UNG0801: Tracking Threat Clusters obsessed with AV Icon Spoofing targeting Israel

An analysis of threat clusters, dubbed UNG0801 or Operation IconCat, targeting Israeli organizations. The actors use socially engineered phishing lures in Hebrew, exploiting antivirus icon spoofing from well-known vendors like SentinelOne and Check Point. Two distinct infection chains were identified, both utilizing AV-themed decoys dropped by malicious Word and PDF documents. The first campaign deploys a PyInstaller-based implant called PYTRIC, capable of system-wide wipes and backup deletion. The second campaign uses a Rust-based implant named RUSTRIC, focusing on antivirus enumeration and system information gathering. Both campaigns share similar tactics but differ in their ultimate objectives, with the first aimed at destruction and the second at espionage.

Pulse ID: 69497ab14e1d473cf9e65693
Pulse Link: https://otx.alienvault.com/pulse/69497ab14e1d473cf9e65693
Pulse Author: AlienVault
Created: 2025-12-22 17:06:57

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CheckPoint #CyberSecurity #Espionage #ICS #InfoSec #Israel #OTX #OpenThreatExchange #PDF #Phishing #RAT #Rust #SentinelOne #Word #bot #AlienVault

📬 CyberVolk-Ransomware: VolkLocker liefert Entschlüsselungs-Key gleich mit
#Cyberangriffe #Malware #Cybercrime #CyberVolkRansomware #DigitaleErpressung #EntschlüsselungsKey #ITSicherheit #RaaS #Ransomware #SentinelOne #Telegram #VolkLocker https://sc.tarnkappe.info/617d56

Threat Spotlight: Storm-0249 Moves from Mass Phishing to Precision EDR Exploitation

Storm-0249, a seasoned initial access broker, has evolved from mass phishing to sophisticated post-exploitation tactics. The group now abuses legitimate Endpoint Detection and Response processes, particularly SentinelOne's SentinelAgentWorker.exe, through DLL sideloading. This allows them to conceal malicious activity as routine operations, bypass defenses, and maintain persistence. Their new tactics include Microsoft domain spoofing, curl-to-PowerShell piping, and fileless execution. Storm-0249's ability to weaponize trusted processes and conduct stealthy reconnaissance poses significant challenges for security teams. The group's evolution represents a broader trend in the ransomware-as-a-service ecosystem, lowering the technical barrier for attackers and accelerating the spread of ransomware across sectors.

Pulse ID: 69393ab7f0d78ccb11a14d9a
Pulse Link: https://otx.alienvault.com/pulse/69393ab7f0d78ccb11a14d9a
Pulse Author: AlienVault
Created: 2025-12-10 09:17:43

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CyberSecurity #EDR #Endpoint #EndpointDetectionandResponse #ICS #InfoSec #Microsoft #OTX #OpenThreatExchange #Phishing #PowerShell #RAT #RansomWare #RansomwareAsAService #Rust #SentinelOne #SideLoading #bot #AlienVault

Meet Rey, the Admin of ‘Scattered Lapsus$ Hunters’

https://krebsonsecurity.com/2025/11/meet-rey-the-admin-of-scattered-lapsus-hunters/

#U.S.CentersforDiseaseControlandPrevention #ScatteredLAPSUS$Hunters #cybero5tdev@proton.me #Ne'er-Do-WellNews #SchneiderElectric #Cyb3rDrag0nzTeam #SaifAl-DinKhader #ALittleSunshine #ScatteredSpider #OrangeRomania #BreachForums #ShinyHunters #Breadcrumbs #CrowdStrike #Disney/Hulu #SentinelOne #ShinySp1d3r #Ransomware #Flashpoint #Hikki-Chan #Telefonica #o5tdev

Are there #EuropeanAlternatives for #SentinelOne @european_alternatives @alternativeto @kuketzblog

#UnplugTrump

https://alternativeto.net/software/sentinelone/

El equipo de #SentinelOne descubrió una nueva variante del malware ZuRu dirigida a desarrolladores en macOS

#ciberseguridad #macOS

https://mecambioamac.com/nueva-variante-del-malware-zuru-dirigida-a-desarrolladores-en-macos/

L’intelligenza artificiale rivoluziona in real-time la difesa informatica: Proteggere i dati a prova di futuro e’ strategico e occorre capire quanto sia vitale concentrarsi sul presente e quanto non si possa piu’ ignorare il passato. Oggi siamo...
#SentinelOne #PaoloCecchi #hyper-automation #prevenzione #piattaformaPurpleAI http://dlvr.it/TNQ9Kn

