O grupo de espionagem YoroTrooper provavelmente consiste em indivíduos do Cazaquistão, relatam os pesquisadores de segurança Talos da Cisco.
Ativo desde pelo menos junho de 2022 e inicialmente detalhado em março deste ano, o YoroTrooper foi observado visando entidades governamentais no Azerbaijão, Quirguistão, Tadjiquistão e outros países da Comunidade de Estados Independentes (CEI).
De acordo com a Cisco último relatório sobre o ator de ameaça persistente avançada (APT), as operações parecem ser conduzidas por indivíduos do Cazaquistão, com base no uso da moeda cazaque e dos idiomas cazaque, russo e uzbeque.
O agente da ameaça tem como alvo apenas uma instituição no Cazaquistão, nomeadamente a Agência Anticorrupção do governo, parece estar interessado em defender o website do serviço de e-mail estatal do Cazaquistão e utiliza criptomoedas para adquirir infraestruturas de apoio às suas operações.
De acordo com a Cisco, YoroTrooper “verifica regularmente as taxas de conversão de moeda entre o Tenge do Cazaquistão (KZT), a moeda oficial do Cazaquistão e o Bitcoin (BTC) no Google” e foi visto usando uma troca online para converter dinheiro do Tenge do Cazaquistão para Bitcoin.
O grupo tem sido observado a fazer esforços para mascarar as suas operações e fazê-las parecer originárias do Azerbaijão, inclusive hospedando a maior parte da sua infraestrutura no país, embora ainda tendo como alvo entidades locais.
Após a divulgação pública em Março de 2023, o actor da ameaça mudou as suas tácticas, técnicas e procedimentos (TTP), mas continua as suas operações nefastas contra os países da CEI.
“O direcionamento do YoroTrooper a entidades governamentais nesses países pode indicar que os operadores são motivados pelos interesses do Estado cazaque ou trabalham sob a direção do governo cazaque. Também é possível, no entanto, que os intervenientes sejam simplesmente motivados por ganhos financeiros obtidos através da venda de informações estatais restritas”, afirma Cisco.
Nos últimos meses, o grupo foi visto comprometendo um cidadão tadjique, provavelmente associado ao governo do país, para exfiltrar documentos como certificados governamentais e declarações juramentadas.
Baseando-se em scanners de vulnerabilidade e dados de código aberto, a APT comprometeu com sucesso três sites estatais do Tajiquistão e do Quirguistão para hospedar ferramentas maliciosas neles, diz a Cisco.
Desde janeiro de 2023, o YoroTrooper tem como alvo entidades governamentais do Uzbequistão, comprometendo com sucesso um alto funcionário do Ministério da Energia do Uzbequistão em agosto de 2023.
Além de explorar vulnerabilidades conhecidas, o grupo depende de contas VPN nas suas operações, envia regularmente mensagens de spear phishing para roubar credenciais das vítimas e adicionou etapas intermediárias ao seu mecanismo de infecção nos últimos meses.
O grupo portou seus implantes Python personalizados para scripts do PowerShell, começou a usar um shell reverso interativo baseado em executável do Windows personalizado e começou a experimentar novos tipos de veículos de entrega.
Em setembro, o APT começou a usar um implante baseado em Rust e portas Golang de seu RAT baseado em Python.