Tra i ricercatori e gli esperti di sicurezza informatica si sta facendo notare un gruppo di cybercriminali, noto come YoroTrooper, costituito da hacker di probabile origine kazaka.
Il collettivo, individuato per la prima volta e catalogato da Cisco Talos, sembra avere una conoscenza fluente di lingue come il kazako e il russo, oltre ad utilizzare Tenge per pagare gli strumenti utilizzati durante le campagne.
Per i ricercatori di sicurezza Asheer Malhotra e Vitor Ventura “YoroTrooper tenta di offuscare l’origine delle proprie operazioni, impiegando varie tattiche per far sembrare che le sue attività dannose provengano dall’Azerbaigian, come l’utilizzo di nodi di uscita VPN locali in quella regione“.
I membri di YoroTrooper operano principalmente nell’ex Unione Sovietica
Documentato per la prima volta dalla già citata società di sicurezza informatica nel marzo 2023, è noto che il gruppo è attivo almeno da giugno 2022, con attività che hanno preso di mira diverse entità statali nei paesi della Comunità degli Stati Indipendenti (CSI). I cicli di attacco attuati da YoroTrooper si basano principalmente sullo spear-phishing per distribuire un mix di malware stealer e altri agenti malevoli.
Secondo i ricercatori “La pratica della raccolta delle credenziali è complementare alle operazioni basate su malware di YoroTrooper con l’obiettivo finale che è il furto di dati“. A rendere ancora più temibile il gruppo è la sua natura camaleontica, caratterizzata da un continuo rinnovamento del suo arsenale, passando dai malware commerciali a strumenti personalizzati programmati in Python, PowerShell, Golang e Rust.
Grazie alla ricerca è stato possibile notare come YoroTrooper utilizzi criptovalute, come Bitcoin, per pagare la manutenzione della sua infrastruttura. Sebbene le attività del collettivo siano al momento concentrati su una specifica area geografica, vista la sua evoluzione, non è detto che presto le sue azioni possano palesarsi anche in occidente.
Vista la natura elusiva del gruppo, gli esperti di cybersicurezza continuano a monitorare l’operato di questi hacker con una certa preoccupazione.