Se ha observado que los actores de amenaza que comparten superposición con grupos de piratería llamados Yorotroopers se dirigen al sector público ruso, que tiene familias de malware como Foalshell y Stallionrat.
El proveedor de ciberseguridad bi.zone rastrea actividades bajo hombres lobo de caballería de Monica. También se aprecia que tiene similitudes con grupos rastreados como Sturgeon Fisher, Silent Links, Camarada Saiga, Shadow Silk y Tomyris.
«Para obtener acceso inicial, los atacantes enviaron correos electrónicos de phishing dirigidos que los disfrazaron como comunicaciones oficiales de funcionarios del gobierno de Kirguistán», dijo Bi.Zone. «Los principales objetivos del ataque no fueron solo empresas de energía, minería y manufactura, sino también instituciones estatales rusas».
En agosto de 2025, el Grupo IB reveló un ataque de Shadowsilk dirigido a las agencias gubernamentales (APAC) en Asia Central y Asia Pacífico (APAC) y utilizó una herramienta de proxy inversa y un troyano de acceso remoto escrito en Python y luego portado a PowerShell.
La conexión de la caballería para hombres lobo con Tomiris es importante. En particular, esto se debe a que da más credibilidad a la hipótesis de que él es un actor de amenaza asociado con Kazajstán. En un informe a fines del año pasado, Microsoft atribuyó la puerta trasera de Tomiris a un actor de amenaza con sede en Kazajstán, quien fue rastreado como Storm-0473.
Los últimos ataques de phishing observados entre mayo y agosto de 2025 incluyen el envío de mensajes de correo electrónico utilizando direcciones de correo electrónico falsas que entregan potro o sementales al hacerse pasar por un empleado del gobierno de Kirguistán.
En al menos un caso, se dice que el actor de amenaza ha comprometido las direcciones de correo electrónico legítimas asociadas con los reguladores de la República Kirguistán para enviar mensajes. Foalshell es una carcasa inversa liviana que aparece en las versiones GO, C ++ y C#, lo que permite a los operadores ejecutar comandos arbitrarios usando cmd.exe.
Stallionrat está escrito en GO, PowerShell y Python, lo que permite a los atacantes ejecutar comandos arbitrarios, cargar archivos adicionales y usar bots de telegrama para exftrar los datos recopilados. Algunos de los comandos compatibles con el bot son –
/Lista, Comando y Control (C2) servidor para recibir hosts comprometidos (dispositivo y nombre de computadora) conectados a /go (dispositivos de dispositivos) (comando), ejecute el comando especificado usando Invoke-Expression /upload (DeviceID) y cargue el archivo en el dispositivo de la víctima
Los hosts comprometidos también son herramientas de ejecución como ReversesOcks5Agent y Reversesocks5, así como comandos para recopilar información del dispositivo.
El proveedor de ciberseguridad ruso también dijo que descubrieron varios nombres de archivos en inglés y árabe, lo que sugiere que el enfoque objetivo de los lobos de caballería puede ser más amplio de lo esperado anteriormente.
«El hombre de guerra de la caballería está experimentando activamente con la expansión de su arsenal», dice Bi.zone. «Esto subraya la importancia de una visión rápida de las herramientas utilizadas en los grupos. De lo contrario, sería imposible mantener las medidas actuales para prevenir y detectar tales ataques».
Esta divulgación se produce cuando el análisis de publicaciones en canales de telegrama o foros subterráneos por parte de atacantes y hativistas de motivación financiera durante el año pasado reveló que al menos 500 empresas rusas han identificado compromisos.
«En el 86% de los casos, los atacantes publicaron datos robados de aplicaciones web públicas comprometidas». «Después de obtener acceso a una aplicación web pública, el atacante instaló GS-NetCat en el servidor comprometido para garantizar un acceso permanente. El atacante podría cargar conchas web adicionales.
Source link
