Попросил его дать иоки, вот результат:

Собранные IOC по кейсам (май 2026)

1. Lazarus Group (Contagious Interview / BeaverTail + OtterCookie)

Основной сервер:
- 195.201.104.53 (Linux, mixed с Windows-артефактами)

Порты и сервисы:
- 21 — FTP (FileZilla) — BeaverTail exfil credentials
- 6931 — OtterCookie Socket.IO C2 (live roster жертв каждые 30 сек)
- 6101 — дополнительный OtterCookie listener

Доставка:
- ~197 вредоносных npm-пакетов
- Git hooks (.githooks/pre-commit, post-checkout)
- package.json postinstall скрипты
- Fake GitHub-репозитории с «coding assessment»

2. Sandworm (APT44 / Seashell Blizzard)

Конкретных новых статических IOC (хэши/домены/IP) в открытых постах за последнюю неделю почти нет.

Известные TTP:
- Использование legacy-уязвимостей (EternalBlue, DoublePulsar, Log4Shell, Cobalt Strike)
- Активный lateral movement внутри OT/ICS сетей
- Фокус на инженерных станциях, HMI, PLC, RTU

Рекомендация: Смотреть отчёт Nozomi Networks и Microsoft Threat Intelligence по APT44.

3. Turla (Kazuar — новая P2P-версия)

Microsoft опубликовала отчёт ~14 мая 2026 («Kazuar: Anatomy of a nation-state botnet»).

Известно из отчёта:
- 4 хэша + 2 файловых IOC (в самом отчёте)
- YARA-правила

Новые компоненты:
- Pelmeni (dropper)
- ShadowLoader
- Модульная архитектура: Kernel + Bridge + Worker

Особенность: Нет фиксированных C2-доменов. Bridge-модуль маскируется под легитимный трафик (HTTP, WebSocket, Exchange Web Services).

4. Kimsuky

Прямые IOC:
- IP: 27.102.137.150
- Домены:
- nid-navercsv[.]servehalflife[.]com
- nid-navertnx[.]ddnsking[.]com

Дополнительные паттерны:
- *.dynv6.net
- *.ddnsking.com
- *.servehalflife.com

Новые инструменты:
- PebbleDash (новые варианты)
- HelloDoor (Rust-бэкдор)
- ChaCha20-encrypted backdoors
- Злоупотребление VSCode CLI tunnels