The Threat Codex13h ago
BPFdoor in Telecom Networks: Sleeper Cells in the Backbone
#BPFDoor #RedMenshen #CrossC2
https://www.rapid7.com/blog/post/tr-bpfdoor-telecom-networks-sleeper-cells-threat-research-report/
BPFdoor in Telecom Networks: Sleeper Cells in the backbone

A months-long investigation by Rapid7 Labs has uncovered evidence of an advanced China-nexus threat actor placing stealthy digital sleeper cells in telecommunications networks, in order to carry out high-level espionage – including against government networks. Read more in a new blog.

Rapid7
CyberVeille.chAug 17, 2025
📢 JPCERT/CC analyse CrossC2: extension des Beacons Cobalt Strike à Linux/macOS via ReadNimeLoader
📝 Source: JPCERT/CC — L'analyse couvre des incidents observés entre septembre et décembre 2024, montrant l'usage de **CrossC2**...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-17-jpcert-cc-analyse-crossc2-extension-des-beacons-cobalt-strike-a-linux-macos-via-readnimeloader/
🌐 source : https://blogs.jpcert.or.jp/en/2025/08/crossc2.html
#Cobalt_Strike #CrossC2 #Cyberveille
JPCERT/CC analyse CrossC2: extension des Beacons Cobalt Strike à Linux/macOS via ReadNimeLoader

Source: JPCERT/CC — L’analyse couvre des incidents observés entre septembre et décembre 2024, montrant l’usage de CrossC2 pour générer des Beacons Cobalt Strike sur Linux/macOS, accompagnés d’un loader Nim (ReadNimeLoader) et d’autres outils offensifs, avec des indices d’une campagne active au Japon et dans d’autres pays. • CrossC2 (Beacon non officiel): compatible Cobalt Strike ≥ 4.1, ciblant Linux (x86/x64) et macOS (x86/x64/M1). À l’exécution, le binaire fork et le processus enfant gère la logique. Le C2 est lu dans la configuration (décryptée en AES128‑CBC) et peut aussi être défini via les variables d’environnement CCHOST/CCPORT. Le binaire contient de nombreux anti‑analyses (chaînes XOR mono‑octet, injections de junk code faciles à neutraliser en NOP sur une séquence d’octets donnée). Le builder public sur GitHub crée des Beacons packés UPX; pour les unpacker, il faut d’abord retirer le bloc de configuration en fin de fichier, puis le réinsérer après UPX.

CyberVeille
The Threat CodexAug 14, 2025
CrossC2 Expanding Cobalt Strike Beacon to Cross-Platform Attacks
#CobaltStrike #CrossC2 #ReadNimeLoader
https://blogs.jpcert.or.jp/en/2025/08/crossc2.html
CrossC2 Expanding Cobalt Strike Beacon to Cross-Platform Attacks - JPCERT/CC Eyes

From September to December 2024, JPCERT/CC has confirmed incidents involving CrossC2, the extension tool to create Cobalt Strike Beacon for Linux OS. The attacker employed CrossC2 as well as other tools such as PsExec, Plink, and Cobalt Strike in attempts...

JPCERT/CC Eyes