Silver Fox: The Only Tax Audit Where the Fine Print Installs Malware 嗯，用户让我用中文帮他总结一下这篇文章，控制在一百个字以内，而且不需要以“文章内容总结”或者“这篇文章”这样的开头，直接写文章描述即可。好的，我先看看这篇文章讲的是什么。 文章主要讲的是一个叫做Silver Fox的网络入侵组织，他们来自中国。这个组织最初是为了财务动机进行攻击，比如窃取钱财或者数据。但自从2024年开始，他们逐渐转向更复杂的、类似高级持续性威胁（APT）的活动。这意味着他们的攻击变得更加隐蔽和有针对性，可能涉及到间谍活动或者长期潜伏。 文章还提到，Silver Fox使用了多种恶意软件工具，比如ValleyRAT和HoldingHands。这些工具帮助他们在目标系统中建立持久的访问权限，并进行数据窃取或其他恶意活动。此外，他们还利用了一些合法但配置错误的远程监控管理（RMM）工具来分发恶意软件，这使得他们的攻击更加难以被发现。 除了进行复杂的APT活动外，Silver Fox仍然进行一些传统的网络犯罪活动，比如针对南亚地区的金融诈骗。他们使用了一些在中国网络犯罪生态系统中常见的恶意软件，如Blackmoon。这些活动通常是大规模的、机会性的，并不特别针对某个特定的目标。 文章还提到，在2025年至2026年间，Silver Fox的攻击手法发生了变化。他们从使用ValleyRAT转向了滥用合法的RMM工具，并最终转向了基于Python的数据窃取器。这种转变显示了他们为了适应不同的目标和环境而不断调整其策略的能力。 最后，文章总结了Silver Fox的双重目标：一方面进行复杂的间谍活动和长期潜伏；另一方面继续进行传统的、以利润为导向的网络犯罪活动。这种双重策略使得他们在网络安全威胁领域显得更加复杂和难以应对。 总的来说，这篇文章详细描述了Silver Fox组织在2025年至2026年期间的攻击活动、使用的工具以及他们的双重目标。 </think> 这篇文章介绍了中国网络入侵组织Silver Fox近年来的行为变化。该组织最初以财务动机为主导展开攻击活动,但自2024年起逐渐转向更复杂的APT式操作,同时仍保持传统网络犯罪行为,形成双轨模式。文中详细分析了其使用的恶意软件工具、感染链演变以及针对南亚地区的最新攻击活动,揭示了其兼顾情报收集与经济利益的双重目标。... 2026-3-24 08:18:21 | 阅读: 11 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io silver fox tax valleyrat taiwan

UEBA in the Real World: Catching Intrusions That Don’t Look Like Intrusions 嗯，用户让我总结一篇文章，控制在一百个字以内，而且不需要特定的开头。我先看看文章内容。文章主要讲的是UEBA（用户实体行为分析）在检测现代网络入侵中的重要性。传统基于指标的检测方法往往无法发现那些看似正常的攻击行为，比如使用合法凭证进行横向移动或者滥用云API。UEBA通过分析行为模式，能够更早地识别异常活动。 接下来，我需要将这些要点浓缩到100字以内。要确保涵盖UEBA的作用、传统方法的不足以及UEBA如何弥补这些不足。可能还要提到具体的应用场景，比如云控制台滥用或内部威胁检测。 最后，检查一下是否符合用户的要求：直接描述内容，不使用特定开头，并且控制在100字以内。确保语言简洁明了。 </think> 文章探讨了现代网络攻击中攻击者利用合法凭证和工具进行隐蔽操作的趋势，指出传统基于指标的检测方法难以识别此类威胁。UEBA（用户实体行为分析）通过分析行为异常而非单纯依赖已知威胁指标，能够更有效地检测早期阶段的入侵。文章通过五个实际案例展示了UEBA在检测OAuth滥用、MFA疲劳攻击、云控制台滥用和内部威胁等方面的优势，并强调了其在构建全面检测能力中的重要性。... 2026-3-16 14:33:27 | 阅读: 8 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io ueba cloud attackers behavioral attacker

