.123"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "~/Library/LaunchAgents/com.microsoft.teams.coreaudiod.plist",
      "valueRefanged": "~/Library/LaunchAgents/com.microsoft.teams.coreaudiod.plist",
      "description": "กลไก persistence (Python RAT)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file path:~/library/launchagents/com.microsoft.teams.coreaudiod.plist"
    },
    {
      "type": "File Path",
      "category": "hunt-only",
      "valueDefanged": "~/Library/LaunchAgents/com.apple.Terminal.profiler.plist",
      "valueRefanged": "~/Library/LaunchAgents/com.apple.Terminal.profiler.plist",
      "description": "กลไก persistence (MINIRAT)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file path:~/library/launchagents/com.apple.terminal.profiler.plist"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "img_085027.png",
      "valueRefanged": "img_085027.png",
      "description": "ไฟล์ภาพ steganography ที่บรรจุเพย์โหลดสุดท้าย",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file name:img_085027.png"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "ChromeUpdater",
      "valueRefanged": "ChromeUpdater",
      "description": "ชื่อที่เพย์โหลด AUDIOFIX ถูกบันทึก",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file name:chromeupdater"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "coreaudiod",
      "valueRefanged": "coreaudiod",
      "description": "เพย์โหลดปลอมเป็นไดรเวอร์เสียงระบบ",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file name:coreaudiod"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "C:\\Users\\jira\\Documents\\My_Received_Files\\loadDll\\x64\\Release\\loadDll.pdb",
      "valueRefanged": "C:\\Users\\jira\\Documents\\My_Received_Files\\loadDll\\x64\\Release\\loadDll.pdb",
      "description": "PDB path (ชื่อผู้ใช้ jira)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file name:c:\\users\\jira\\documents\\my_received_files\\loaddll\\x64\\release\\loaddll.pdb"
    },
    {
      "type": "File Hash (SHA256)",
      "category": "hunt-only",
      "valueDefanged": "95e6c6c13f65217f41c371abf6d03594b2bfed2259a181307ee41817b9f33871",
      "valueRefanged": "95e6c6c13f65217f41c371abf6d03594b2bfed2259a181307ee41817b9f33871",
      "description": "VIP Keylogger loader sample",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file hash (sha256):95e6c6c13f65217f41c371abf6d03594b2bfed2259a181307ee41817b9f33871"
    },
    {
      "type": "File Hash (SHA256)",
      "category": "hunt-only",
      "valueDefanged": "2df582bb41d1e6f0a6d44e8dbc1d8bca8e3d332bb268688d1f59c65ebe64d0e8",
      "valueRefanged": "2df582bb41d1e6f0a6d44e8dbc1d8bca8e3d332bb268688d1f59c65ebe64d0e8",
      "description": "VIP Keylogger component",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file hash (sha256):2df582bb41d1e6f0a6d44e8dbc1d8bca8e3d332bb268688d1f59c65ebe64d0e8"
    },
    {
      "type": "File Hash (SHA256)",
      "category": "hunt-only",
      "valueDefanged": "17ffe7ecbf1d5a4bc3768d896c9348d5de337baa0b0938e4283324d3b1e8ccbd",
      "valueRefanged": "17ffe7ecbf1d5a4bc3768d896c9348d5de337baa0b0938e4283324d3b1e8ccbd",
      "description": "VIP Keylogger component",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file hash (sha256):17ffe7ecbf1d5a4bc3768d896c9348d5de337baa0b0938e4283324d3b1e8ccbd"
    },
    {
      "type": "File Hash (SHA256)",
      "category": "hunt-only",
      "valueDefanged": "eed694aab3b14b25dfcc6e7f69992b3f5543bcc9ebe86bd0b682e211f428613b",
      "valueRefanged": "eed694aab3b14b25dfcc6e7f69992b3f5543bcc9ebe86bd0b682e211f428613b",
      "description": "VIP Keylogger component",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file hash (sha256):eed694aab3b14b25dfcc6e7f69992b3f5543bcc9ebe86bd0b682e211f428613b"
