Группа хакеров под названием Cavalry Werewolf провела кампанию кибершпионажа против российских государственных учреждений и промышленных предприятий, используя фишинговые письма, замаскированные под официальную переписку правительства Кыргызстана, сообщили исследователи.
С мая по август 2025 года группа — также известная под названиями YoroTrooper и Silent Lynx — нацелилась на российский госсектор, а также на компании в сфере энергетики, добычи полезных ископаемых и производства, говорится в отчёте турецкой компании по кибербезопасности Picus Security, опубликованном на этой неделе.
Злоумышленники рассылали фишинговые письма, которые выглядели как сообщения от киргизских министерств, включая Министерство экономики и коммерции и Министерство транспорта и коммуникаций, иногда используя взломанные официальные почтовые аккаунты. В письмах содержались вредоносные RAR-файлы, которые устанавливали специализированные программы — FoalShell и StallionRAT.
После установки FoalShell предоставляла хакерам удалённый доступ к заражённым компьютерам, а StallionRAT использовала мессенджер Telegram как канал управления и связи, что позволяло злоумышленникам выполнять команды, похищать файлы и выводить данные.
Письма имели правдоподобные названия вложений, такие как «итоги совместной работы за три месяца» или «список сотрудников, рекомендованных к премированию», чтобы обманом заставить получателей открыть файлы.
Хотя последняя волна атак была направлена в основном против России, исследователи отмечают, что группа, вероятно, расширяет сферу своей деятельности. Так, найденный на одном из заражённых устройств файл на таджикском языке указывает на возможный интерес к Таджикистану, а файлы с арабскими названиями — на разведку в странах Ближнего Востока.
Активные с июня 2022 года, хакеры ранее атаковали агентство здравоохранения Европейского союза, Всемирную организацию интеллектуальной собственности (WIPO) и несколько посольств в Туркменистане и Азербайджане, по данным Cisco Talos.
Российская компания по кибербезопасности Bi.Zone также сообщала в начале этого года, что YoroTrooper проводила фишинговые атаки на российские учреждения, используя приманки, связанные с киргизским правительством. Исследователи отмечали, что география атак группы «достаточно широка» и не ограничивается Россией или другими странами СНГ.
- Источник: https://therecord.media/hackers-pose-kyrgyz-officials-russia-cyber-espionage
С мая по август 2025 года группа — также известная под названиями YoroTrooper и Silent Lynx — нацелилась на российский госсектор, а также на компании в сфере энергетики, добычи полезных ископаемых и производства, говорится в отчёте турецкой компании по кибербезопасности Picus Security, опубликованном на этой неделе.
Злоумышленники рассылали фишинговые письма, которые выглядели как сообщения от киргизских министерств, включая Министерство экономики и коммерции и Министерство транспорта и коммуникаций, иногда используя взломанные официальные почтовые аккаунты. В письмах содержались вредоносные RAR-файлы, которые устанавливали специализированные программы — FoalShell и StallionRAT.
После установки FoalShell предоставляла хакерам удалённый доступ к заражённым компьютерам, а StallionRAT использовала мессенджер Telegram как канал управления и связи, что позволяло злоумышленникам выполнять команды, похищать файлы и выводить данные.
Письма имели правдоподобные названия вложений, такие как «итоги совместной работы за три месяца» или «список сотрудников, рекомендованных к премированию», чтобы обманом заставить получателей открыть файлы.
Хотя последняя волна атак была направлена в основном против России, исследователи отмечают, что группа, вероятно, расширяет сферу своей деятельности. Так, найденный на одном из заражённых устройств файл на таджикском языке указывает на возможный интерес к Таджикистану, а файлы с арабскими названиями — на разведку в странах Ближнего Востока.
Подозрения на казахстанский след
Компания Picus не связала группу ни с одним государством, однако ранее исследователи Cisco Talos предположили, что Cavalry Werewolf базируется в Казахстане, ссылаясь на использование казахстанской валюты, владение казахским и русским языками, а также региональную направленность атак.Активные с июня 2022 года, хакеры ранее атаковали агентство здравоохранения Европейского союза, Всемирную организацию интеллектуальной собственности (WIPO) и несколько посольств в Туркменистане и Азербайджане, по данным Cisco Talos.
Российская компания по кибербезопасности Bi.Zone также сообщала в начале этого года, что YoroTrooper проводила фишинговые атаки на российские учреждения, используя приманки, связанные с киргизским правительством. Исследователи отмечали, что география атак группы «достаточно широка» и не ограничивается Россией или другими странами СНГ.
- Источник: https://therecord.media/hackers-pose-kyrgyz-officials-russia-cyber-espionage