EUBA in the Real World: Catching Intrusions That Don’t Look Like Intrusions 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内，而且不需要特定的开头。首先，我需要仔细阅读这篇文章，理解它的主要观点。 文章主要讨论了现代入侵检测的问题。传统的检测方法依赖于已知的恶意指标，比如可疑的哈希值或IP地址，但很多现代攻击看起来像是正常用户行为。攻击者越来越多地使用合法工具和凭证进行入侵，这使得传统的基于指标的检测方法难以发现早期入侵。 作者提出了EUBA（实体/用户行为分析）的重要性。EUBA不是检查某个工件是否已知恶意，而是分析行为是否异常。比如，用户是否在不寻常的时间登录，或者是否访问了平时不接触的资源。通过分析这些行为模式，EUBA可以帮助检测到传统方法难以发现的攻击。 文章还举了五个实际案例，说明EUBA如何在不同场景下发挥作用。例如，攻击者使用有效凭证进行横向移动，或者利用MFA疲劳绕过安全措施。这些案例展示了EUBA在检测复杂攻击中的优势。 总结一下，文章的核心观点是：现代攻击越来越隐蔽，传统检测方法效果有限；而EUBA通过分析行为异常，能够更有效地发现早期入侵。 </think> 现代网络攻击常伪装成正常用户行为，利用合法工具和凭证进行入侵。传统基于已知恶意指标的检测方法难以识别此类攻击。EUBA（实体/用户行为分析）通过分析行为异常（如不寻常的登录时间、新访问资源等），帮助识别传统方法难以发现的早期入侵。... 2026-3-16 12:3:53 | 阅读: 7 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io cloud euba attackers behavioral attacker

Shadow IT: The Initial Access You Didn’t Log 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我得仔细阅读这篇文章，理解它的主要观点。 文章主要讲的是网络安全中的“影子IT”问题。影子IT指的是那些组织拥有但未被安全监控覆盖的基础设施。攻击者常常利用这些盲点进行入侵，因为这些地方缺乏检测机制。 接下来，文章通过五个案例展示了攻击者如何利用影子IT进行攻击。比如，未管理的边缘设备、云存储滥用、OAuth持久化、开发者生态系统漏洞以及域名生命周期滥用等。每个案例都说明了攻击者如何在监控范围之外展开行动。 最后，作者建议安全团队需要将影子IT视为检测工程问题，持续监控和整合新发现的资产，缩小与攻击者视角之间的差距。 总结一下，文章强调了影子IT对组织安全的影响，并提供了具体的案例和改进建议。现在我需要用简洁的语言把这些内容浓缩到100字以内。 </think> 文章指出，威胁行为者常利用组织未被监控的“影子IT”基础设施进行攻击。这些资产包括未管理的边缘设备、云存储、身份服务等，在安全团队的监控范围之外。通过多个案例分析表明，攻击者通常从外部映射组织资产开始，利用这些盲点建立持久性并展开行动。安全团队需重新审视影子IT为检测问题，并持续缩小与攻击者视角之间的差距以提升防御能力。... 2026-3-6 10:48:25 | 阅读: 14 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io attackers cloud monitoring shadow diagram