    },
    {
      "type": "File Hash (SHA256)",
      "category": "hunt-only",
      "valueDefanged": "9bca7a3ac404807c63670141a3459eac24450e0cffbe109905c76ccf4ebdd12e",
      "valueRefanged": "9bca7a3ac404807c63670141a3459eac24450e0cffbe109905c76ccf4ebdd12e",
      "description": "VIP Keylogger component",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file hash (sha256):9bca7a3ac404807c63670141a3459eac24450e0cffbe109905c76ccf4ebdd12e"
    },
    {
      "type": "File Hash (SHA256)",
      "category": "hunt-only",
      "valueDefanged": "1df63047a3206026073781d88516927c6d68f6413e437e4a919b2007f6a2ade3",
      "valueRefanged": "1df63047a3206026073781d88516927c6d68f6413e437e4a919b2007f6a2ade3",
      "description": "VIP Keylogger component",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file hash (sha256):1df63047a3206026073781d88516927c6d68f6413e437e4a919b2007f6a2ade3"
    },
    {
      "type": "File Hash (SHA256)",
      "category": "hunt-only",
      "valueDefanged": "ae6918bfe8774e1ec1ec34f3db26e7e548dd0dc33a4e6faa2862e4d2c722c7bf",
      "valueRefanged": "ae6918bfe8774e1ec1ec34f3db26e7e548dd0dc33a4e6faa2862e4d2c722c7bf",
      "description": "VIP Keylogger sample",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file hash (sha256):ae6918bfe8774e1ec1ec34f3db26e7e548dd0dc33a4e6faa2862e4d2c722c7bf"
    },
    {
      "type": "File Hash (SHA256)",
      "category": "hunt-only",
      "valueDefanged": "c86aa6c2c589455659b7a4ce6bb15cbdecb69250504d0b00bf3a9ac2209e3f60",
      "valueRefanged": "c86aa6c2c589455659b7a4ce6bb15cbdecb69250504d0b00bf3a9ac2209e3f60",
      "description": "VIP Keylogger sample",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file hash (sha256):c86aa6c2c589455659b7a4ce6bb15cbdecb69250504d0b00bf3a9ac2209e3f60"
    },
    {
      "type": "File Hash (SHA256)",
      "category": "hunt-only",
      "valueDefanged": "00553aa0e89b79d5ad4a4b03f9b153d27d356c6e62648fa87c2c378af42801cc",
      "valueRefanged": "00553aa0e89b79d5ad4a4b03f9b153d27d356c6e62648fa87c2c378af42801cc",
      "description": "VIP Keylogger sample",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file hash (sha256):00553aa0e89b79d5ad4a4b03f9b153d27d356c6e62648fa87c2c378af42801cc"
    },
    {
      "type": "File Hash (SHA256)",
      "category": "hunt-only",
      "valueDefanged": "d00ad4c93afcc23b9f8e5f56a8ddef81c1f4b3319793cca0789e92ef11ccc9ab",
      "valueRefanged": "d00ad4c93afcc23b9f8e5f56a8ddef81c1f4b3319793cca0789e92ef11ccc9ab",
      "description": "VIP Keylogger sample",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "file hash (sha256):d00ad4c93afcc23b9f8e5f56a8ddef81c1f4b3319793cca0789e92ef11ccc9ab"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "api.telegram[.]org",
      "valueRefanged": "api.telegram.org",
      "description": "โดเมน Telegram Bot API ใช้สื่อสาร C2 และส่งข้อมูลออก",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography",
          "url": "/posts/2026/05/075/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:api.telegram.org"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "datahub[.]ink",
      "valueRefanged": "datahub.ink",
      "description": "โดเมน C2 หลัก",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:datahub.ink"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "cloud-sync[.]online",
      "valueRefanged": "cloud-sync.online",
      "description": "โดเมน C2 สำรอง",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:cloud-sync.online"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "byte-io[.]us",
      "valueRefanged": "byte-io.us",
      "description": "โดเมน C2 สำรอง",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:byte-io.us"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "apple[.]driver-store[.]com",
