Potao Express

Potao Express是一个黑客团体，以他们开发的两种工具（FakeTC和Potato）而闻名。该黑客组织自2011年以来一直活跃，但自2017年以来，恶意软件研究人员一直在密切观察其活动。

假货

FakeTC恶意软件是称为" TrueCrypt"的合法工具的欺诈副本。 FakeTC恶意软件的作者正在使用俄罗斯网站进行传播。攻击者仅选择他们所针对的某些用户，只有这些目标会收到FakeTC恶意软件，而所有其他用户将获得真正的应用程序TrueCrypt。这样，FakeTC恶意软件的创建者更有可能受到安全专家的监视。 FakeTC威胁为攻击者提供了有关受害者的信息。 FakeTC恶意软件的作者还能够在渗透的主机上执行其他任务。传统上，FakeTC恶意软件被部署为第一阶段的有效负载。

宝涛

Potao威胁是一个后门特洛伊木马，它使攻击者能够在受感染计算机上植入其他恶意软件。这可以通过执行系统上已经存在的文件或从Web下载并执行文件来实现。 Potao副本往往是由FakeTC威胁提供的。

自2011年以来变化不大

Potao Express黑客小组使用的首批工具之一是Potao恶意软件，该恶意软件自2011年以来一直是其武器库的一部分。PotaoExpress小组倾向于将工作重点放在前苏联国家（乌克兰，俄罗斯，白俄罗斯）的目标上和佐治亚州。但是，Potao Express黑客组织似乎主要针对位于乌克兰的媒体公司和军事机构。 Potao Express小组背后的人员还针对一个名为MMM的组织，该组织在俄罗斯和乌克兰经营庞氏骗局。众所周知，Potao Express黑客组织使用了带有损坏链接的虚假SMS消息。该链接伪装成一个交付跟踪网站。但是，这并不是Potao黑客组织采用的唯一感染媒介，因为他们倾向于定期更改其传播方式。

Potao Express小组已经运作了至少八年，但他们的活动相距甚远，以致于恶意软件研究人员无法更好地了解活动背后的人员。有人猜测Potao Express黑客组织起源于俄罗斯，但没有足够的证据支持这一说法。 Potao Express小组不是最高端的黑客小组之一，但是他们仍然能够对目标造成相当大的破坏。