Sekoia achieves SOC2 compliance 好的，我现在需要帮用户总结一篇文章的内容，控制在100个字以内。用户的要求很明确，不需要以“文章内容总结”或“这篇文章”这样的开头，直接写描述即可。 首先，我得通读整篇文章，抓住主要信息。文章主要讲的是Sekoia获得了SOC2 Type 1认证，覆盖了他们在法国、美国、阿联酋和摩纳哥的基础设施。这个认证说明他们在数据安全和内部控制方面达到了高标准。文章还提到获得认证的过程漫长且严格，涉及内部流程优化、人员培训和领导层的重视。 接下来，我需要将这些信息浓缩到100字以内。重点包括：Sekoia获得认证、覆盖的地区、认证的意义以及公司的承诺。同时，要避免使用复杂的术语，保持简洁明了。 最后，检查一下字数是否符合要求，并确保没有遗漏关键点。这样用户就能快速了解文章的核心内容了。 </think> Sekoia获得SOC2 Type 1认证，覆盖其在法国、美国、阿联酋和摩纳哥的基础设施。该认证证明了公司在数据安全和内部控制方面的高标准。通过严格的审核流程和持续改进，Sekoia致力于为客户提供更安全的服务，并感谢团队和客户的信任与支持。... 2026-3-2 11:3:30 | 阅读: 7 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io security soc2 sekoia regions commitment

OysterLoader Unmasked: The Multi-Stage Evasion Loader 嗯，用户让我总结一篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。我得先仔细阅读这篇文章，理解它的主要内容。 文章讲的是OysterLoader这个恶意软件，它还有其他名字比如Broomstick和CleanUp。它是一个多阶段的加载器型恶意软件，主要用来分发Rhysida勒索软件和其他恶意软件如Vidar。它的传播方式是通过伪装成合法软件的网站，比如PuTTy、WinSCP等。 文章详细分析了OysterLoader的四个阶段：首先是Packer阶段，然后是Shellcode，接着是Downloader，最后是核心阶段。每个阶段都有不同的技术和机制，比如API洪泛、动态API解析、自定义LZMA压缩等。此外，它还使用了复杂的C2通信机制，包括自定义Base64编码和不断变化的基础设施。 总结一下，OysterLoader是一个复杂的恶意软件加载器，主要用来分发勒索软件和其他恶意软件。它通过伪装成合法软件传播，并使用多种技术来逃避检测和分析。 </think> OysterLoader是一种多阶段恶意软件加载器，主要通过伪装合法软件传播，并用于分发Rhysida勒索软件和其他恶意程序。其感染链包括四个阶段：Packer、Shellcode、Downloader和核心模块。该恶意软件采用API洪泛、动态API解析和自定义LZMA压缩等技术以规避检测，并通过复杂的C2通信机制进行数据窃取和命令接收。... 2026-2-12 08:18:49 | 阅读: 2 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io stage c2 analysis lzma

Meet IClickFix: a widespread WordPress-targeting framework using the ClickFix tactic 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内。首先，我需要仔细阅读这篇文章，理解它的主要观点和关键信息。 这篇文章看起来是关于一个名为IClickFix的恶意软件框架的分析报告。它提到了该框架是如何利用WordPress网站进行传播的，以及它如何通过ClickFix社交工程战术来诱骗用户执行恶意命令，最终部署NetSupport RAT远程控制软件。 接下来，我需要提取文章中的关键点：IClickFix的传播方式、使用的社交工程战术、感染链的阶段、以及它对全球WordPress网站的影响。同时，文章还提到了该框架的技术演变和检测方法。 现在，我需要将这些信息浓缩成一个简洁的总结，确保在100字以内。要注意使用简洁的语言，避免技术术语过多，同时涵盖主要威胁和影响范围。 最后，检查一下总结是否准确反映了原文内容，并且符合用户的要求。 </think> 文章描述了一个名为IClickFix的恶意软件框架，通过利用WordPress网站传播ClickFix社交工程战术，诱导用户执行恶意命令并部署NetSupport RAT远程控制软件。该框架自2024年底以来已感染超3,800个WordPress网站，并通过多阶段JavaScript加载器和伪装Cloudflare Turnstile CAPTCHA的方式进行传播。... 2026-1-29 08:4:14 | 阅读: 3 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io iclickfix wordpress clickfix lure netsupport

