Um ator de ameaças anteriormente não documentado, conhecido como Silent Lynx, foi associado a ataques cibernéticos direcionados a diversas entidades no Quirguistão e no Turcomenistão.
"Esse grupo de ameaças já visou entidades ao redor da Europa Oriental e tanques de pensamento governamentais da Ásia Central envolvidos na tomada de decisões econômicas e no setor bancário", disse o pesquisador da Seqrite Labs, Subhajeet Singha, em um relatório técnico publicado no último mês.
Os alvos dos ataques do grupo de hackers incluem embaixadas, advogados, bancos apoiados pelo governo e tanques de pensamento.
A atividade foi atribuída a um ator de ameaças de origem do Cazaquistão com um nível médio de confiança.
As infecções começam com um email de spear-phishing contendo um anexo de arquivo RAR que, em última análise, atua como um veículo de entrega para payloads maliciosos responsáveis por conceder acesso remoto aos hosts comprometidos.
A primeira das duas campanhas, detectada pela empresa de cibersegurança em 27 de dezembro de 2024, aproveita o arquivo RAR para lançar um arquivo ISO que, por sua vez, inclui um binário malicioso em C++ e um arquivo PDF isca.
O executável subsequentemente procede para executar um script PowerShell que usa bots do Telegram (nomeados "@south_korea145_bot" e "@south_afr_angl_bot") para execução de comando e exfiltração de dados.
Alguns dos comandos executados via os bots incluem comandos curl para baixar e salvar payloads adicionais de um servidor remoto ("pweobmxdlboi[.]com") ou Google Drive.
A outra campanha, em contraste, emprega um arquivo RAR malicioso contendo dois arquivos: um PDF isca e um executável em Golang, este último projetado para estabelecer um shell reverso para um servidor controlado pelo atacante ("185.122.171[.]22:8082").
A Seqrite Labs disse que observou algum nível de sobreposições táticas entre o ator de ameaça e YoroTrooper (também conhecido como SturgeonPhisher), que foi vinculado a ataques direcionados aos países da Comunidade dos Estados Independentes (CEI) usando ferramentas PowerShell e Golang.
"As campanhas do Silent Lynx demonstram uma estratégia de ataque multietapa sofisticada usando arquivos ISO, loaders em C++, scripts PowerShell e implantes em Golang", disse Singha.
Sua dependência de bots do Telegram para comando e controle, combinada com documentos isca e direcionamento regional, também destaca seu foco em espionagem na Ásia Central e nações baseadas na SPECA.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...