Piratas informáticos vinculados a Kazajistán habrían estado dirigiendo sus ciberataques contra otros miembros de la Comunidad de Estados Independientes (CIS), una organización supranacional formada en 1991 y compuesta actualmente por nueve de las quince repúblicas de la antigua Unión Soviética.
La firma de ciberseguridad Talos Cisco ha llevado a cabo una exhaustiva investigación por la que ha llegado a dicha conclusión.
Durante meses ha estado siguiendo la pista a YoroTrooper, un grupo de piratas informáticos centrado en el espionaje y cuyo origen data de junio de 2022.
Los investigadores han podido comprobar cómo han usado la moneda kazaja, y cómo se comunican con fluidez en ruso y kazajo, lo que les ha hecho asociarles a dicho país. A ello se suma, que han realizado acciones defensivas para proteger el servicio de email estatal de Kazajstán.
El grupo también realiza análisis de seguridad para mail[.]kz, el servicio de correo electrónico estatal de Kazajstán, y monitorea la plataforma en busca de posibles vulnerabilidades de seguridad.
Azerbaiyanos de palo
No obstante, estos cibermalos han jugado al despiste, simulando que eran de otro país de la región. Cisco Talos ha revelado a TheRecord Media que han intentado disfrazar sus operaciones para aparentar que los ataques provenían de Azerbaiyán.
Así, se sirvieron de servicios VPN para que pareciera que los ataques provenían de dicho territorio. Además, usaron el uzbeko, otro idioma hablado ampliamente en Kazajstán.
"En términos de su modus operandi, sus tácticas y herramientas no son muy sofisticadas, sin embargo, YoroTrooper ha disfrutado de un éxito sustancial comprometiendo objetivos en los países de la CEI [Comunidad de Estados Independientes] durante los últimos dos años, debido a sus intentos agresivos. para atacar a sus víctimas", señala Asheer Malhotra, investigador de amenazas de Cisco Talos.
"Además, el actor de amenazas no muestra signos de desaceleración a pesar de la divulgación inicial de Cisco Talos que detalla las actividades de YoroTrooper a principios de este año”, añade.
Los actores de amenazas llegaron a comprometer varias webs estatales y cuentas de funcionarios estatales entre mayo y agosto de este año. Los incidentes involucraron a instituciones y empleados de organismos públicos en Azerbaiyán, Tayikistán, Kirguistán y Uzbekistán.
En sus ataques estos ciberdelincuentes, generalmente, usan emails de phishing e implementan malware personalizado para poder hacerse con datos y credenciales.