Leveraging Landlock telemetry for Linux detection engineering Landlock 是集成于 Linux 内核 5.13 的安全模块，用于创建沙盒限制应用程序行为，并提供审计日志功能。其广泛应用于开源项目和企业中，为检测工程提供精准的日志数据，降低误报率，并帮助防御潜在攻击。... 2026-1-14 08:34:48 | 阅读: 3 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io landlock xz sekoia library security

Advent Of Configuration Extraction – Part 4: Turning capa Into A Configuration Extractor For TinyShell variant 嗯，用户让我总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。直接写描述就行。 首先，我得通读一下这篇文章。看起来是关于一个Linux后门的分析，叫做TinySHell。文章里提到这个后门是一个轻量级的ELF二进制文件，用来隐藏元数据，连接到C2服务器，并执行命令或者启动远程shell。它的设计很隐蔽，适合长期间谍活动。 接下来，文章详细介绍了如何提取这个后门的配置信息。他们用到了capa、Capstone和LIEF这几个工具。capa用来检测能力，识别二进制的功能；Capstone用于反编译和分析指令；LIEF则用来提取加密字符串。 具体步骤是这样的：首先用capa找到RC4加密函数的位置，然后用Capstone分析指令，找到RC4密钥和加密数据的位置。接着用LIEF提取.rdata节中的加密数据，并解密得到配置信息，比如C2地址和端口。 总结一下，这篇文章展示了如何结合静态分析工具和行为规则匹配来提取恶意软件的配置信息。这对于安全分析来说非常重要，因为配置信息通常包含攻击者的指令和目标服务器的信息。 现在要把这些内容浓缩到100字以内。要抓住关键点：TinySHell后门、轻量级设计、隐藏机制、配置提取方法、使用的工具（capa、Capstone、LIEF）、以及提取过程中的步骤（定位RC4函数、获取密钥、解密数据）。 可能的结构是：介绍后门及其特性，然后说明如何通过工具提取配置信息，并强调这种方法的有效性。 最后检查一下字数是否符合要求。 </think> 文章介绍了一种基于开源后门TinySHell的轻量级Linux后门，其设计隐蔽且持久，通过RC4加密隐藏配置数据。文章详细描述了利用capa、Capstone和LIEF等工具提取后门配置的过程，包括定位RC4解密函数、获取密钥及解密C2服务器信息的方法。... 2025-12-22 09:32:13 | 阅读: 6 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io capa extractor analysis python c2

Sekoia.io Strengthens Collective Cyber Defense at NATO CCDCOE’s Crossed Swords 2025 Exercise Sekoia.io参与北约CCDCOE的Crossed Swords 2025演习，提供技术与专业知识以验证防御能力。演习模拟复杂网络攻击环境，聚焦保护关键基础设施与数字主权。Sekoia的SOC平台处理5000万事件与500警报，展示高效威胁检测能力，并通过与外部工具集成提升防御效果。... 2025-12-18 09:16:50 | 阅读: 10 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io sekoia military crossed swords xs25

Advent of Configuration Extraction – Part 3: Mapping GOT/PLT and Disassembling the SNOWLIGHT Loader 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户已经给出了文章的英文内容，我需要先通读一遍，理解主要信息。 文章主要讲的是SNOWLIGHT，这是一个轻量级的ELF下载器，用于Linux系统。它从远程服务器获取有效载荷并执行。文章详细介绍了如何提取它的配置，特别是C2端口。作者使用了LIEF和Capstone这两个工具来解析ELF格式和反编译机器代码。 接下来，我需要将这些信息浓缩到100字以内。重点包括：SNOWLIGHT的功能、使用的工具、提取配置的方法以及它在恶意软件活动中的应用。 可能的结构是：先介绍SNOWLIGHT是什么，然后说明提取配置的方法和工具，最后提到它被用在哪些攻击活动中。 现在开始组织语言： SNOWLIGHT是一种轻量级ELF下载器，用于Linux系统中检索和执行远程有效载荷。文章介绍了如何通过解析.rodata部分和反编译主函数来提取其C2配置，并使用LIEF和Capstone工具实现自动化提取。该恶意软件被用于UNC5174威胁活动中的内存加载程序。 检查字数是否在100字以内，并确保信息准确无误。 </think> SNOWLIGHT是一种轻量级ELF下载器，用于Linux系统中检索和执行远程有效载荷。文章介绍了如何通过解析.rodata部分和反编译主函数来提取其C2配置，并使用LIEF和Capstone工具实现自动化提取。该恶意软件被用于UNC5174威胁活动中的内存加载程序。... 2025-12-15 08:2:53 | 阅读: 13 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io c2 snowlight lief capstone

