Kimlik avı mesajları göndermeye meraklı bir Kazakistan saldırı grubu, kirli işlerini Azerbaycan kılığında yapıyor.
YoroTrooper ilk olarak Haziran 2022’de tespit edildi ve genellikle Rusya, Ermenistan, Belarus ve Moldova’nın yanı sıra Azerbaycan’ın da aralarında bulunduğu eski Sovyet cumhuriyetlerini ve genellikle devlet kurumlarını hedef alıyor.
Ancak YoroTrooper’ın dil tercihleri, Kazakistan para birimini kullanması ve Kazakistan varlıklarını çok sınırlı hedeflemesi göz önüne alındığında, Cisco Talos’tan araştırmacılar grubun Kazakistan’dan olduğu sonucuna vardı.
Araştırmacılar ayrıca, YoroTrooper’ın altyapılarının çoğunu Azerbaycan’da barındırırken, yine de o ülkedeki kurumları hedef alarak kökenini gizlemek için çok sayıda çaba harcadığını “büyük bir güvenle” belirledi.
YoroTrooper’ın operasyonlarının çoğu Azerbaycan üzerinden yönlendiriliyor, ancak saldırganlar Azerice dilini konuşmuyor gibi görünüyor.
Araştırmacılar, “Aktörün Kazak kökenli olduğuna işaret eden temel gözlemimiz, her ikisi de Kazakistan’ın resmi dili olan Kazakça ve Rusça konuşmasıdır” dedi. “YoroTrooper sık sık Kazakça yazılmış web sitelerini ziyaret ediyor ve özel Python Uzaktan Erişim Truva Atlarında hata ayıklamak ve mesajları günlüğe kaydetmek için Rusçayı kullanıyor.”