Inside OnyxC2: The New Stealer Targeting 210 Apps

OnyxC2 emerged in early 2026 as a malware-as-a-service stealer sold on cybercrime networks for $250 monthly. The platform includes a web panel, payload builder, and tiered pricing structure with refund guarantees. Written in C++ with assembly for direct syscalls, it targets approximately 210 applications across nine categories: 45 browsers, 109 extensions including 2FA tools, 5 password managers, 17 cryptocurrency wallets, 11 FTP clients, 5 email clients, and VPN/messaging applications. The stealer achieves 99% detection evasion through mutated builds and delivers via DLL sideloading using signed binaries. Higher tiers unlock remote access capabilities including HVNC, LSASS dumping, reverse SOCKS5 proxy, keylogging, and reverse shell. Distribution occurs through fake installers delivered as password-protected archives, with C2 communication over Cloudflare-fronted HTTPS to akmuniverstall.top.

Pulse ID: 6a301309d410a2c508c138d4
Pulse Link: https://otx.alienvault.com/pulse/6a301309d410a2c508c138d4
Pulse Author: AlienVault
Created: 2026-06-15 14:58:17

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#2FA #Browser #Cloud #CyberCrime #CyberSecurity #Email #HTTP #HTTPS #InfoSec #Malware #MalwareAsAService #OTX #OpenThreatExchange #Password #Proxy #SideLoading #VNC #VPN #Word #bot #cryptocurrency #hVNC #socks5 #AlienVault

Testing #SOCKS5 proxy option in the #gossip / #nostr client https://github.com/mikedilger/gossip/pull/1029

* just for reminding: it works with #TOR and #I2P relays, no client tunnels required anymore - the one bridge for tests: ws://nostrajmjieip3dqgeefsgpydy3bbshe3o32z65dwkssl7qxkn5a.b32.i2p

#Rust #1029

PCPJack Hijacked 230 AWS, GCP, and Azure Servers to Run a Hidden SMTP Relay Network

PCPJack operators compromised 230 cloud Linux servers across AWS, GCP, and Azure to build a covert SMTP relay network for email-based attacks. Researchers discovered exposed directories on infrastructure at 213.136.80[.]73 containing complete deployment toolkits including Chisel binaries, Python deployers, and operational state files. The campaign deployed Sliver C2 beacons and established reverse SOCKS5 tunnels on compromised hosts, testing each for SMTP relay capability. Three deployment versions showed operational evolution from 50 to 230 nodes, with verified proxies synchronized every five minutes to a downstream aggregation server. The operation targeted cloud-hosted web applications, exploiting them to gain initial access, then establishing persistence through systemd services and cron jobs disguised as system utilities. Victims included small to medium businesses across multiple regions running containerized and traditional workloads.

Pulse ID: 6a2067cbef8cf15f958711ce
Pulse Link: https://otx.alienvault.com/pulse/6a2067cbef8cf15f958711ce
Pulse Author: AlienVault
Created: 2026-06-03 17:43:39

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#AWS #Azure #Cloud #CyberSecurity #Email #InfoSec #Linux #OTX #OpenThreatExchange #Python #RAT #Sliver #bot #socks5 #AlienVault

Ever wanted to experience Paris without buying a plane ticket?

Now you can at least browse the internet like you’re there 🇫🇷

New residential IPs added in Paris from a certain very-orange French telecom provider.

Dedicated.
Static.
Ready for long sessions.

#Paris #Networking #SOCKS5

Quick networking tip:

SOCKS4 = older + limited.
SOCKS5 = modern + flexible.

SOCKS5 adds:
- username/password auth
- UDP support
- IPv6 compatibility
- broader app support

That’s why most serious workflows moved to SOCKS5 years ago.

#SOCKS5 #ProxyTips #Networking

Production MTProto user-бот на FastAPI + Telethon: WARP для обхода DPI и 5 граблей с Telegram

В большинстве туториалов по Telegram-ботам всё начинается с одного куска кода: получили токен у @BotFather, поставили python-telegram-bot или aiogram , написали хендлер, deploy. Это Bot API. И в 90% задач этого хватает. А потом приходит задача которую Bot API не закрывает в принципе: программно создать супергруппу под конкретный проект и добавить туда нужных людей по @username , и сделать это десятки раз в день . Bot API такое не умеет даже теоретически - метода «создать группу» там нет, метода «добавить юзера в группу» тоже. Лезете в полную документацию Telegram API искать обход, упираетесь в раздел channels.createChannel / channels.inviteToChannel под MTProto, и начинается совсем другая история - не Bot API, а user-бот через telethon . В этой статье разбираю как мы сделали production MTProto user-бот на FastAPI + Telethon. Под капотом: Cloudflare WARP для обхода DPI (без него с российского VPS просто не подключиться), Singleton-клиент с keepalive, in-memory cache resolve-юзеров, и 5 ограничений Telegram которые знают только те кто лез туда ногами . Реальный production-сервис у клиента в нише строительства/монтажа, обслуживает связку Planfix → Telegram-группы под каждый проект. Сервис написан на Python 3.11. Стек: Telethon 1.43.2, FastAPI 0.136.1, Uvicorn 0.46.0, Pydantic 2.13.4. На VPS под systemd , наружу через Cloudflare Tunnel. Вызывается из n8n через HTTP-ноду.

https://habr.com/ru/articles/1034612/

#telethon #mtproto #telegram #python #fastapi #cloudflare #warp #n8n #socks5 #planfix

Have the practice of bookmarking content for future processing and currently working on a script that uses various services to hijack endpoints via #curl. The content is hosted on #Instagram as reels.

One service downloads the reel while the other transcribes it.

Now that the transcription service has a daily limit, I am wondering which approach I will take to overcome this obstacle.

Either one can #SOCKS5 through curl onto the #Tor network to create a new connection after hitting the daily limit again.

Or one can #whisperCpp over the downloaded reel.

Как запустить VLESS + Reality на старом Intel iMac с macOS Catalina 10.15.8

На старых Intel Mac установка proxy-клиента часто превращается в странный квест: если приложение ставится, подписка импортируется, серверы вроде бы появляются, но рабочего подключения всё равно нет. На macOS Catalina 10.15.8 эта проблема ощущается особенно остро: часть современных клиентов уже не поддерживает систему, часть формально запускается, но ломается на встроенном core, а автоматический импорт VLESS/Reality-конфигов может создавать пустую заглушку вместо рабочего профиля. Эта инструкция написана не экспертом по сетям, а обычным пользователем для таких же обычных пользователей. Я собрал в одном месте весь путь, который реально сработал у меня на старом Intel iMac: как понять, какая версия клиента вообще подходит для Catalina, где брать старые релизы, как распознать сломанный импорт, как вручную собрать рабочий config и почему Telegram Desktop может не заработать, даже когда браузер уже работает.

https://habr.com/ru/articles/1027620/

#macOS_Catalina #Intel_iMac #V2RayXS #VLESS #Reality #Xray #proxy #Telegram_Desktop #SOCKS5 #JSON