Mandating Security by Design: Sekoia’s Blueprint for the EU Cyber Resilience Act 嗯，用户让我总结这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。我得先仔细阅读文章，抓住主要信息。 文章主要讲的是欧盟的《网络安全弹性法案》（CRA），它从2024年12月10日开始生效。这个法案对制造商、进口商和分销商有严格的要求，比如产品设计必须考虑安全性，风险管理，漏洞管理，支持周期至少五年，还有必须报告漏洞和事件。Sekoia公司作为欧洲的网络安全技术提供商，他们分析了CRA的影响，并且介绍了他们如何帮助客户符合这些规定。 所以总结的时候，我需要涵盖CRA的主要内容和Sekoia的角色。控制在100字以内的话，得简洁明了。 可能的结构：欧盟通过CRA法案，要求制造商确保产品安全设计、风险管理、漏洞管理、支持周期至少五年，并报告漏洞和事件。Sekoia提供工具帮助客户合规。 这样大概就能在100字以内了。 </think> 欧盟通过《网络安全弹性法案》（CRA），要求制造商确保产品安全设计、风险管理、漏洞管理，并提供至少五年的支持周期。该法案还要求制造商及时报告漏洞和事件。Sekoia作为欧洲网络安全技术提供商，分析了CRA的影响，并提供工具帮助客户合规。... 2025-12-11 08:16:57 | 阅读: 15 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io cra security sekoia

Advent of Configuration Extraction – Part 2: Unwrapping QuasarRAT’s Configuration 嗯，用户让我总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写文章的描述即可。 首先，我需要通读整篇文章，理解它的主要内容。文章主要讲的是QuasarRAT，这是一种基于.NET的远程访问木马。作者详细介绍了如何从二进制文件中提取其加密配置。他们使用了Jupyter Notebook、pythonnet、dnSpy等工具来构建一个Python提取器，并且还处理了混淆版本的样本。 接下来，我需要找出文章的关键点：QuasarRAT是什么，它的功能，以及如何提取配置。还要注意作者提到的方法和工具。 然后，我要把这些关键点浓缩成一百个字以内。确保涵盖QuasarRAT作为.NET RAT的特点、提取加密配置的过程、使用的工具和方法，以及处理混淆版本的能力。 最后，检查语言是否简洁明了，符合用户的要求。 </think> 文章介绍了如何从QuasarRAT（一种基于.NET的远程访问木马）的二进制文件中提取其加密配置。通过使用Jupyter Notebook、pythonnet和dnSpy等工具构建Python提取器，并分析其静态构造函数和IL指令，成功提取了配置信息。文章还扩展了方法以处理混淆版本的样本，并展示了如何通过逆向工程恢复加密字符串。... 2025-12-8 09:16:41 | 阅读: 15 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io instr dnlib operand opcodes python

French NGO Reporters Without Borders targeted by Calisto in recent campaign read file error: read notes: is a directory... 2025-12-3 10:2:12 | 阅读: 18 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io calisto phishing tdr protonmail php

