Se ha observado que un actor de amenaza que se sabe que comparte superposiciones con un peña de piratería llamado Yorotrooper se dirige al sector manifiesto ruso con familias de malware como Potreno y Stallionrat.
El proveedor de ciberseguridad Bi.zone está rastreando la actividad bajo el apodo Lobo de caballería. Asimismo se evalúa tener puntos en global con los grupos rastreados como Sturgeonphisher, Lynx silencioso, camarada Saiga, Shadowsilk y Tomiris.
«Para obtener comunicación auténtico, los atacantes enviaron correos electrónicos de phishing específicos que los disfrazaban como correspondencia oficial de funcionarios del gobierno de Kirguistán», dijo Bi.Zone. «Los principales objetivos de los ataques eran las agencias estatales rusas, así como las empresas de energía, minería y fabricación».
En agosto de 2025, el Peña IP reveló ataques montados por las sombreadas dirigidas a entidades gubernamentales en Asia Central y Asia-Pacífico (APAC), utilizando herramientas de proxy inversa y troyanos de comunicación remoto escritos en Python y seguidamente portado a PowerShell.
Los lazos de hombres lobo de caballería con Tomiris son significativos, sobre todo porque le da crédito a una hipótesis de que es un actor de amenaza afiliado a Kazajstán. En un referencia a fines del año pasado, Microsoft atribuyó la puerta trasera de Tomiris a un actor de amenaza con sede en Kazajstán rastreado como Storm-0473.
Los últimos ataques de phishing, observados entre mayo y agosto de 2025, implican el expedición de mensajes de correo electrónico utilizando direcciones de correo electrónico falsas que se hacen tener lugar por los empleados del gobierno de Kirguistán para distribuir archivos de RAR que entregan potro o sementales.
En al menos un caso, se dice que el actor de amenaza ha comprometido una dirección de correo electrónico legítima asociada con la autoridad regulatoria de la República Kirguistán para destinar los mensajes. Foalshell es una carcasa inversa liviana que aparece en las versiones GO, C ++ y C#, lo que permite a los operadores ejecutar comandos arbitrarios usando cmd.exe.
Stallionrat no es diferente porque está escrito en GO, PowerShell y Python, y permite a los atacantes ejecutar comandos arbitrarios, cargar archivos adicionales y exfiltrate datos recopilados usando un bot de telegrama. Algunos de los comandos compatibles con el bot incluyen –
- /Repertorio, para acoger una relación de hosts comprometidos (nombres de dispositivos y nombre de computadora) conectados al servidor de comando y control (C2)
- /GO (DeviceId) (comando), para ejecutar el comando hexaedro usando Invoke-Expression
- /upload (dispositivo), para cargar un archivo en el dispositivo de la víctima
Asimismo se ejecutan en los hosts comprometidos como herramientas como ReversesOcks5Agent y Reversesocks5, así como comandos para resumir información del dispositivo.
El proveedor de ciberseguridad ruso dijo que todavía descubrió varios nombres de archivo en inglés y árabe, lo que sugiere que el enfoque de orientación de la caballería puede ser de inteligencia más amplio de lo que se suponía anteriormente.
«El hombre de querella de la caballería está experimentando activamente con la expansión de su cantera», dijo Bi.Zone. «Esto resalta la importancia de tener información rápida sobre las herramientas utilizadas por el clúster; de lo contrario, sería increíble sustentar medidas actualizadas para organizar y detectar tales ataques».
La divulgación se produce cuando la compañía reveló que un descomposición de publicaciones en canales de telegrama o foros subterráneos por parte de atacantes y hacktivistas de motivación financiera durante el año pasado ha identificado compromisos de al menos 500 empresas en Rusia, la mayoría de los cuales abarcaron los sectores de comercio, finanzas, educación y entretenimiento.
«En el 86% de los casos, los atacantes publicaron datos robados de aplicaciones web comprometidas con orientación pública», señaló. «Luego de obtener comunicación a la aplicación web pública, los atacantes instalaron GS -NETCAT en el servidor comprometido para certificar un comunicación persistente. A veces, los atacantes cargaban conchas web adicionales. Asimismo usaban herramientas legítimas como Adminer, PHPminiadmin y MySQLDUMP para extraer datos de dataabasas».