      "valueRefanged": "apple.driver-store.com",
      "description": "โดเมนส่งเพย์โหลด",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:apple.driver-store.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "driver-updater[.]net",
      "valueRefanged": "driver-updater.net",
      "description": "โดเมนส่งเพย์โหลด",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:driver-updater.net"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "teamicrosoft[.]com",
      "valueRefanged": "teamicrosoft.com",
      "description": "โดเมนประชุมปลอม (เลียนแบบ Teams)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:teamicrosoft.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "us03-slack[.]online",
      "valueRefanged": "us03-slack.online",
      "description": "โดเมนประชุมปลอม (เลียนแบบ Slack)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:us03-slack.online"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "bitget-meeting[.]com",
      "valueRefanged": "bitget-meeting.com",
      "description": "โดเมนประชุมปลอม",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:bitget-meeting.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "www.ibizplus.n-e[.]kr/install.html",
      "valueRefanged": "www.ibizplus.n-e.kr/install.html",
      "description": "หน้าติดตั้งซอฟต์แวร์ความปลอดภัยปลอม (B2B messaging)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:www.ibizplus.n-e.kr/install.html"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "load.serverpit[.]com/fwrite.php",
      "valueRefanged": "load.serverpit.com/fwrite.php",
      "description": "เซิร์ฟเวอร์ C2 ดึงเพย์โหลด (สายซอฟต์แวร์ความปลอดภัย)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:load.serverpit.com/fwrite.php"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "load.erasecloud.n-e[.]kr/login.php",
      "valueRefanged": "load.erasecloud.n-e.kr/login.php",
      "description": "C2 downloader (spear phishing)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:load.erasecloud.n-e.kr/login.php"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "conference.birdriver[.]org",
      "valueRefanged": "conference.birdriver.org",
      "description": "หน้า Cisco Webex meeting ปลอม",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:conference.birdriver.org"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "download.birdriver[.]org/download.php",
      "valueRefanged": "download.birdriver.org/download.php",
      "description": "เซิร์ฟเวอร์กระจายมัลแวร์ (สาย Webex)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:download.birdriver.org/download.php"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "hdrgdrfes.chickenkiller[.]com/index.php",
      "valueRefanged": "hdrgdrfes.chickenkiller.com/index.php",
      "description": "C2 ของโมดูลหลัก HttpSpy",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:hdrgdrfes.chickenkiller.com/index.php"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "pipeline.embeddedonline[.]org/check.php",
      "valueRefanged": "pipeline.embeddedonline.org/check.php",
      "description": "หน้าปลอมใหม่ polling + แจกมัลแวร์",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:pipeline.embeddedonline.org/check.php"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "bigfile.jaycloudlab[.]com/download.php",
      "valueRefanged": "bigfile.jaycloudlab.com/download.php",
      "description": "C2 downloader (spear phishing)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex",
          "url": "/posts/2026/05/082/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "domain:bigfile.jaycloudlab.com/download.php"
    },
    {
      "type": "CVE",
      "category": "hunt-only",
      "valueDefanged": "CVE-2026-39987",