Advent of Configuration Extraction – Part 1: Pipeline Overview – First Steps with Kaiji Configuration Unboxing 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内，而且不需要特定的开头。首先，我得仔细阅读文章，抓住主要信息。 文章是关于Sekoia威胁检测与研究团队如何自动化提取恶意软件配置数据的系列文章的第一篇。他们使用Assemblyline平台和ConfigExtractor服务，通过案例分析Kaiji物联网僵尸网络来展示流程。 我需要提炼出关键点：自动化提取配置数据、Assemblyline平台、ConfigExtractor服务、Kaiji案例、以及后续会分析.NET恶意软件。这些信息要在100字内简洁表达。 然后，组织语言，确保流畅且信息完整。比如：“本文介绍了Sekoia团队如何利用Assemblyline平台和ConfigExtractor服务自动化提取恶意软件配置数据，并以Kaiji物联网僵尸网络为例展示了具体流程。后续将分析.NET恶意软件的配置提取。” 这样既涵盖了主要内容，又符合字数限制。 </think> 本文介绍了Sekoia团队如何利用Assemblyline平台和ConfigExtractor服务自动化提取恶意软件配置数据，并以Kaiji物联网僵尸网络为例展示了具体流程。后续将分析.NET恶意软件的配置提取。... 2025-12-1 08:31:47 | 阅读: 6 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io analysis extractor c2 maco

Phishing Campaigns “I Paid Twice” Targeting Booking.com Hotels and Customers read file error: read notes: is a directory... 2025-11-6 07:34:1 | 阅读: 59 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io booking phishing hotel clickfix powershell

TransparentTribe targets Indian military organisations with DeskRAT read file error: read notes: is a directory... 2025-10-23 06:18:41 | 阅读: 19 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io defence deskrat client payload india

Decoding UserAuthenticationMethod in Microsoft 365 audit logs: the bitfield mapping 分析微软云服务登录日志中的`UserAuthenticationMethod`字段，发现其为位字段，每位代表不同认证方法，并提供了解码方法及示例。... 2025-10-21 07:33:46 | 阅读: 23 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io microsoft entra rollout

Inside Sekoia.io Hackathon 2025 – Innovating together for customer satisfaction Sekoia.io于2025年在布列塔尼南部举办黑客马拉松，7支团队通过3天协作解决7个客户痛点，推出多项创新功能如AI驱动的事件助手和攻击路径可视化工具，并由高管评审选出最佳项目。活动展现公司文化中的自主权与客户至上理念。... 2025-10-16 10:47:2 | 阅读: 45 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io sekoia hackathon squads organized intake

Defrosting PolarEdge’s Backdoor 嗯，用户让我帮忙总结一篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写描述就行。首先，我需要仔细阅读用户提供的文章内容，理解其主要信息。 这篇文章是关于一个叫做PolarEdge的后门程序的分析报告。它详细描述了这个后门是如何利用CVE-2023-20118漏洞进行攻击的，以及它的技术细节，比如TLS服务器、配置加密、反分析技术等等。此外，文章还提到了该后门影响了多个设备，包括Cisco、Asus、QNAP和Synology路由器。 接下来，我需要将这些关键点浓缩到100字以内。首先确定主要信息：PolarEdge后门利用特定漏洞攻击路由器，具备TLS通信、反分析功能，并且影响多个品牌设备。 然后组织语言，确保简洁明了。可能的结构是：介绍PolarEdge是什么，它的功能和影响范围。 最后检查字数是否符合要求，并确保没有使用任何开头模板。这样就能满足用户的需求了。 </think> 文章介绍了PolarEdge后门程序的技术细节及其攻击行为。该后门通过CVE-2023-20118漏洞感染路由器，在目标设备上建立TLS通信通道，并支持多种模式操作。其配置信息加密存储于二进制末尾，并采用多种反分析技术以规避检测。该恶意软件影响了多个品牌设备，包括Cisco、Asus、QNAP和Synology路由器。... 2025-10-14 07:46:29 | 阅读: 106 | 收藏 | Over Security - Cybersecurity news aggregator - blog.sekoia.io polarssl analysis c2 x509v3 polaredge