Um grupo de ameaças, que apresenta semelhanças com o coletivo hacker conhecido como YoroTrooper, tem sido observado realizando ataques ao setor público da Rússia utilizando malwares como FoalShell e StallionRAT.
A empresa de segurança cibernética BI-ZONE acompanha essa atividade sob o codinome Cavalry Werewolf.
A equipe também identificou conexões com outros clusters rastreados como SturgeonPhisher, Silent Lynx, Comrade Saiga, ShadowSilk e Tomiris.
De acordo com a BI-ZONE, os invasores conseguiram acesso inicial enviando emails de phishing altamente direcionados, mascarados como comunicações oficiais de autoridades do governo do Quirguistão.
Os principais alvos dessas operações foram agências estatais russas, além de empresas dos setores de energia, mineração e manufatura.
Em agosto de 2025, a Group-IB revelou que o grupo ShadowSilk conduzia ataques contra entidades governamentais na Ásia Central e na região Ásia-Pacífico (APAC), utilizando ferramentas de proxy reverso e trojans de acesso remoto desenvolvidos em Python, posteriormente convertidos para PowerShell.
As conexões de Cavalry Werewolf com o cluster Tomiris são particularmente relevantes, pois reforçam a hipótese de que o grupo teria origem no Cazaquistão.
Em relatório divulgado no final do ano passado, a Microsoft atribuiu a backdoor Tomiris a um ator de ameaça baseado no Cazaquistão, identificado como Storm-0473.
Os ataques recentes de phishing, observados entre maio e agosto de 2025, envolvem o envio de mensagens por email a partir de endereços falsos, que se passam por funcionários governamentais do Quirguistão, com anexos em formato RAR contendo o malware FoalShell ou StallionRAT.
Em pelo menos um caso, os criminosos comprometeram um endereço legítimo pertencente à autoridade reguladora da República do Quirguistão para distribuir esses ataques.
O FoalShell é um reverse shell leve, disponível em versões desenvolvidas em Go, C++ e C#, que permite aos operadores executarem comandos arbitrários via cmd.exe.
Já o StallionRAT, escrito em Go, PowerShell e Python, oferece funções similares, possibilitando execução de comandos, carregamento de arquivos adicionais e exfiltração de dados coletados por meio de um bot no Telegram.
Entre os comandos disponíveis no bot do StallionRAT estão:
- /list: recupera a lista de hosts comprometidos (com DeviceID e nome do computador) conectados ao servidor de comando e controle (C2)
- /go [DeviceID] [comando]: executa o comando especificado utilizando Invoke-Expression
- /upload [DeviceID]: faz upload de um arquivo para o dispositivo da vítima
Nas máquinas invadidas, também são executadas ferramentas como ReverseSocks5Agent e ReverseSocks5, além de comandos para coleta de informações do dispositivo.
A análise da BI-ZONE mostrou ainda a presença de diversos nomes de arquivos em inglês e árabe, o que sugere que a atuação do grupo Cavalry Werewolf pode ter um alvo mais abrangente do que se imaginava inicialmente.
“O Cavalry Werewolf está constantemente testando novas ferramentas em seu arsenal,” afirma a BI-ZONE.
“Isso reforça a importância de obter informações rápidas sobre as ferramentas utilizadas por esses clusters, pois sem isso é praticamente impossível adotar medidas atualizadas para prevenir e detectar esses ataques.”
A divulgação dessa atividade ocorre paralelamente a um levantamento feito pela empresa, que analisou publicações em canais do Telegram e fóruns underground feitas por atacantes motivados financeiramente e hacktivistas ao longo do último ano.
Esse monitoramento identificou o comprometimento de pelo menos 500 empresas na Rússia, abrangendo setores como comércio, finanças, educação e entretenimento.
Em 86% dos casos analisados, os invasores publicaram dados roubados de aplicações web expostas ao público.
Depois de obter acesso a essas aplicações, os atacantes instalavam o gs-netcat nos servidores comprometidos para garantir acesso persistente.
Em alguns casos, adicionavam web shells adicionais e usavam ferramentas legítimas, como Adminer, phpMiniAdmin e mysqldump, para extrair dados diretamente dos bancos de dados.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...