      "valueRefanged": "CVE-2026-39987",
      "description": "ช่องโหว่ marimo terminal WebSocket RCE (จุดเข้าของห่วงโซ่การโจมตี)",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "CVE-2026-39987: แฮ็กเกอร์ใช้ AI Agent เจาะ Marimo RCE ถึงฐานข้อมูลภายในใน 4 ขั้นภายใน 2 นาที",
          "url": "/posts/2026/05/076/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "cve:cve-2026-39987"
    },
    {
      "type": "AES Key",
      "category": "hunt-only",
      "valueDefanged": "v59l2uwlow9s1ebuscgfg9k9r4voxkbs",
      "valueRefanged": "v59l2uwlow9s1ebuscgfg9k9r4voxkbs",
      "description": "AES key ที่พบใน AUDIOFIX และ MINIRAT",
      "firstSeen": "2026-05-29",
      "lastSeen": "2026-05-29",
      "sources": [
        {
          "title": "JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm",
          "url": "/posts/2026/05/084/",
          "date": "2026-05-29"
        }
      ],
      "tags": [],
      "id": "aes key:v59l2uwlow9s1ebuscgfg9k9r4voxkbs"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "e25892603c42e34bd7ba0d8ea73be600d898cadc290e3417a82c04d6281b743b",
      "valueRefanged": "e25892603c42e34bd7ba0d8ea73be600d898cadc290e3417a82c04d6281b743b",
      "description": "fmapp.exe — ไบนารี Fortemedia ที่เซ็นถูกต้อง",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "sha-256:e25892603c42e34bd7ba0d8ea73be600d898cadc290e3417a82c04d6281b743b"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "c6182fd01b14d84723e3c9d11bc0e16b34de6607ccb8334fc9bb97c1b44f0cde",
      "valueRefanged": "c6182fd01b14d84723e3c9d11bc0e16b34de6607ccb8334fc9bb97c1b44f0cde",
      "description": "fmapp.dll — DLL อันตราย ฝัง ChromElevator",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "sha-256:c6182fd01b14d84723e3c9d11bc0e16b34de6607ccb8334fc9bb97c1b44f0cde"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "128b58a2a2f1df66c474094aacb7e50189025fbf45d7cd8e0834e93a8fbed667",
      "valueRefanged": "128b58a2a2f1df66c474094aacb7e50189025fbf45d7cd8e0834e93a8fbed667",
      "description": "sentinelmemoryscanner.exe — ไบนารี SentinelOne ที่เซ็นถูกต้อง",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "sha-256:128b58a2a2f1df66c474094aacb7e50189025fbf45d7cd8e0834e93a8fbed667"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "0c9b911935a3705b0ad569446804d80026feb6db3884aeb240b6c76e9b8cf139",
      "valueRefanged": "0c9b911935a3705b0ad569446804d80026feb6db3884aeb240b6c76e9b8cf139",
      "description": "sentinelagentcore.dll — DLL อันตราย ฝัง ChromElevator",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "sha-256:0c9b911935a3705b0ad569446804d80026feb6db3884aeb240b6c76e9b8cf139"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "74ab3838ebed7054b2254bf7d334c80c8b2cfec4a97d1706723f8ea55f11061f",
      "valueRefanged": "74ab3838ebed7054b2254bf7d334c80c8b2cfec4a97d1706723f8ea55f11061f",
      "description": "เครื่องมือยกระดับสิทธิ์ (Kerberos TGT/GSS-API delegation abuse)",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "sha-256:74ab3838ebed7054b2254bf7d334c80c8b2cfec4a97d1706723f8ea55f11061f"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "3ee7dab4ae4f6d4f16dfabb6f38faef370411a9fc00ff035844e54703b99600a",
      "valueRefanged": "3ee7dab4ae4f6d4f16dfabb6f38faef370411a9fc00ff035844e54703b99600a",
      "description": "เครื่องมือดึงข้อมูลรับรองจาก SAM hive",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "sha-256:3ee7dab4ae4f6d4f16dfabb6f38faef370411a9fc00ff035844e54703b99600a"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "bee79c3302b1a7afc0952842d14eff83a604ef00bfdae525176c16c80b2045f7",
      "valueRefanged": "bee79c3302b1a7afc0952842d14eff83a604ef00bfdae525176c16c80b2045f7",
