Recientemente un nuevo ataque de espionaje ha sido descubierto, este tiene como objetivo empresas gubernamentales y energéticas europeas e internacionales. Aparentemente la campaña está desde hace nueve meses, se estima que los actores maliciosos iniciaron el espionaje durante el mes de junio del año pasado. “La información robada incluye credenciales de múltiples aplicaciones, historial de navegación y cookies, información de sistemas y capturas de pantallas”. Así lo aseguraron Asheer Malhotra y Victor Ventura, investigadores de Cisco Talos. El ataque tiene como objetivo países como Azerbaijan, Tajikistan, Kyrgyzstan, Turkmenistan y otras naciones de la Comunidad de Estados Independientes. Por su parte los investigadores creen que el autor de amenaza podría ser de origen ruso, debido a los patrones victimológicos y la presencia de fragmentos cirílicos en algunos implantes. Dicho esto, se ha descubierto que el conjunto de intrusiones de YoroTrooper presenta solapamientos tácticos con el equipo PoetRAT que, según se documentó en 2020, utilizaba cebos con temática de coronavirus para atacar los sectores gubernamental y energético de Azerbaiyán. Los objetivos de recopilación de datos de YoroTrooper se llevan a cabo mediante una combinación de malware robado de código abierto y básico como Ave Maria (también conocido como Warzone RAT), LodaRAT, Meterpreter y Stink, con cadenas de infección que utilizan archivos de acceso directo maliciosos (LNK) y documentos señuelo envueltos en archivos ZIP o RAR que se propagan a través de spear-phishing. Los archivos LNK funcionan como simples descargadores para ejecutar un archivo HTA recuperado de un servidor remoto, que luego se utiliza para mostrar un documento PDF señuelo, al tiempo que lanza sigilosamente un “dropper” para realizar un robo personalizado que utiliza Telegram como canal de exfiltración. El uso de LodaRAT es notable, ya que indica que el malware está siendo empleado por múltiples operadores a pesar de su atribución a otro grupo llamado Kasablanka, que también ha sido observado distribuyendo Ave María (virus informático especializado en el robo de información personal) en campañas recientes dirigidas a Rusia. Otras herramientas auxiliares desplegadas por YoroTrooper consisten en shells inversos y un “keylogger” personalizado basado en C capaz de registrar las pulsaciones de teclado y guardarlas en un archivo en el disco. "Vale la pena señalar que, si bien esta campaña comenzó con la distribución de malware básico como Ave Maria y LodaRAT, ha evolucionado significativamente para incluir malware basado en Python" , dijeron los investigadores. "Esto pone de relieve un aumento en los esfuerzos que el actor de la amenaza está poniendo, probablemente derivado de brechas exitosas durante el curso de la campaña".