Säkerhetsforskare på Cisco Talos har kartlagt en serie cyberattacker från en tidigare okänd hotaktör som kallar sig YoroTrooper.
Bland gruppens mål finns myndigheter och organisationer i centralasiatiska länder, Turkiet och FN- ochEU-organisationer.
Enligt Cisco Talos har gruppen varit aktiv sedan juni 2022 och genomfört en mängd framgångsrika angrepp under de senaste nio månaderna.
Metodiken består av olika former av social ingenjörskonst och riktade nätfiskeattacker mot kartlagda individer och grupper (spearphishing). För att lura sina offer har man använt sig av en rad falska eller medvetet felstavade e-postdomäner för exempelvis regeringsdepartement och nyhetsorganisationer i de olika länderna. Genom att installera olika former av trojaner och övervakningsverktyg har man sedan tömt datorer på exempelvis inloggningsinformation, browserhistorik och cookies. Angreppsmetoden är att skicka ett arkiv som består av en PDF-fil som inte är smittad av malware, men också en infekterad falsk länkfil med .LNK-extension.
En icke namngiven EU-organisation inom hälsovård har utsatts för en framgångsrik attack. Även FN-organet WIPO, som hanterar globala frågor om immaterialrätt inom exempelvis upphovsrätt, patent och varumärken, har fått användaruppgifter stulna.
Bland de falska e-postdomänerna finns exempel som ska imitera EU-organisationer vilket kan tyda på att fler angreppsförsök genomförts mot EU-mål. Även en domän som imiterade Turkiets utrikesdepartement har hittats.
Cisco Talos pekar inte ut gruppen som kopplad till något specifikt land men konstaterar att de medverkande sannolikt är rysktalande. Man har också angripit mål baserade i Ryssland och Belarus. Rapportförfattarna ser också möjliga kopplingar till gruppen PoetRAT, som kartlades 2020 och också verkade i samma region, där målen framför allt fanns i republiken Azerbajdzjan. YoroTrooper har dock varit aktiva mot flera forna Sovjetrepubliker i Centralasien, däribland Uzbekistan, Turkmenistan, Tadzjikistan och Kirgizistan.