      "description": "เครื่องมือดึงข้อมูลรับรองจาก SAM hive",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "sha-256:bee79c3302b1a7afc0952842d14eff83a604ef00bfdae525176c16c80b2045f7"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "d587959841a763669279ad831b8f0379f6a7b037dffc19deab5d41f37f8b5ffc",
      "valueRefanged": "d587959841a763669279ad831b8f0379f6a7b037dffc19deab5d41f37f8b5ffc",
      "description": "Credential harvester — บันทึกรหัสไว้ที่ C:\\ProgramData\\lopa.txt",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "sha-256:d587959841a763669279ad831b8f0379f6a7b037dffc19deab5d41f37f8b5ffc"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "b21c802775df0c0d82c8cfde299084abc624898b10258db641b820172a0ba29a",
      "valueRefanged": "b21c802775df0c0d82c8cfde299084abc624898b10258db641b820172a0ba29a",
      "description": "เครื่องมือพร็อกซี SOCKS5",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "sha-256:b21c802775df0c0d82c8cfde299084abc624898b10258db641b820172a0ba29a"
    },
    {
      "type": "Registry Key",
      "category": "hunt-only",
      "valueDefanged": "HKCU\\...\\CurrentVersion\\Run",
      "valueRefanged": "HKCU\\...\\CurrentVersion\\Run",
      "description": "Persistence — ค่า random ชี้ไป fmapp.exe",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "registry key:hkcu\\...\\currentversion\\run"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "179.43.177[.]220",
      "valueRefanged": "179.43.177.220",
      "description": "เซิร์ฟเวอร์พักเพย์โหลด — ดึงไฟล์ผ่าน HTTP พอร์ต 8080 (nm.ps1, a.dat, a.exe)",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "ip address:179.43.177.220"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "178.128.233[.]36",
      "valueRefanged": "178.128.233.36",
      "description": "อินฟราสตรักเจอร์ที่เกี่ยวข้อง",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "ip address:178.128.233.36"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "172.67.156[.]47",
      "valueRefanged": "172.67.156.47",
      "description": "อินฟราสตรักเจอร์ที่เกี่ยวข้อง",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "ip address:172.67.156.47"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "104.21.48[.]205",
      "valueRefanged": "104.21.48.205",
      "description": "อินฟราสตรักเจอร์ที่เกี่ยวข้อง",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "ip address:104.21.48.205"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "37.187.78[.]41",
      "valueRefanged": "37.187.78.41",
      "description": "อินฟราสตรักเจอร์ที่เกี่ยวข้อง",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "ip address:37.187.78.41"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "34.117.59[.]81",
      "valueRefanged": "34.117.59.81",
      "description": "อินฟราสตรักเจอร์ที่เกี่ยวข้อง",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "ip address:34.117.59.81"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "157.20.182[.]49",
      "valueRefanged": "157.20.182.49",
      "description": "fmapp.dll C2 — แคมเปญ Olalampo (Huntress)",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "ip address:157.20.182.49"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "fmapp.exe",
      "valueRefanged": "fmapp.exe",
      "description": "คู่ DLL side-loading กับ fmapp.dll (Fortemedia)",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "file name:fmapp.exe"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "fmapp.dll",
      "valueRefanged": "fmapp.dll",
      "description": "DLL อันตราย ฝัง ChromElevator",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "file name:fmapp.dll"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "sentinelmemoryscanner.exe",
      "valueRefanged": "sentinelmemoryscanner.exe",
