Um ator de ameaças anteriormente não documentado, conhecido como Silent Lynx, foi associado a ataques cibernéticos direcionados a diversas entidades no Quirguistão e no Turcomenistão.
"Esse grupo de ameaças já visou entidades ao redor da Europa Oriental e tanques de pensamento governamentais da Ásia Central envolvidos na tomada de decisões econômicas e no setor bancário", disse o pesquisador da Seqrite Labs, Subhajeet Singha, em um relatório técnico publicado no último mês.
Os alvos dos ataques do grupo de hackers incluem embaixadas, advogados, bancos apoiados pelo governo e tanques de pensamento.
A atividade foi atribuída a um ator de ameaças de origem do Cazaquistão com um nível médio de confiança.
As infecções começam com um email de spear-phishing contendo um anexo de arquivo RAR que, em última análise, atua como um veículo de entrega para payloads maliciosos responsáveis por conceder acesso remoto aos hosts comprometidos.
A primeira das duas campanhas, detectada pela empresa de cibersegurança em 27 de dezembro de 2024, aproveita o arquivo RAR para lançar um arquivo ISO que, por sua vez, inclui um binário malicioso em C++ e um arquivo PDF isca.
O executável subsequentemente procede para executar um script PowerShell que usa bots do Telegram (nomeados "@south_korea145_bot" e "@south_afr_angl_bot") para execução de comando e exfiltração de dados.
Alguns dos comandos executados via os bots incluem comandos curl para baixar e salvar payloads adicionais de um servidor remoto ("pweobmxdlboi[.]com") ou Google Drive.
A outra campanha, em contraste, emprega um arquivo RAR malicioso contendo dois arquivos: um PDF isca e um executável em Golang, este último projetado para estabelecer um shell reverso para um servidor controlado pelo atacante ("185.122.171[.]22:8082").
A Seqrite Labs disse que observou algum nível de sobreposições táticas entre o ator de ameaça e YoroTrooper (também conhecido como SturgeonPhisher), que foi vinculado a ataques direcionados aos países da Comunidade dos Estados Independentes (CEI) usando ferramentas PowerShell e Golang.
"As campanhas do Silent Lynx demonstram uma estratégia de ataque multietapa sofisticada usando arquivos ISO, loaders em C++, scripts PowerShell e implantes em Golang", disse Singha.
Sua dependência de bots do Telegram para comando e controle, combinada com documentos isca e direcionamento regional, também destaca seu foco em espionagem na Ásia Central e nações baseadas na SPECA.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...