MalwareUsed by 2 actors

LuckyStrike Agent

For your environment

Hunt this family in your stack

Mallory pivots from this family to the IOCs, detections, and named campaigns that touch your stack, and pages you when something new lands.

Start free trial

THREAT ACTORS

Groups observed using it

2 distinct threat actors attributed by public researchers. Open in Mallory to see the full evidence chain and overlapping campaigns.

View more details

Erudite Mogwai

Lucky Strike Agent был замечен в атаках группировки Erudite Mogwai. Бэкдор использует технику AppDomain Manager Injection, способен выполнять широкий спектр команд, а также использует публичный облачный сервис OneDrive в качестве канала C2.

via rt solarrt-solar.ru

Space Pirates

Space Pirates Targets Russian IT Firms With New LuckyStrike Agent Malware

via cloudatg insightscloudatg.com

MITRE ATT&CK

Techniques & procedures

11 distinct techniques documented for this family, organized by ATT&CK tactic.

Resource Development

1 technique

T1583.001DomainsEvidence1

бэкдор ... использует публичный облачный сервис OneDrive в качестве канала C2. Не исключено также, что он может использовать и другие облачные сервисы.

Execution

2 techniques

T1059.003Windows Command ShellEvidence1

CMD_TYPE_SHELL Исполнение консольной команды. В очередь Output записывается результат этой команды

T1574.014AppDomainManagerEvidence1

Данное ВПО использует технику AppDomain Manager Injection (T1574.014). Она позволяет загружать вредоносные .NET-сборки в легитимные .NET-приложения. В качестве такого приложения злоумышленниками выбран UevAppMonitor.exe.

Stealth

2 techniques

T1574.014AppDomainManagerEvidence1

T1620Reflective Code LoadingEvidence1

CMD_TYPE_EXEC_ASM Подгрузка и исполнение переданной в аргументах сборки... CMD_TYPE_Plugin Подгрузка и исполнение сборки с заданными аргументами.

Discovery

4 techniques

T1033System Owner/User DiscoveryEvidence1

Сбор информации о системе (IP, имя пользователя, имя хоста...); ... генерация agent_id, который представляет собой MD5 от конкатенации строк "paid", AgentType, username...

T1082System Information DiscoveryEvidence1

Сбор информации о системе (IP, имя пользователя, имя хоста, PWD, информация о текущем процессе, время запуска, последнее время активности, полное имя операционной системы, также записывается информация о типе текущего агента и используемой версии .NET).

T1083File and Directory DiscoveryEvidence1

CMD_TYPE_FILE_BROWSE Обход директории. Возвращает информацию о файлах в директории или о файле (имя файла, полный путь, base64 от иконки, является ли путь директорией, время последней записи в файл, размер).

T1124System Time DiscoveryEvidence1

В главном потоке, если текущее время укладывается в интервал [BeginDate; EndDate]...

Command and Control

2 techniques

T1071Application Layer ProtocolEvidence1

Основной задачей данного цикла является получение токена доступа OneDrive с использованием Refresh Token... с помощью GraphQL в папке root/:/{FolderName}-{ListenerID}-{agent_id} создается файл... Чтение новых задач из директории TaskFolderName... После этого в директории ReceiveFolderName создается файл с расширением .max с содержимым вывода.

T1105Ingress Tool TransferEvidence1

CMD_TYPE_UPLOAD Загрузка файла с C2. Содержимое также загружается чанками (содержится внутри сообщения в виде base64). Файл создается, только когда все чанки собраны.

Exfiltration

1 technique

T1041Exfiltration Over C2 ChannelEvidence1

CMD_TYPE_DOWNLOAD Скачать файл с хоста жертвы. Вывод в очередь Output происходит чанками по 7340032 байт. Формат вывода: "FILEPATH|CHUNK_COUNT|CHUNK_INDEX|DATA_BASE64".

INDICATORS OF COMPROMISE

IOCs tracked for this family

33 indicators attributed across vendor reports, sandbox runs, and researcher write-ups. Full values are available in Mallory.

View more in app

Hashes

33 tracked

File hashes (MD5, SHA-1, SHA-256) from samples and reports.

TypeValueLatest sighting

hash.md5●●●●●●●●●●●●View more in app1 year ago

hash.sha1●●●●●●●●●●●●View more in app1 year ago

ACTIVITY FEED

Recent activity

2 sources tracked across advisories, community write-ups, and news. New activity surfaces here as Mallory finds it.

2 SOURCESView more in app

cloudatg insightsNews

Feb 13, 2026

AI Development & Software Engineering | CloudATG

Previously undocumented malware used by Space Pirates against Russian IT organizations; detected Nov 2024.

rt solarNews

Jun 10, 2025

LuckyStrike Agent: анализ бэкдора Erudite Mogwai и его техник

Многофункциональный .NET-бэкдор с модульной архитектурой, загружаемый через AppDomain Manager Injection в легитимное .NET-приложение UevAppMonitor.exe. Использует OneDrive как C2-канал, собирает системную информацию, получает и выполняет команды, поддерживает загрузку/выгрузку файлов, выполнение shell-команд, запуск .NET-сборок и плагинов, изменение интервала сна и удаление файлов. В материале также отмечены признаки коммерческого происхождения и «платной версии».

What this page doesn’t show

The version that knows your environment.

This page is what’s public. Mallory adds the parts that aren’t: which of your assets match these IOCs, which detections are missing, which campaigns to expect next, and what to do in the next 30 minutes.

Start free trial

IOC matching33

Match every observed IP, domain, and hash against your live telemetry.

Threat actor attribution2

Named campaigns wielding this family, with evidence pinned to each claim.

Exploited vulnerabilities

CVEs this family uses for access and lateral movement.

Detection signatures

YARA, Sigma, Snort, and vendor rules, auto-deployed to your SIEM.

MITRE ATT&CK mapping11

Every documented technique, ranked by evidence weight.

Researcher chatter

Reddit, Mastodon, and CTI community discussion around this family.