      "description": "คู่ DLL side-loading กับ sentinelagentcore.dll (SentinelOne)",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "file name:sentinelmemoryscanner.exe"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "sentinelagentcore.dll",
      "valueRefanged": "sentinelagentcore.dll",
      "description": "DLL อันตราย ฝัง ChromElevator",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "file name:sentinelagentcore.dll"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "C:\\ProgramData\\lopa.txt",
      "valueRefanged": "C:\\ProgramData\\lopa.txt",
      "description": "ไฟล์ที่ credential harvester ใช้บันทึกรหัสผ่าน",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "file name:c:\\programdata\\lopa.txt"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "timetrakr[.]cloud",
      "valueRefanged": "timetrakr.cloud",
      "description": "โดเมนพักเพย์โหลดสำรอง (ดึง sp.ps1)",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "domain:timetrakr.cloud"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "svc.wompworthy[.]com",
      "valueRefanged": "svc.wompworthy.com",
      "description": "โดเมน C2 ของผู้โจมตี",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "domain:svc.wompworthy.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "sendit[.]sh",
      "valueRefanged": "sendit.sh",
      "description": "บริการรับส่งไฟล์สาธารณะที่ใช้ส่งข้อมูลออก",
      "firstSeen": "2026-05-26",
      "lastSeen": "2026-05-26",
      "sources": [
        {
          "title": "MuddyWater ใช้ DLL Side-Loading จารกรรม 9 องค์กรใน 9 ประเทศ — โจมตีผู้ผลิตในอาเซียนด้วย",
          "url": "/posts/2026/05/096/",
          "date": "2026-05-26"
        }
      ],
      "tags": [],
      "id": "domain:sendit.sh"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "4f6ae0110cf652264293df571d66955f7109e3424a070423b5e50edc3eb43874",
      "valueRefanged": "4f6ae0110cf652264293df571d66955f7109e3424a070423b5e50edc3eb43874",
      "description": "DPAPILoader (Iassvc.dll)",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "sha-256:4f6ae0110cf652264293df571d66955f7109e3424a070423b5e50edc3eb43874"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "aa4a2d1215f864481994234f13ab485b95150161b4566c180419d93dda7ac039",
      "valueRefanged": "aa4a2d1215f864481994234f13ab485b95150161b4566c180419d93dda7ac039",
      "description": "DPAPILoader (wmiclnt.dll)",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "sha-256:aa4a2d1215f864481994234f13ab485b95150161b4566c180419d93dda7ac039"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "159471e1abc9adf6733af9d24781fbf27a776b81d182901c2e04e28f3fe2e6f3",
      "valueRefanged": "159471e1abc9adf6733af9d24781fbf27a776b81d182901c2e04e28f3fe2e6f3",
      "description": "DPAPILoader (sspicli.dll)",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "sha-256:159471e1abc9adf6733af9d24781fbf27a776b81d182901c2e04e28f3fe2e6f3"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "7a05188ab0129b0b4f38e2e7599c5c52149ce0131140db33feb251d926428d68",
      "valueRefanged": "7a05188ab0129b0b4f38e2e7599c5c52149ce0131140db33feb251d926428d68",
      "description": "RemotePELoader (ถอดรหัสจากดิสก์)",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "sha-256:7a05188ab0129b0b4f38e2e7599c5c52149ce0131140db33feb251d926428d68"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "37f5afb9ed3761e73feb95daceb7a1fdbb13c8b5fc1a2ba22e0ef7994c7920ef",
      "valueRefanged": "37f5afb9ed3761e73feb95daceb7a1fdbb13c8b5fc1a2ba22e0ef7994c7920ef",
      "description": "RemotePE (2023-07-04)",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "sha-256:37f5afb9ed3761e73feb95daceb7a1fdbb13c8b5fc1a2ba22e0ef7994c7920ef"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "6b33d20196267b0d64bca815ca863558d26b17cee77caf62a6cce8eae555ac8d",
      "valueRefanged": "6b33d20196267b0d64bca815ca863558d26b17cee77caf62a6cce8eae555ac8d",
