Kira 2.0

Might be helpfull with the SolarWinds/SUNBURST data to combine one another, so here's all the data (subdomain, region, first seen date, decrypted DGA) that I'm personally aware of in a Google sheet atm. Feel free to comment with new or updated information docs.google.com/spreadsheets/d…

@UID_ Persoonlijk lees is ik die bewering er niet echt in, jij?

Een nachtmerrie die werkelijkheid wordt: "De ransomwaregroep beweert dat door de politie bij de zaak te betrekken, Clinical Diagnostics zich niet aan de gemaakte afspraken hebben gehouden. De politie deelde met NRC ”op de achtergrond” betrokken te zijn." nrc.nl/nieuws/2025/08…

@BasKetelaars1 @UID_ Echt blij zijn ze niet zo lijkt het.

@UID_ En wat betekent dat precies?

Eurofins staat weer op de leakpage van de NOVA ransomware groep. Dit keer met de opmerking "unhidden" en een timer van 38 dagen. What's going on?

So, according to BlackCat ransomware gang, over a week ago, a woman in high position of Advarra's HR told them to "go fuk yourself". Now, in their latest update, they leaked some nudes supposedly extracted from a chat between the same woman & the CEO of Advarra. 🤯 Crazy stuff...

A friend who lives in St Clement, Jersey, finally able to get outside and assess the damage in his estate. Scale of damage is shocking. #StormCiaran

@1ZRR4H @ValidinLLC @Gi7w0rm @malwrhunterteam @MichalKoczwara @BushidoToken @JAMESWT_MHT @StopMalvertisin @0xToxin @pr0xylife Evidence of the new domain being in use, minor encoding has been added since 23/24 Oct for what I assume are obfuscation purposes. Seems to be evidence for several runs/exploit attempts.

@1ZRR4H @ValidinLLC @Gi7w0rm @malwrhunterteam @MichalKoczwara @BushidoToken @JAMESWT_MHT @StopMalvertisin @0xToxin @pr0xylife Newest domain in use seems citrix-cdn[.]net, we're going into new territory

🚨 Hundreds of Citrix VPN instances exploited via CVE-2023-3519 are harvesting corporate credentials in cleartext. At this time, Shodan shows 406 compromised instances with malicious JavaScript code injected into the login page: shorturl.at/qQVX4 (URL shortener because Twitter didn't like my direct links). Also, I noticed that there is a relatively new and active domain, which is not mentioned in the X-Force report on this campaign (securityintelligence.com/x-force/x-forc…). C2/Exfil domain: cloud-js[.]cloud

@malwrhunterteam Dev & test sites of the creating company are in the code, Company shows their relation with HMPPS on their public website. Can't find what it would be a copy of yet, so doubt it's a copy.

Not sure what this is exactly. 🤔 Anyone from UK would take a look?

US, Canada, UK and Australia websites are compromised to serve Fortnite Spam (again) At first, TA seems to be abusing Kentico CMS Media libraries. Compromised websites includes Bing Blogs, Credit Unions, Medical Institutions and NGO's See full list! pastebin.com/UefmeQWN

🚨 Cisco Implant traffic detected from 192.3.101[.]111 . Looking for DNS settings, likely to ID targets.

#Stemwijzer-data tweets versie '23: Wat zijn de keuzes waar het dit keer écht om draait? Welke punten zijn kamerbreed onder een beïnvloedbaar percentage? Toch weer klassiekers; Abortus, Hulp bij zelfdoding, kilometerheffing etc. (151 stemmen is gevolg @peilingwijzer @tomlouwerse)

#Stemwijzer-data tweets versie '23: De 'antithese' van @constantijd_ & @LEFNederland met 'maar 14% overeenkomst met de @VVD '. Toch anders met de rest van de data erbij.. Maar, als je zo in gesprek kan met @thierrybaudet dan lukt je antithese @Eerdmans & @JuisteAntwoord ook wel.

#Stemwijzer-data tweets versie '23: Wil @lientje1967 wel echt met @PieterOmtzigt en @NwSocContract of kijkt de @BoerBurgerB toch liever naar @fvdemocratie van @thierrybaudet en @WybrenvanHaga zijn @BVNLNederland? Of zegt de 9% verschuiving van de @VVD & @DilanYesilgoz genoeg?

#Stemwijzer-data tweets versie '23: Hoe vaak zijn de partijen het met elkaar eens op de 94 stellingen van de Stemwijzer; Het overzicht. Het goede nieuws: We zijn het in twee jaar tijd, ondanks de polarisatie, toch gemiddeld wel 1% meer met elkaar eens geworden (was 56%).

@marcelvandenber @UID_ Wifi-netwerk van de NS uit externe logs, Masten aanstralen enkel langs het spoor, zijn genoeg andere opties te bedenken lijkt mij

@UID_ @VriesHd Kan! Maar lijkt mij dat als zijn OV chip wordt gebruikt alle alarmen afgaan. Hij kan er vrij zeker van zijn dat na een moord en brandstichting hij gezocht zal worden. Hij lijkt zich te hebben vermomd met capuchon en zonnebril.

Holy shit. De beste man was afgelopen zaterdag en zondag gewoon op Amsterdam Centraal en niemand heeft hem herkend. Wtf!! 🤯

We strongly advise everyone that has (had) a Cisco IOS XE WebUI exposed to the internet to perform a forensic triage. We published steps on identifying compromised systems on our GitHub here: github.com/fox-it/cisco-i… [3/3]

This explains the much discussed plummet of identified compromised systems in recent days. Using a different fingerprinting method, Fox-IT identifies 37890 Cisco devices that remain compromised. [2/3]

🚨IMPORTANT🚨 We have observed that the implant placed on tens of thousands of Cisco devices has been altered to check for an Authorization HTTP header value before responding [1/3]

@1ZRR4H @ValidinLLC @Gi7w0rm @malwrhunterteam @MichalKoczwara @BushidoToken @JAMESWT_MHT @StopMalvertisin @0xToxin @pr0xylife Yeah had the same earlier, wouldn't be their first time mixing up ports.