[Перевод] MalTerminal: первый вирус, который пишет сам себя с помощью ИИ

🚨 MalTerminal: первый вирус, который пишет себя сам — с помощью GPT-4 Представьте: хакеру больше не нужно быть гением ассемблера. Достаточно написать в чат: «Создай вредонос, который обойдёт защиту Windows 11» — и через минуту получить готовый, уникальный, никогда не виданный антивирусами код. Это не сценарий из киберпанка. Это — MalTerminal . Первое в истории вредоносное ПО, которое использует GPT-4 не как помощника, а как мозг всей операции . Обнаружен он был исследователями SentinelOne — и сразу взорвал мозг экспертам по кибербезопасности. Почему? Потому что это конец эпохи сигнатур . Как это работает? MalTerminal не содержит в себе заранее написанного вредоносного кода. Вместо этого, прямо во время атаки он: Анализирует систему жертвы (ОС, защита, процессы), Формулирует запрос к GPT-4: «Напиши скрипт на Python, который отключит Defender и скачает шифровальщик» , Получает, исполняет — и удаляет следы. Ни сигнатур. Ни повторов. Только чистый, адаптивный хаос. Факт, от которого мурашки: в коде нашли ссылки на устаревший API OpenAI — значит, MalTerminal создали ещё до ноября 2023 года . Мы уже полтора года живём в новой реальности — просто не все это осознали. Это не атака. Это proof-of-concept. Пока MalTerminal не замечен в «дикой природе». Скорее всего, его создали red team для тестов или хакер-одиночка, чтобы показать: «Я могу» . Но сам факт, что это возможно — меняет всё. Что это значит для вас? Антивирусы устарели. Те, что ищут по сигнатурам — бесполезны. Поведенческие — пока держатся, но ненадолго. Барьер входа рухнул. Теперь вредоносный код может написать даже новичок. Главное — уметь правильно задать промпт. Атаки станут персональными. Вирус будет адаптироваться под вашу систему, ваши привычки — как bespoke-костюм, только с ножом в спине. Кто виноват? OpenAI? Пользователь? Платформа? Юридическая серая зона — огромная. 🛡️ Как защищаться? Забудьте про старые методы. Наступает эра AI vs AI . Защита должна: Смотреть на намерения , а не на код: что программа пытается сделать? Мониторить обращения к LLM : если софт вдруг начал активно общаться с GPT — это красный флаг. Быть проактивной : предсказывать, моделировать, учиться. Уже появляются решения вроде FalconShield — они анализируют, как и зачем программы используют ИИ. Это как детектор лжи для кода. Что дальше? Бизнес потратит миллиарды на новую защиту. Люди начнут бояться технологий — особенно если ИИ-вирусы доберутся до больниц и электросетей. Начнётся гонка ИИ-вооружений между государствами. Да, это звучит как «Терминатор». Но мы уже на этом пути. Главный вывод: MalTerminal — не просто вирус. Это предупреждение . ИИ стал оружием. И вопрос не в технологии — а в том, кто её использует и для чего . У нас ещё есть время адаптироваться. Вопрос — воспользуемся ли мы им? #кибербезопасность #ИИ #MalTerminal #GPT4 #вредоносноеПО #AIsecurity #SentinelOne #хакеры #антивирусы #будущеевотносило #OpenAI #LLM

https://habr.com/ru/articles/949920/

#искусственный_интеллект #вирусы #вирусный_анализ #вирусы_и_антивирусы #искусственный_интеллект_и_чатбот #безопасность #безопасность_в_сети #безопасность_данных #безопасная_разработка #безопасность_вебприложений

I vettori di attacco primari continuano ad avere un ruolo decisivo: La velocita’ e l’innovazione nell’era cloud e dell’AI sono innegabili pur portandosi dietro responsabilita’ e rischi. Per mantenere gli ambienti cloud sicuri...
#SentinelOne #MarcoRottigni #hacker #cybersecurity #AI http://dlvr.it/TNCYt0

SentinelOne's Jackie Lehmann explains why they acquired Observo AI. Traditional SIEMs can’t cope with today’s massive data volumes. Observo AI’s pipeline promises cleaner telemetry, real-time enrichment and up to 99% lower storage costs.