      "description": "RemotePE (2023-10-17)",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "sha-256:6b33d20196267b0d64bca815ca863558d26b17cee77caf62a6cce8eae555ac8d"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "62e040a32aac2d2faa8d2bffa2cf7ab662228cebf9bb78eaa0a633c0b729d119",
      "valueRefanged": "62e040a32aac2d2faa8d2bffa2cf7ab662228cebf9bb78eaa0a633c0b729d119",
      "description": "RemotePE (2024-04-18)",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "sha-256:62e040a32aac2d2faa8d2bffa2cf7ab662228cebf9bb78eaa0a633c0b729d119"
    },
    {
      "type": "SHA-256",
      "category": "blockable",
      "valueDefanged": "710f15302859c7af1c1e25219d704841b3fdbc48f16a5a574d5ab6cf4f4842e8",
      "valueRefanged": "710f15302859c7af1c1e25219d704841b3fdbc48f16a5a574d5ab6cf4f4842e8",
      "description": "RemotePE (2024-05-11)",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "sha-256:710f15302859c7af1c1e25219d704841b3fdbc48f16a5a574d5ab6cf4f4842e8"
    },
    {
      "type": "Mutex",
      "category": "hunt-only",
      "valueDefanged": "554D5C1F-AABE-49E4-AB57-994D22ECED28",
      "valueRefanged": "554D5C1F-AABE-49E4-AB57-994D22ECED28",
      "description": "Windows event สำหรับ out-of-band wakeup ของ RemotePE",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "mutex:554d5c1f-aabe-49e4-ab57-994d22eced28"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "Iassvc.dll",
      "valueRefanged": "Iassvc.dll",
      "description": "DPAPILoader ปลอมเป็น Internet Authentication Service",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "file name:iassvc.dll"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "livedrivefiles[.]com",
      "valueRefanged": "livedrivefiles.com",
      "description": "C2 RemotePE — พบครั้งแรก 2023-07-17, ล่าสุด 2025-07-27",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "domain:livedrivefiles.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "aes-secure[.]net",
      "valueRefanged": "aes-secure.net",
      "description": "C2 หลัก — พบครั้งแรก 2023-09-18, ยังใช้งาน",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "domain:aes-secure.net"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "azureglobalaccelerator[.]com",
      "valueRefanged": "azureglobalaccelerator.com",
      "description": "C2 — พบครั้งแรก 2023-09-18",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "domain:azureglobalaccelerator.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "msdeliverycontent[.]com",
      "valueRefanged": "msdeliverycontent.com",
      "description": "C2 — พบครั้งแรก 2024-02-19, ล่าสุด 2026-05-09",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "domain:msdeliverycontent.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "akamaicloud[.]com",
      "valueRefanged": "akamaicloud.com",
      "description": "C2 — พบครั้งแรก 2024-02-19, ล่าสุด 2025-02-14",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "domain:akamaicloud.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "intelcloudinsights[.]com",
      "valueRefanged": "intelcloudinsights.com",
      "description": "C2 — พบครั้งแรก 2024-04-13, ล่าสุด 2026-04-23",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "domain:intelcloudinsights.com"
    },
    {
      "type": "Domain",
      "category": "blockable",
      "valueDefanged": "devicelinkintel[.]com",
      "valueRefanged": "devicelinkintel.com",
      "description": "C2 — พบครั้งแรก 2024-08-16, ยังใช้งาน",
      "firstSeen": "2026-05-25",
      "lastSeen": "2026-05-25",
      "sources": [
        {
          "title": "Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์",
          "url": "/posts/2026/05/062/",
          "date": "2026-05-25"
        }
      ],
