اعضای سابق Black Basta از Microsoft Teams و اسکریپت‌های Python در حملات ۲۰۲۵ استفاده می‌کنند

اعضای سابق گروه باج‌افزار Black Basta همچنان از روش‌های آزمایش‌شده خود شامل بمباران ایمیل و فیشینگ Microsoft Teams برای دسترسی مداوم به شبکه‌های هدف استفاده می‌کنند. این مهاجمان اخیراً اجرای اسکریپت Python را نیز به تکنیک‌های خود اضافه کرده‌اند و از درخواست‌های cURL برای دریافت و استقرار بارهای مخرب استفاده می‌کنند. نیمی از حملات فیشینگ Teams بین فوریه تا می 2025 از دامنه‌های onmicrosoft.com منشا گرفته و 42% از حملات از دامنه‌های نفوذ‌شده صورت گرفته است.

احتمالاً اعضای سابق Black Basta به گروه‌های باج‌افزار دیگری مانند CACTUS، BlackLock یا BlackSuit پیوسته‌اند. این گروه‌ها از ترکیب فیشینگ Teams، Quick Assist و AnyDesk برای دسترسی اولیه استفاده کرده و سپس اسکریپت‌های Python مخرب را برای برقراری ارتباط C2 اجرا می‌کنند. همزمان، گروه‌های دیگری مانند Scattered Spider، Qilin و Play نیز حملات گسترده‌ای علیه ارائه‌دهندگان خدمات مدیریت‌شده و سازمان‌های مختلف با استفاده از آسیب‌پذیری‌های نرم‌افزاری و ابزارهای RAT جدید انجام داده‌اند.