Un gruppo di attacco del Kazakistan, noto per inviare messaggi di phishing, sta operando sotto le sembianze di un’entità azera.
YoroTrooper e le sue operazioni
YoroTrooper è stato rilevato per la prima volta nel giugno 2022 e spesso prende di mira ex repubbliche sovietiche, tra cui Russia, Armenia, Bielorussia e Moldavia, oltre all’Azerbaigian, e si rivolge tipicamente a entità governative. Tuttavia, considerando le preferenze linguistiche di YoroTrooper, l’uso della valuta kazaka e la limitata presa di mira delle entità kazake, i ricercatori di Cisco Talos hanno concluso che il gruppo proviene dal Kazakistan.
Mascheramento e tattiche di YoroTrooper
I ricercatori hanno anche determinato “con alta fiducia” che YoroTrooper ha fatto numerosi sforzi per mascherare la sua origine ospitando la maggior parte della loro infrastruttura in Azerbaigian, pur prendendo di mira istituzioni in quel paese. La maggior parte delle operazioni di YoroTrooper viene instradata tramite l’Azerbaigian, sebbene gli aggressori non sembrino parlare la lingua azera.
Indizi sulla vera origine di YoroTrooper
“La nostra principale osservazione che indica che l’attore è di origine kazaka è che parlano kazako e russo, entrambe lingue ufficiali del Kazakistan”, hanno affermato i ricercatori. “YoroTrooper visita frequentemente siti web scritti in kazako e ha utilizzato il russo nei messaggi di debug e di registrazione nei loro Python Remote Access Trojans personalizzati.”