SentinelOne's goal? An AI-native SOC that cuts noise, speeds detection, and makes autonomous security response a reality.
🔗 https://www.movetheneedle.news/brands/-we-re-building-the-ai-native-soc--/
#CyberSecurity #business #technology #AI #SentinelOne #InfoSec #SOC #security

【導入事例公開】自立型EDR「SentinelOne」でセキュリティ運用の“負担”を軽減し、情シス業務の効率化を実現（株式会社エーアイ様）
https://ascii.jp/elem/000/004/312/4312626/?rss

#ascii #PRTIMESデジタル #網屋 #AMIYA #SentinelOne #EDR #サイバー攻撃 #ネットワークセキュリティ #脅威検知 #導入事例 #アンチウィルス #エンドポイントセキュリティ

Ope

https://status.sentinelone.com

#sentinelone #outage

SentinelOne, firmato accordo per l’acquisizione di Prompt Security: SentinelOne, specialista a livello globale nella cybersecurity basata sull’intelligenza artificiale, ha annunciato di aver firmato un accordo definitivo per...
#SentinelOne #PromptSecurity #cybersecurity #intelligenzaartificialegenerativa #GenAI http://dlvr.it/TMLVKn

Motley Fool’s bold AI picks: Despite slow starts in 2025, underdogs like Alphabet, GitLab, Salesforce, SentinelOne, and ServiceNow are set to bounce back big in AI’s second half. From dominant search to enterprise AI, these stocks may surprise investors.

#AIStocks #StockMarket2025 #Alphabet #GitLab #Salesforce #SentinelOne #ServiceNow #TechInvesting #MotleyFool #AIBounceBack #TECHi

Read Full Article Here :- https://www.techi.com/underdog-ai-stocks-second-half-2025-comeback/

Come l’Agentic e la GenAI stanno rivoluzionando le security operations: La rapida adozione dell’AI Generativa (GenAI) e l’emergere dell’AI Agentic offrono nuove opzioni ai team, che possono intervenire per anticipare gli attacchi. Nei...
#SentinelOne #PaoloCecchi #cybersecurity #AIAgentic http://dlvr.it/TLwGky

There's something like a pattern I guess :blobcatthinking:

advens.sentinelone.net : Down
xdr.ap1.sentinelone.net : Up
cns.ap2.sentinelone.net : Up
apne1-1001.sentinelone.net : Up
apne1-1002.sentinelone.net : Up
apne1-1101-nfr.sentinelone.net : Up
apne1-corecloud.sentinelone.net : Up
apne1-swprd3.sentinelone.net : Up
xdr.aps1.sentinelone.net : Up
apse1-2001.sentinelone.net : Up
apse1-2002.sentinelone.net : Up
apse1-2111-mssp.sentinelone.net : Up
apse1-dfir.sentinelone.net : Up
apse1-identity.sentinelone.net : Up
apse1-raksaguard.sentinelone.net : Up
xdr.apse2.sentinelone.net : Up
apse2-1004.sentinelone.net : Up
apse2-2112-mssp.sentinelone.net : Up
apse2-orro.sentinelone.net : Up
apso1-1003.sentinelone.net : Up
apso1-areteadvisors.sentinelone.net : Up
aspos1-1003.sentinelone.net : Up
cace1-201.sentinelone.net : Up
carvir-msp.sentinelone.net : Up
carvir-msp02.sentinelone.net : Up
cns.eu1.sentinelone.net : Up
xdr.eu1.sentinelone.net : Up
euce1-100.sentinelone.net : Down
euce1-102.sentinelone.net : Down
euce1-103.sentinelone.net : Down
euce1-104.sentinelone.net : Down
euce1-105.sentinelone.net : Down
euce1-106.sentinelone.net : Down
euce1-108.sentinelone.net : Down
euce1-109.sentinelone.net : Down
euce1-110-nfr.sentinelone.net : Down
euce1-120-mssp.sentinelone.net : Down
euce1-acora.sentinelone.net : Down
euce1-axians.sentinelone.net : Down
euce1-beber.sentinelone.net : Down
euce1-clico.sentinelone.net : Down
euce1-conxion.sentinelone.net : Down
euce1-cw02.sentinelone.net : Down
euce1-emilfrey.sentinelone.net : Down
euce1-exclusive.sentinelone.net : Down
euce1-intrinsec.sentinelone.net : Down
euce1-ir.sentinelone.net : Down
euce1-kroll-ir.sentinelone.net : Down
euce1-ninjaone.sentinelone.net : Down
euce1-ocd1-1b.sentinelone.net : Down
euce1-pax8.sentinelone.net : Down
euce1-rossmann.sentinelone.net : Down
euce1-sns-mssp.sentinelone.net : Down
euce1-sonicwall.sentinelone.net : Down
euce1-sonicwall-mdr.sentinelone.net : Down
euce1-sorint.sentinelone.net : Down
euce1-spike-it.sentinelone.net : Down
euce1-swprd2.sentinelone.net : Down
euce1-swprd6.sentinelone.net : Down
euce1-teamblue.sentinelone.net : Down
euce1-umb-ag.sentinelone.net : Down
euce1-vanroey.sentinelone.net : Down
euce1-wossa.sentinelone.net : Down
gcert-edrsecurity.sentinelone.net : Down
leica-geo.sentinelone.net : Up
console.mobile.sentinelone.net : Down
rubix-s1eu2.mobile.sentinelone.net : Up
s1eu2.mobile.sentinelone.net : Up
cns.na1.sentinelone.net : Up
xdr.us1.sentinelone.net : Up
usea1-001-mssp.sentinelone.net : Up
usea1-002-mssp.sentinelone.net : Up
usea1-007.sentinelone.net : Up
usea1-008.sentinelone.net : Up
usea1-009.sentinelone.net : Up
usea1-012.sentinelone.net : Up
usea1-014.sentinelone.net : Up
usea1-015.sentinelone.net : Up
usea1-016.sentinelone.net : Up
usea1-017.sentinelone.net : Up
usea1-018.sentinelone.net : Up
usea1-019.sentinelone.net : Up
usea1-020.sentinelone.net : Up
usea1-300-nfr.sentinelone.net : Up
usea1-5iron.sentinelone.net : Up
usea1-albertsons.sentinelone.net : Up
usea1-areteadvisors.sentinelone.net : Up
usea1-armorpoint.sentinelone.net : Up
usea1-att-managed-security.sentinelone.net : Up
usea1-avx.sentinelone.net : Up
usea1-cw01.sentinelone.net : Up
usea1-cw02.sentinelone.net : Up
usea1-cyberforce-msp01.sentinelone.net : Up
usea1-digicel.sentinelone.net : Up
usea1-identity.sentinelone.net : Up
usea1-latam.sentinelone.net : Up
usea1-lightedge.sentinelone.net : Up
usea1-msc.sentinelone.net : Up
usea1-nabl11.sentinelone.net : Up
usea1-ninjaone.sentinelone.net : Up
usea1-ninjaone2.sentinelone.net : Up
usea1-nuspire.sentinelone.net : Up
usea1-pax8.sentinelone.net : Up
usea1-pax8-03.sentinelone.net : Up
usea1-pax8-exsp.sentinelone.net : Up
usea1-reliaquest.sentinelone.net : Up
usea1-s1sy.sentinelone.net : Up
usea1-s1university.sentinelone.net : Up
usea1-snwl01.sentinelone.net : Up
usea1-sou.sentinelone.net : Up
usea1-support3.sentinelone.net : Up
usea1-swprd1.sentinelone.net : Up
usea1-swprd2.sentinelone.net : Up
usea1-swprd5.sentinelone.net : Up
usea1-threatops.sentinelone.net : Up
usea1-vigprosvcs.sentinelone.net : Up
your-console.sentinelone.net : Up

#SentinelOne #Cybersecurity

Which mind you had he contacted #SentinelOne sooner he would have found out that the version of the helper and agent were faulty and could’ve given us the previous version to replace it, but nah, just lots of rude commentary in the moment about how it was unacceptable for a dev with no k8s experience to not understand how k8s works and stores and accesses files in a cluster without being allowed to see the full alert output to be able to see what pods were affected.

Mind you my team’s infosec liaison is still the guy who yelled at me over Teams and made me log on for a “sev1” while on bereavement leave after my father’s death because his team installed a faulty #SentinelOne helper in our cluster and demanded I investigate thousands of false alerts being thrown over pods using standard built-in Linux commands/programs on long/arbitrary file paths generated by k8s.

SentinelOne accelera il processo di migrazione sicura al cloud per i clienti di AWS: SentinelOne ha aderito all’Amazon Web Services (AWS) Independent Software Vendor (ISV) Workload Migration Program, un programma che supporta i partner dell’AWS Partner...
#SentinelOne #WorkloadMigrationProgram #RicSmith #cybersecurity #AI http://dlvr.it/TLgjrD