<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);" class="elementToProof ContentPasted0">

Hello,

<div><br class="ContentPasted0">

</div>

<div class="ContentPasted0">I hope everyone is doing well!</div>

<div><br class="ContentPasted0">

</div>

<div class="ContentPasted0">Below is the entry for today.</div>

<div><br class="ContentPasted0">

</div>

<div class="ContentPasted0">10/04/2022 - Diary entry #608:</div>

<div><br class="ContentPasted0">

</div>

<blockquote style="margin-top:0;margin-bottom:0">

<div class="ContentPasted0 ContentPasted1">Emperor Dragonfly, also known as DEV-0401 and BRONZE STARLIGHT, is a Chinese hacking group that started its activities in mid-2021. Since then, they have been using a great variety of payloads from different ransomware

 families to evade attribution and they don’t operate in the affiliate model nor in the Ransomware-as-a-service business, controlling all stages of the attack lifecycle independently.

<div><br class="ContentPasted1">

</div>

<div class="ContentPasted1">Earlier this year, the group was observed compromising a VMware Horizon server by leveraging the Log4Shell vulnerability. Next, PowerShell was used to execute reconnaissance commands and download a  Cobalt Strike Beacon to communicate

 with a Command and Control (C&C) server. Then, to move laterally, they used Impacket’s well-known Python modules SMBExec and WMIExec. Finally, they used Rclone, an open-source command-line tool, to exfiltrate sensitive information to the cloud storage service

 “Mega” and deployed the Cheerscrypt ransomware as their final action.</div>

<div><br class="ContentPasted1">

</div>

<div class="ContentPasted1">Cheerscrypt is a ransomware known as a Linux-based ransomware family that targets ESXi servers but it was also observed encrypting the Windows system in the attack detailed above. Besides using Cheerscrypt, the group frequently rebrand

 the ransomware payloads that they use, such as Night Sky, Rook, Pandora, and AtomSilo with the objective of masking cyberespionage campaigns as financially-motivated attacks.</div>

<div><br class="ContentPasted1">

</div>

Using rebranded payloads and not operating as we are used to observing in other ransomware groups allowed this group to stay under the radar, difficulting the attribution of the attacks. As we have covered ransomware source codes and tools being leaked, they

 all can become powerful tools in the hands of advanced threat actors.<br>

</div>

</blockquote>

<div><br class="ContentPasted0">

</div>

Kind Regards,<br>

</div>

<div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div id="Signature">

<div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

</div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif; font-size:12pt; color:rgb(0,0,0)">

<table style="font-size:medium; font-family:"Times New Roman"">

<tbody>

<tr>

<td style="width:180px" align="left">

<table width="120" align="left">

<tbody>

<tr>

<td colspan="3" align="center"><a href="https://www.appgate.com/" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="120" height="30" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/logo@2x.png"></a></td>

</tr>

<tr>

<td colspan="3" align="center"> </td>

</tr>

<tr>

<td width="37%" align="center"><a href="https://www.linkedin.com/company/appgate-security/" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="18" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/likedin@2x.png"></a></td>

<td width="28%"><a href="https://twitter.com/AppgateSecurity" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="20" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/twitter@2x.png"></a></td>

<td width="35%"><a href="https://www.youtube.com/channel/UC-8GvxcZbm-R3EJNl8jYjiQ" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="width: 26px; height: 18px; max-width: initial;" width="26" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/youtube@2x.png"></a></td>

</tr>

</tbody>

</table>

<p style="margin-top:0px; margin-bottom:0px"> </p>

</td>

<td colspan="2" rowspan="2" style="width:350px">

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

<strong>MART</strong><br>

</p>

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

Malware Analysis and Research team<br>

</p>

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

<strong>Appgate</strong></p>

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

E:<span style="margin:0px"> <a title="mailto:ctas-mat@appgate.com" href="mailto:ctas-mat@appgate.com">

ctas-mat@appgate.com</a></span><br>

</p>

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

<br>

<span style="margin:0px; background-color:white"></span></p>

</td>

</tr>

</tbody>

</table>

<br>

</div>

</div>

</div>

</div>

</body>

</html>