<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);" class="elementToProof ContentPasted0">

Hello,

<div><br class="ContentPasted0">

</div>

<div class="ContentPasted0">I hope everyone is doing well!</div>

<div><br class="ContentPasted0">

</div>

<div class="ContentPasted0">Below is the entry for today.</div>

<div><br class="ContentPasted0">

</div>

<div class="ContentPasted0">09/27/2022 - Diary entry #603:</div>

<div><br class="ContentPasted0">

</div>

<blockquote style="margin-top:0;margin-bottom:0">

<div class="ContentPasted0 ContentPasted1">Metador is a previously unknown hacking group, active since at least December 2020, that has been attacking organizations in the Middle East and Africa to make long-term persistence for espionage. Among their victims,

 there are telecommunication providers, Internet Service Providers (ISPs), and universities.

<div><br class="ContentPasted1">

</div>

<div class="ContentPasted1">The group uses two Windows-based malicious programs named “metaMain” and “Mafalda”, both decrypted and executed directly in memory via "cdb.exe", a Microsoft Windows debugging tool – used as a LoLBin (Living Off the Land binary),

 to avoid raising suspicious behavior on the compromised host. The metaMain malware is a full-featured backdoor used for taking screenshots, performing file manipulation, logging keyboard events, executing arbitrary shellcode, and ultimately decrypting and

 loading Mafalda.</div>

<div><br class="ContentPasted1">

</div>

<div class="ContentPasted1">Mafalda is a versatile implant that supports more than 60 commands for file operations, reading directory contents, registry manipulation, network and system reconnaissance, and data exfiltration to the command and control (C2) server.

</div>

<div><br class="ContentPasted1">

</div>

<div class="ContentPasted1">Moreover, there is also evidence of additional implants that act as an indirect connection between Mafalda and the C2 server. On Windows, one of these implants is a custom malware named CryShell and on Linux, an unnamed one that

 Mafalda authenticates itself via a different port-knocking and handshake procedure.</div>

<div><br class="ContentPasted1">

</div>

Based on the documentation for Mafalda's commands, it suggests that the malware is operated by a different team besides the one that develops it. Therefore, we believe that Metador is a group formed by skilled threat actors due to the complexity of their malware

 toolkit and modus operandi.<br>

</div>

</blockquote>

<div><br class="ContentPasted0">

</div>

Kind Regards,<br>

</div>

<div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div id="Signature">

<div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

</div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif; font-size:12pt; color:rgb(0,0,0)">

<table style="font-size:medium; font-family:"Times New Roman"">

<tbody>

<tr>

<td style="width:180px" align="left">

<table width="120" align="left">

<tbody>

<tr>

<td colspan="3" align="center"><a href="https://www.appgate.com/" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="120" height="30" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/logo@2x.png"></a></td>

</tr>

<tr>

<td colspan="3" align="center"> </td>

</tr>

<tr>

<td width="37%" align="center"><a href="https://www.linkedin.com/company/appgate-security/" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="18" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/likedin@2x.png"></a></td>

<td width="28%"><a href="https://twitter.com/AppgateSecurity" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="20" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/twitter@2x.png"></a></td>

<td width="35%"><a href="https://www.youtube.com/channel/UC-8GvxcZbm-R3EJNl8jYjiQ" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="width: 26px; height: 18px; max-width: initial;" width="26" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/youtube@2x.png"></a></td>

</tr>

</tbody>

</table>

<p style="margin-top:0px; margin-bottom:0px"> </p>

</td>

<td colspan="2" rowspan="2" style="width:350px">

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

<strong>MART</strong><br>

</p>

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

Malware Analysis and Research Team<br>

<strong>Appgate</strong></p>

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

E:<span style="margin:0px"> <a href="mailto:ctas-mat@appgate.com" title="mailto:ctas-mat@appgate.com">

ctas-mat@appgate.com</a></span><br>

</p>

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

<span style="margin:0px; background-color:white"><br>

</span></p>

</td>

</tr>

</tbody>

</table>

<br>

</div>

</div>

</div>

</div>

</body>

</html>