Potao Express

Potao Express是一個黑客團體，以他們開發的兩種工具（FakeTC和Potato）而聞名。該黑客組織自2011年以來一直活躍，但自2017年以來，惡意軟件研究人員一直在密切觀察其活動。

假TC

FakeTC惡意軟件是稱為" TrueCrypt"的合法工具的欺詐副本。 FakeTC惡意軟件的作者正在使用俄羅斯網站進行傳播。攻擊者僅選擇他們所針對的某些用戶，只有這些目標會收到FakeTC惡意軟件，而所有其他用戶將獲得真正的應用程序TrueCrypt。這樣，FakeTC惡意軟件的創建者更有可能受到安全專家的監視。 FakeTC威脅為攻擊者提供了有關受害者的信息。 FakeTC惡意軟件的作者還能夠在滲透的主機上執行其他任務。傳統上，FakeTC惡意軟件被部署為第一階段的有效負載。

寶濤

Potao威脅是一個後門特洛伊木馬，它使攻擊者能夠在受感染計算機上植入其他惡意軟件。這可以通過執行系統上已經存在的文件或從Web下載並執行文件來實現。 Potao副本往往是由FakeTC威脅提供的。

自2011年以來變化不大

Potao Express黑客組織使用的首批工具之一是Potao惡意軟件，該軟件自2011年以來一直是其武器庫的一部分。PotaoExpress組織傾向於將工作重點集中在前蘇聯國家（烏克蘭，俄羅斯，白俄羅斯）的目標上和佐治亞州。但是，Potao Express黑客組織似乎主要針對位於烏克蘭的媒體公司和軍事機構。 Potao Express小組背後的人員還針對一個名為MMM的組織，該組織在俄羅斯和烏克蘭經營龐氏騙局。眾所周知，Potao Express黑客組織使用了帶有損壞鏈接的虛假SMS消息。該鏈接偽裝成一個交付跟踪網站。但是，這並不是Potao黑客組織採用的唯一感染媒介，因為他們傾向於定期更改其傳播方式。

Potao Express小組已經運作了至少八年，但他們的活動相距甚遠，以致於惡意軟件研究人員無法更好地了解活動背後的人員。有人猜測Potao Express黑客組織起源於俄羅斯，但是沒有足夠的證據支持這一說法。 Potao Express小組不是最高端的黑客小組之一，但是他們仍然能夠對目標造成相當大的破壞。