Se ha observado que un actor de amenaza que se sabe que comparte superposiciones con un familia de piratería llamado Yorotrooper se dirige al sector divulgado ruso con familias de malware como Potreno y Stallionrat.
El proveedor de ciberseguridad Bi.zone está rastreando la actividad bajo el apodo Lobo de caballería. Asimismo se evalúa tener puntos en popular con los grupos rastreados como Sturgeonphisher, Lynx silencioso, camarada Saiga, Shadowsilk y Tomiris.
“Para obtener camino original, los atacantes enviaron correos electrónicos de phishing específicos que los disfrazaban como correspondencia oficial de funcionarios del gobierno de Kirguistán”, dijo Bi.Zone. “Los principales objetivos de los ataques eran las agencias estatales rusas, así como las empresas de energía, minería y fabricación”.
En agosto de 2025, el Clase IP reveló ataques montados por las sombreadas dirigidas a entidades gubernamentales en Asia Central y Asia-Pacífico (APAC), utilizando herramientas de proxy inversa y troyanos de camino remoto escritos en Python y luego portado a PowerShell.
Los lazos de hombres lobo de caballería con Tomiris son significativos, sobre todo porque le da crédito a una hipótesis de que es un actor de amenaza afiliado a Kazajstán. En un noticia a fines del año pasado, Microsoft atribuyó la puerta trasera de Tomiris a un actor de amenaza con sede en Kazajstán rastreado como Storm-0473.
Los últimos ataques de phishing, observados entre mayo y agosto de 2025, implican el giro de mensajes de correo electrónico utilizando direcciones de correo electrónico falsas que se hacen producirse por los empleados del gobierno de Kirguistán para distribuir archivos de RAR que entregan potro o sementales.
En al menos un caso, se dice que el actor de amenaza ha comprometido una dirección de correo electrónico legítima asociada con la autoridad regulatoria de la República Kirguistán para remitir los mensajes. Foalshell es una carcasa inversa liviana que aparece en las versiones GO, C ++ y C#, lo que permite a los operadores ejecutar comandos arbitrarios usando cmd.exe.
Stallionrat no es diferente porque está escrito en GO, PowerShell y Python, y permite a los atacantes ejecutar comandos arbitrarios, cargar archivos adicionales y exfiltrate datos recopilados usando un bot de telegrama. Algunos de los comandos compatibles con el bot incluyen –
- /Cinta, para tomar una índice de hosts comprometidos (nombres de dispositivos y nombre de computadora) conectados al servidor de comando y control (C2)
- /GO (DeviceId) (comando), para ejecutar el comando legado usando Invoke-Expression
- /upload (dispositivo), para cargar un archivo en el dispositivo de la víctima
Asimismo se ejecutan en los hosts comprometidos como herramientas como ReversesOcks5Agent y Reversesocks5, así como comandos para compendiar información del dispositivo.
El proveedor de ciberseguridad ruso dijo que asimismo descubrió varios nombres de archivo en inglés y árabe, lo que sugiere que el enfoque de orientación de la caballería puede ser de capacidad más amplio de lo que se suponía anteriormente.
“El hombre de desavenencia de la caballería está experimentando activamente con la expansión de su astillero”, dijo Bi.Zone. “Esto resalta la importancia de tener información rápida sobre las herramientas utilizadas por el clúster; de lo contrario, sería irrealizable amparar medidas actualizadas para predisponer y detectar tales ataques”.
La divulgación se produce cuando la compañía reveló que un exploración de publicaciones en canales de telegrama o foros subterráneos por parte de atacantes y hacktivistas de motivación financiera durante el año pasado ha identificado compromisos de al menos 500 empresas en Rusia, la mayoría de los cuales abarcaron los sectores de comercio, finanzas, educación y entretenimiento.
“En el 86% de los casos, los atacantes publicaron datos robados de aplicaciones web comprometidas con orientación pública”, señaló. “A posteriori de obtener camino a la aplicación web pública, los atacantes instalaron GS -NETCAT en el servidor comprometido para asegurar un camino persistente. A veces, los atacantes cargaban conchas web adicionales. Asimismo usaban herramientas legítimas como Adminer, PHPminiadmin y MySQLDUMP para extraer datos de dataabasas”.
