Cisco Talos, organizzazione di intelligence dedicata alla cybersecurity, ha identificato una serie di campagne di spionaggio attive da giugno 2022 denominate YoroTrooper.
Obiettivi principali di YoroTrooper – sottolineano gli esperti di Cisco Talos – sono le organizzazioni governative oppure le organizzazioni del settore energetico in Azerbaigian, Tagikistan, Kirghizistan e altri Stati del CSI (Commonwealth of Independent States).
YoroTrooper ha compromesso anche gli account di almeno due realtà internazionali: un’importante organizzazione sanitaria dell’Unione Europea e l’Organizzazione Mondiale della Proprietà Intellettuale (OMPI).
L’attacco ha inoltre preso di mira alcune ambasciate in Azerbaigian e in Turkmenistan, secondo quanto riportano i ricercatori di cybersecurity. Cisco Talos ritiene molto probabile che i criminali informatici stiano portando attacchi anche ad altre organizzazioni in tutta Europa e alle agenzie governative turche.
Le informazioni rubate includono le credenziali di diverse applicazioni, informazioni di sistema, cronologia e cookie del browser. Per l’accesso remoto, YoroTrooper utilizza malware di tipo commodity, file di collegamento dannosi, email phishing, domini dannosi e documenti esca che mirano a esfiltrare documenti e informazioni da utilizzare in operazioni future.
Talos ritiene che i criminali che utilizzano YoroTrooper siano di lingua russa, ma non necessariamente residenti in Russia, poiché la maggior parte delle vittime risiede all’interno degli stati della Comunità di Stati Indipendenti (CSI).
L’IOC (Indicatore di Compromissione) di questa ricerca può essere visualizzata nel repository Github, mentre l’analisi completa è disponibile sul blog di Cisco Talos.