Yorotrooper adlı bir hackleme grubuyla örtüşmeyi paylaştığı bilinen bir tehdit oyuncusu, Rus kamu sektörünü Foalshell ve Stallionrat gibi kötü amaçlı yazılım aileleriyle hedefleyen gözlendi.
Siber güvenlik satıcısı Bi.zone, takma adın altındaki etkinliği izliyor Süvari Kurtadam. Ayrıca kümelerle ortaklıkların Sturgeonfisher, Sessiz Lynx, Yoldaş Saiga, Shadowsilk ve Tomiris olarak izlendiği değerlendirilir.
Bi.zone, “İlk erişim elde etmek için saldırganlar, onları Kırgız hükümet yetkililerinden resmi yazışmalar olarak gizleyen hedeflenen kimlik avı e -postalarını gönderdi.” Dedi. “Saldırıların ana hedefleri Rus devlet kurumlarının yanı sıra enerji, madencilik ve imalat işletmeleri idi.”
Ağustos 2025’te Grup-Ib, Python’da yazılmış ve daha sonra Powershell’e taşınan ters proxy araçları ve uzaktan erişim truva atlarını kullanarak Orta Asya ve Asya-Pasifik’teki (APAC) hükümet kuruluşlarını hedefleyen Shadowsilk tarafından monte edilen saldırıları ortaya çıkardı.
Süvari kurtadamının Tomiris ile olan bağları önemlidir, en azından Kazakistan’a bağlı bir tehdit oyuncusu olduğu hipotezine daha fazla güven verdiği için. Geçen yılın sonlarında bir raporda Microsoft, Tomiris Backdoor’u Storm-0473 olarak izleyen Kazakistan merkezli bir tehdit aktörüne bağladı.
Mayıs ve Ağustos 2025 arasında gözlemlenen en son kimlik avı saldırıları, Kırgızistan hükümet çalışanlarını Foalshell veya Stallionrat sunan RAR arşivlerini dağıtmak için taklit eden sahte e -posta adreslerini kullanarak e -posta mesajları göndermeyi içerir.
En az bir durumda, tehdit oyuncusunun Kırgız Cumhuriyeti’nin düzenleyici otoritesiyle ilişkili meşru bir e -posta adresinden ödünç verdiği söyleniyor. Foalshell, Go, C ++ ve C# sürümlerinde görünen hafif bir ters kabuktur ve operatörlerin cmd.exe kullanarak keyfi komutlar çalıştırmasına izin verir.
Stallionrat, Go, PowerShell ve Python’da yazıldığı için farklı değildir ve saldırganların bir telgraf botu kullanarak keyfi komutlar yürütmelerini, ek dosyalar yüklemesini ve toplanan verileri dışarı atmasını sağlar. BOT tarafından desteklenen bazı komutlar arasında –
- /Liste, komut ve kontrol (C2) sunucusuna bağlı uzlaşılmış ana bilgisayarların (cihaz ve bilgisayar adı) bir listesini almak için
- /Gitmek [DeviceID] [command]Invoke-ekspresyonu kullanarak verilen komutu yürütmek için
- /yüklemek [DeviceID]kurbanın cihazına bir dosya yüklemek için
Ayrıca, tehlikeye atılan ana bilgisayarlarda, Reversesocks5Agent ve Reversesocks5 gibi araçların yanı sıra cihaz bilgilerini toplamak için komutlar da verilmiştir.
Rus siber güvenlik satıcısı, İngilizce ve Arapça’da çeşitli dosya adlarını da ortaya çıkardığını ve süvari kurtadamının hedefleme odağının daha önce varsayılandan daha geniş olabileceğini düşündürdü.
Bi.zone, “Süvari kurtadam, cephaneliğini genişletmeyi aktif olarak deniyor.” Dedi. Diyerek şöyle devam etti: “Bu, küme tarafından kullanılan araçlara hızlı bir şekilde sahip olmanın önemini vurgulamaktadır; aksi takdirde, bu tür saldırıları önlemek ve tespit etmek için güncel önlemleri sürdürmek imkansızdır.”
Açıklama, şirketin, geçtiğimiz yıl boyunca hem finansal olarak motive edilen saldırganlar hem de hacktivistler tarafından telgraf kanalları veya yeraltı forumları üzerindeki yayınların analizinin, çoğu ticaret, finans, eğitim ve eğlence sektörlerini kapsayan en az 500 şirketin taviz verdiğini açıkladı.
“Vakaların% 86’sında saldırganlar, ödün verilen kamuoyu yüzlü web uygulamalarından çalınan veriler yayınladı.” “Kamu web uygulamasına eriştikten sonra, saldırganlar kalıcı erişim sağlamak için GS – Netcat’i tehlikeye atılmış sunucuya yüklediler. Bazen saldırganlar ek web kabukları yükleyeceklerdi. Ayrıca, veri tabanlarından veri çıkarmak için Adminer, PhpMiniadmin ve MySqlump gibi meşru araçlar kullandılar.”