| SHA256 | 40b5127c8cf9d6bec4dbeb61ba766a95c7b2d0cafafcb82ede5a3a679a3e3020 | 2022年OrBit载荷,谱系A |
| SHA256 | ec7462c3f4a87430eb19d16cfd775c173f4ba60d2f43697743db991c3d1c3067 | 2022年OrBit载荷,谱系A |
| SHA256 | f1612924814ac73339f777b48b0de28b716d606e142d4d3f4308ec648e3f56c8 | 2022年投放器 |
| SHA256 | d419a9b17f7b4c23fd4e80a9bce130d2a13c307fccc4bfbc4d49f6b770d06d3b | 2023年载荷,谱系A |
| SHA256 | 296d28eb7b66aa2cbea7d9c2e7dc1ad6ce6f97d44d34139760c38817aec083e7 | 2023年载荷,谱系A |
| SHA256 | 3ba6c174a72e4bf5a10c8aaadab2c4b98702ee2308438e94a5512b69df998d5a | 2023年载荷,谱系B |
| SHA256 | 4203271c1a0c24443b7e85cbf066c9928fcc69934772a431d779017fb85c9d73 | 2023年载荷,谱系B |
| SHA256 | eea274eddd712fe0b4434dbef6a2a92810cb13b8be3deca0571410ee78d37c9f | 2024年载荷,谱系A |
| SHA256 | a61386384173b352e3bd90dcef4c7268a73cd29f6ae343c15b92070b1354a349 | 2024年载荷,谱系A |
| SHA256 | a34299a16cf30dac1096c1d24188c72eed1f9d320b1585fe0de4692472e3d4dc | 2024年载荷,谱系B |
| SHA256 | b1dd18a6a4b0c6e2589312bbec55b392a20a95824ffe630a73c94d24504c553d | 2024年载荷,谱系B |
| SHA256 | 989f7eb4f805591839bcbc321dd44418eb5694d1342e37b7f24126817f10e37e | 2024年载荷(已提取),谱系B |
| SHA256 | 8ea420d9aa341ba23cdea0ac03951bce866c933ba297268bc7db8a01ce8e9b8e | 2024年载荷(静态ELF),谱系A |
| SHA256 | 26082cd36fdaf76ec0d74b7fbf455418c49fbab64b20892a873c415c3bb60675 | 2024年加载器/安装器 |
| SHA256 | 48a68d0555f850c36f7d338b1a42ed1a661043cacf2ba2a4b0a347fac3cb3ee6 | 2024年投放器 |
| SHA256 | fc2e0cb627a00d0e4509bd319271721ea74fb11150847213abe9e8fea060cc8a | 2024年投放器 |
| SHA256 | 8e83cbb2ed12faba9b452ea41291bcebdce08162f64ac9a5f82592df62f47613 | 2025年载荷,谱系A |
| SHA256 | 2b2eeb2271c19e2097a0ef0d90b2b615c20f726590bbfee139403db1dced5b0a | 2025年载荷,谱系A |
| SHA256 | 84828f31d741f92ce4bca98cfc2148ff8cff6663e2908a025b1386dd4953ffef | 2025年载荷(截断版),谱系A |
| SHA256 | 090b15fd8912cab340b22e715d44db079ec641db5e2f92916aa1f2bc9236e03e | 2025年投放器 |
| SHA256 | 64a3ebd3ad3927fc783f6ac020d5a6192e9778fb16b51cceba06e4ee5416adff | 2025年投放器 |
| SHA256 | b85ed15756568b85148c1d432a8920f81e4b21f2bc38f0cf51d06ced619e0e77 | 2025年投放器 |
| SHA256 | d3d204c19d93e5e37697c7f80dd0de9f76a2fb4517ced9cafd7d7d46a6e285ba | 2025年投放器 |
| SHA256 | 73b95b7d1006caf8d3477e4a9a0994eaa469e98b70b8c198a82c4a12c91ad49a | 2025年双阶段感染器 |
| SHA256 | 04c06be0f65d3ead95f3d3dd26fe150270ac8b58890e35515f9317fc7c7723c9 | 2026年载荷,谱系A |
| SHA256 | d7b487d2e840c4546661f497af0195614fc0906c03d187dc39815c811ea5ec3f | 2026年载荷,谱系A |
| SHA256 | b982276458a85cd3dd7c8aa6cb4bbb2d4885b385053f92395a99abbfb0e43784 | 2020年RHOMBUS投放器(共享架构) |
| URL | | 2025年cron持久化机制使用的C2域名 |
| IP地址 | 109.95.212[.]253 | C2域名cf0[.]pw当前解析结果,俄罗斯基础设施 |
| IP地址 | 109.95.211[.]141 | 共享相同BANNER_0_HASH-IP值的相关基础设施,俄罗斯 |
| 文件路径 | /lib/libseconf/ | 多数OrBit变种使用的主隐藏工作目录 |
| 文件路径 | /lib/libntpVnQE6mk/ | 原始2022年OrBit隐藏工作目录 |
| 文件路径 | /lib/locate/ | UNC3886/MEDUSA 2024集群使用的备用安装路径 |
| 文件名 | sshpass.txt | Medusa构建管道固定凭证存储文件 |
| 文件名 | .logpam | Medusa构建管道固定PAM凭证日志文件 |
| 文件名 | /etc/cron.hourly/0 | 2025年感染器投放的远程载荷下载持久化脚本 |