Un actor de amenaza previamente indocumentado conocido como Lynx silencioso se ha relacionado con ataques cibernéticos dirigidos a varias entidades en Kirguistán y Turkmenistán.
“Este corro de amenazas ha atacado previamente a entidades cerca de de Europa del Este y los grupos de expertos del gobierno de Asia Central involucrados en la toma de decisiones económicas y el sector bancario”, dijo el investigador de Seqrite Labs Subhajeet Singha en un mensaje técnico publicado a fines del mes pasado.
Los objetivos de los ataques del corro de piratería incluyen embajadas, abogados, bancos respaldados por el gobierno y think tanks. La actividad se ha atribuido a un actor de amenaza de origen de Kazajstán con un nivel medio de confianza.
Las infecciones comienzan con un correo electrónico de phishing de rejón que contiene un archivo adjunto de archivo RAR que finalmente actúa como un transporte de entrega para cargas efectos maliciosas responsables de otorgar entrada remoto a los hosts comprometidos.
La primera de las dos campañas, detectadas por la compañía de seguridad cibernética el 27 de diciembre de 2024, aprovecha el archivo RAR para propalar un archivo ISO que, a su vez, incluye un binario C ++ desconfiado y un archivo PDF de señuelo. Luego, el ejecutable procede a ejecutar un script PowerShell que usa bots de telegrama (llamado “@South_korea145_Bot” y “@South_AFR_ANGL_BOT”) para la ejecución de comandos y la exfiltración de datos.
Algunos de los comandos ejecutados a través de los bots incluyen comandos CURL para descargar y acatar cargas efectos adicionales de un servidor remoto (“Pweobmxdlboi (.) Com”) o Google Drive.
La otra campaña, en contraste, emplea un archivo de rar desconfiado que contiene dos archivos: un PDF señuelo y un ejecutable de Golang, el final de los cuales está diseñado para establecer un shell inverso en un servidor controlado por el atacante (“185.122.171 (.) 22 : 8082 “).
Seqrite Labs dijo que observó cierto nivel de superposiciones tácticas entre el actor de amenaza y el Yorotrooper (igualmente conocido como Sturgeonphisher), que se ha relacionado con los ataques dirigidos a la comunidad de los países independientes (IC) utilizando herramientas PowerShell y Golang.
“Las campañas de Silent Lynx demuestran una sofisticada organización de ataque de varias etapas utilizando archivos ISO, cargadores C ++, guiones PowerShell e implantes de Golang”, dijo Singha.
“Su dependencia de los bots de telegrama para el comando y el control, combinados con documentos de señuelo y orientación regional que igualmente destaca su enfoque en el espionaje en Asia Central y las naciones basadas en SPECA”.
