استهدفت جهة تهديد غير موثقة سابقًا يطلق عليها اسم YoroTrooper المنظمات الحكومية والطاقة والمنظمات الدولية في جميع أنحاء أوروبا كجزء من حملة تجسس إلكتروني كانت نشطة منذ يونيو 2022 على الأقل.
قال باحثا سيسكو تالوس آشير مالهوترا وفيتور فينتورا في تحليل يوم الثلاثاء: "المعلومات المسروقة من التسويات الناجحة تشمل أوراق اعتماد من تطبيقات متعددة ، وتاريخ المتصفح وملفات تعريف الارتباط ، ومعلومات النظام ولقطات الشاشة".
وتشمل الدول البارزة المستهدفة أذربيجان وطاجيكستان وقيرغيزستان وتركمانستان ودول رابطة الدول المستقلة الأخرى.
يُعتقد أن ممثل التهديد يتحدث الروسية بسبب أنماط الضحية ووجود مقتطفات سيريلية في بعض الغرسات.
ومع ذلك ، تم العثور على مجموعة التطفل YoroTrooper لإظهار تداخلات تكتيكية مع فريق PoetRAT الذي تم توثيقه في عام 2020 على أنه يستفيد من الطعوم التي تحمل موضوع فيروس كورونا لضرب الحكومة وقطاعات الطاقة في أذربيجان.
تتحقق أهداف YoroTrooper لجمع البيانات من خلال مجموعة من البرامج الضارة المخترقة للسلع والمصدر المفتوح ، مثل Ave Maria (المعروف أيضًا باسم Warzone RAT) ، و LodaRAT ، و Meterpreter ، و Stink ، باستخدام سلاسل العدوى باستخدام ملفات الاختصارات الضارة (LNKs) والمستندات الخادعة الملفوفة في ZIP أو أرشيفات RAR التي يتم نشرها عبر التصيد بالرمح.
تعمل ملفات LNK كبرامج تنزيل بسيطة لتنفيذ ملف HTA تم استرداده من خادم بعيد ، والذي يتم استخدامه بعد ذلك لعرض مستند PDF إغراء ، أثناء تشغيل قطارة خلسة لتقديم أداة سرقة مخصصة تستخدم Telegram كقناة تسلل.
يعد استخدام LodaRAT ملحوظًا لأنه يشير إلى أن البرامج الضارة يتم توظيفها من قبل العديد من المشغلين على الرغم من إسنادها إلى مجموعة أخرى تسمى Kasablanka ، والتي تمت ملاحظتها أيضًا وهي توزع Ave Maria في الحملات الأخيرة التي تستهدف روسيا.
تتكون الأدوات المساعدة الأخرى التي تنشرها YoroTrooper من قذائف عكسية و keylogger مخصص على أساس C قادر على تسجيل ضغطات المفاتيح وحفظها في ملف على القرص.
وقال الباحثون: "من الجدير بالذكر أنه بينما بدأت هذه الحملة بتوزيع البرامج الضارة للسلع مثل Ave Maria و LodaRAT ، فقد تطورت بشكل كبير لتشمل البرامج الضارة المستندة إلى Python".
"يسلط هذا الضوء على زيادة الجهود التي يبذلها ممثل التهديد ، والتي من المحتمل أن تكون ناتجة عن الانتهاكات الناجحة خلال مسار الحملة".