זרוע סייבר של הספאח שחוזרת לעבוד על תעשיות אירופאיות קריטיות – אירוספייס, דיפנס, טלקום. הם נכנסים ע"י מיילים שמתחזים ל-Airbus/Boeing/Rheinmetall וה-weaponized attachment מוריד MiniJunk על המכונה של הקורבן – לא commodity malware אלא implant שמתחבר ל-C2 ומגניב סקרים של סיסמאות מהדפדפן, RCE ו-exfiltration של קבצים רגישים.
מה שהדהים את החוקרים זה לא ההתקפה אלא הניסיונות להסתתר – חתימות קוד עם תעודות דיגיטליות מזויפות, תשתיות מאחורי Azure ו-Cloudflare ופריסה על hosts שונים כדי לטשטש עקבות. הם משתמשים ב-LLVM passes מותאמות, control-flow obfuscation, opaque predicates וריבוי שכבות הצפנה על strings.
אחרי כל הבלגן הזה המחברים פשוט השתמשו ב-XOR בסיסי ל-obfuscation – string[i] ^ key[i % key_length] – והחוקרים שברו את המפתחות עם עזרה של כלי AI ופיצחו את כל המחרוזות.
