Se ha observado que un actor de amenaza que se sabe que comparte superposiciones con un grupo de piratería llamado Yorotrooper se dirige al sector público ruso con familias de malware como Potreno y Stallionrat.
El proveedor de ciberseguridad Bi.zone está rastreando la actividad bajo el apodo Lobo de caballería. También se evalúa tener puntos en común con los grupos rastreados como Sturgeonphisher, Lynx silencioso, camarada Saiga, Shadowsilk y Tomiris.
«Para obtener acceso inicial, los atacantes enviaron correos electrónicos de phishing específicos que los disfrazaban como correspondencia oficial de funcionarios del gobierno de Kirguistán», Bi.Zone dicho. «Los principales objetivos de los ataques eran las agencias estatales rusas, así como las empresas de energía, minería y fabricación».
En agosto de 2025, Group-IB reveló Los ataques montados por Shadowsilk dirigidos a entidades gubernamentales en Asia Central y Asia-Pacífico (APAC), utilizando herramientas de proxy inversa y troyanos de acceso remoto escritos en Python y posteriormente portados a PowerShell.
Los lazos de hombres lobo de caballería con Tomiris son significativos, sobre todo porque le da crédito a una hipótesis de que es un actor de amenaza afiliado a Kazajstán. En un informe a fines del año pasado, Microsoft atribuido La puerta trasera de Tomiris a un actor de amenaza con sede en Kazajstán rastreó como Storm-0473.
Los últimos ataques de phishing, observados entre mayo y agosto de 2025, implican el envío de mensajes de correo electrónico utilizando direcciones de correo electrónico falsas que se hacen pasar por los empleados del gobierno de Kirguistán para distribuir archivos de RAR que entregan potro o sementales.
En al menos un caso, se dice que el actor de amenaza ha comprometido una dirección de correo electrónico legítima asociada con la autoridad regulatoria de la República Kirguistán para enviar los mensajes. Foalshell es una carcasa inversa liviana que aparece en las versiones GO, C ++ y C#, lo que permite a los operadores ejecutar comandos arbitrarios usando cmd.exe.
Stallionrat no es diferente porque está escrito en GO, PowerShell y Python, y permite a los atacantes ejecutar comandos arbitrarios, cargar archivos adicionales y exfiltrate datos recopilados usando un bot de telegrama. Algunos de los comandos compatibles con el bot incluyen –
- /Lista, para recibir una lista de hosts comprometidos (nombres de dispositivos y nombre de computadora) conectados al servidor de comando y control (C2)
- /ir [DeviceID] [command]para ejecutar el comando dado usando Invoca-Expresión
- /subir [DeviceID]para subir un archivo al dispositivo de la víctima
También se ejecutan en los hosts comprometidos como herramientas como ReversesOcks5Agent y Reversesocks5, así como comandos para recopilar información del dispositivo.
El proveedor de ciberseguridad ruso dijo que también descubrió varios nombres de archivo en inglés y árabe, lo que sugiere que el enfoque de orientación de la caballería puede ser de alcance más amplio de lo que se suponía anteriormente.
«El hombre de guerra de la caballería está experimentando activamente con la expansión de su arsenal», dijo Bi.Zone. «Esto resalta la importancia de tener información rápida sobre las herramientas utilizadas por el clúster; de lo contrario, sería imposible mantener medidas actualizadas para prevenir y detectar tales ataques».
La divulgación se produce cuando la compañía reveló que un análisis de publicaciones en canales de telegrama o foros subterráneos por parte de atacantes y hacktivistas de motivación financiera durante el año pasado ha identificado compromisos de al menos 500 empresas en Rusia, la mayoría de los cuales abarcaron los sectores de comercio, finanzas, educación y entretenimiento.
«En el 86% de los casos, los atacantes publicaron datos robados de aplicaciones web comprometidas con orientación pública», TI anotado. «Después de obtener acceso a la aplicación web pública, los atacantes instalaron GS -NETCAT en el servidor comprometido para garantizar un acceso persistente. A veces, los atacantes cargaban conchas web adicionales. También usaban herramientas legítimas como Adminer, PHPminiadmin y MySQLDUMP para extraer datos de dataabasas».
Fuente