Un actor de amenaza previamente indocumentado conocido como Lynx silencioso se ha relacionado con ataques cibernéticos dirigidos a varias entidades en Kirguistán y Turkmenistán.
«Este grupo de amenazas ha atacado previamente a entidades alrededor de Europa del Este y los grupos de expertos del gobierno de Asia Central involucrados en la toma de decisiones económicas y el sector bancario», dijo el investigador de Seqrite Labs Subhajeet Singha en un informe técnico publicado a fines del mes pasado.
Los objetivos de los ataques del grupo de piratería incluyen embajadas, abogados, bancos respaldados por el gobierno y think tanks. La actividad se ha atribuido a un actor de amenaza de origen de Kazajstán con un nivel medio de confianza.
Las infecciones comienzan con un correo electrónico de phishing de lanza que contiene un archivo adjunto de archivo RAR que finalmente actúa como un vehículo de entrega para cargas útiles maliciosas responsables de otorgar acceso remoto a los hosts comprometidos.
La primera de las dos campañas, detectadas por la compañía de seguridad cibernética el 27 de diciembre de 2024, aprovecha el archivo RAR para lanzar un archivo ISO que, a su vez, incluye un binario C ++ malicioso y un archivo PDF de señuelo. Posteriormente, el ejecutable procede a ejecutar un script PowerShell que usa bots de telegrama (llamado «@South_korea145_Bot» y «@South_AFR_ANGL_BOT») para la ejecución de comandos y la exfiltración de datos.
Algunos de los comandos ejecutados a través de los bots incluyen comandos CURL para descargar y guardar cargas útiles adicionales de un servidor remoto («Pweobmxdlboi (.) Com») o Google Drive.
La otra campaña, en contraste, emplea un archivo de rar malicioso que contiene dos archivos: un PDF señuelo y un ejecutable de Golang, el último de los cuales está diseñado para establecer un shell inverso en un servidor controlado por el atacante («185.122.171 (.) 22 : 8082 «).
Seqrite Labs dijo que observó cierto nivel de superposiciones tácticas entre el actor de amenaza y el Yorotrooper (también conocido como Sturgeonphisher), que se ha relacionado con los ataques dirigidos a la comunidad de los países independientes (IC) utilizando herramientas PowerShell y Golang.
«Las campañas de Silent Lynx demuestran una sofisticada estrategia de ataque de varias etapas utilizando archivos ISO, cargadores C ++, guiones PowerShell e implantes de Golang», dijo Singha.
«Su dependencia de los bots de telegrama para el comando y el control, combinados con documentos de señuelo y orientación regional que también destaca su enfoque en el espionaje en Asia Central y las naciones basadas en SPECA».