      "tags": [],
      "id": "domain:devicelinkintel.com"
    },
    {
      "type": "Unknown",
      "category": "hunt-only",
      "valueDefanged": "/manager/text/deploy",
      "valueRefanged": "/manager/text/deploy",
      "description": "endpoint Tomcat Manager ที่ใช้ deploy WAR อันตราย",
      "firstSeen": "2026-05-18",
      "lastSeen": "2026-05-18",
      "sources": [
        {
          "title": "Dell RecoverPoint Zero-Day CVSS 10.0 — แฮ็กเกอร์จีนแฝงตัวนาน 18 เดือนด้วย Brickstorm และ Grimbolt",
          "url": "/posts/2026/05/019/",
          "date": "2026-05-18"
        }
      ],
      "tags": [],
      "id": "unknown:/manager/text/deploy"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "wss://149.248.11[.]71/rest/apisession",
      "valueRefanged": "wss://149.248.11.71/rest/apisession",
      "description": "C2 endpoint ของ GRIMBOLT",
      "firstSeen": "2026-05-18",
      "lastSeen": "2026-05-18",
      "sources": [
        {
          "title": "Dell RecoverPoint Zero-Day CVSS 10.0 — แฮ็กเกอร์จีนแฝงตัวนาน 18 เดือนด้วย Brickstorm และ Grimbolt",
          "url": "/posts/2026/05/019/",
          "date": "2026-05-18"
        }
      ],
      "tags": [],
      "id": "ip address:wss://149.248.11.71/rest/apisession"
    },
    {
      "type": "IP Address",
      "category": "blockable",
      "valueDefanged": "149.248.11[.]71",
      "valueRefanged": "149.248.11.71",
      "description": "C2 IP ของ GRIMBOLT",
      "firstSeen": "2026-05-18",
      "lastSeen": "2026-05-18",
      "sources": [
        {
          "title": "Dell RecoverPoint Zero-Day CVSS 10.0 — แฮ็กเกอร์จีนแฝงตัวนาน 18 เดือนด้วย Brickstorm และ Grimbolt",
          "url": "/posts/2026/05/019/",
          "date": "2026-05-18"
        }
      ],
      "tags": [],
      "id": "ip address:149.248.11.71"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "/home/kos/tomcat9/tomcat-users.xml",
      "valueRefanged": "/home/kos/tomcat9/tomcat-users.xml",
      "description": "ไฟล์เก็บ hardcoded credential ของผู้ใช้ admin",
      "firstSeen": "2026-05-18",
      "lastSeen": "2026-05-18",
      "sources": [
        {
          "title": "Dell RecoverPoint Zero-Day CVSS 10.0 — แฮ็กเกอร์จีนแฝงตัวนาน 18 เดือนด้วย Brickstorm และ Grimbolt",
          "url": "/posts/2026/05/019/",
          "date": "2026-05-18"
        }
      ],
      "tags": [],
      "id": "file name:/home/kos/tomcat9/tomcat-users.xml"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "/home/kos/kbox/src/installation/distribution/convert_hosts.sh",
      "valueRefanged": "/home/kos/kbox/src/installation/distribution/convert_hosts.sh",
      "description": "สคริปต์ที่ถูกแก้ให้เรียก backdoor ตอนบูต",
      "firstSeen": "2026-05-18",
      "lastSeen": "2026-05-18",
      "sources": [
        {
          "title": "Dell RecoverPoint Zero-Day CVSS 10.0 — แฮ็กเกอร์จีนแฝงตัวนาน 18 เดือนด้วย Brickstorm และ Grimbolt",
          "url": "/posts/2026/05/019/",
          "date": "2026-05-18"
        }
      ],
      "tags": [],
      "id": "file name:/home/kos/kbox/src/installation/distribution/convert_hosts.sh"
    },
    {
      "type": "File Name",
      "category": "hunt-only",
      "valueDefanged": "/home/kos/auditlog/fapi_cl_audit_log.log",
      "valueRefanged": "/home/kos/auditlog/fapi_cl_audit_log.log",
      "description": "log ที่ควรตรวจหา request ไปยัง `/manager`",
      "firstSeen": "2026-05-18",
      "lastSeen": "2026-05-18",
      "sources": [
        {
          "title": "Dell RecoverPoint Zero-Day CVSS 10.0 — แฮ็กเกอร์จีนแฝงตัวนาน 18 เดือนด้วย Brickstorm และ Grimbolt",
          "url": "/posts/2026/05/019/",
          "date": "2026-05-18"
        }
      ],
      "tags": [],
      "id": "file name:/home/kos/auditlog/fapi_cl_audit_log.log"
    }
  ]
}
