Aktor ancaman baru bernama ‘YoroTrooper’ telah menjalankan kampanye spionase dunia maya setidaknya sejak Juni 2022, menargetkan organisasi pemerintah dan energi di negara-negara Commonwealth of Independent States (CIS).
Menurut Cisco Talos, aktor ancaman telah mengkompromikan akun dari agen penting Uni Eropa yang terlibat dalam perawatan kesehatan, Organisasi Kekayaan Intelektual Dunia (WIPO), dan berbagai kedutaan Eropa.
Alat YoroTrooper mencakup kombinasi pencuri informasi komoditas dan khusus, trojan akses jarak jauh, dan malware berbasis Python. Infeksi terjadi melalui email phishing yang berisi lampiran LNK berbahaya dan dokumen PDF pemikat.
Cisco Talos melaporkan memiliki bukti YoroTrooper mengekstrak data dalam jumlah besar dari titik akhir yang terinfeksi, termasuk kredensial akun, cookie, dan riwayat penelusuran.
Sementara YoroTrooper menggunakan malware yang terkait dengan pelaku ancaman lain, seperti PoetRAT dan LodaRAT, analis Cisco memiliki indikasi yang cukup untuk meyakini bahwa ini adalah kelompok aktivitas baru.
Menargetkan negara-negara CIS
Pada musim panas 2022, YoroTrooper menargetkan entitas Belarusia menggunakan file PDF rusak yang dikirim dari domain email yang menyamar sebagai entitas Belarusia atau Rusia.
Pada September 2022, grup tersebut mendaftarkan beberapa domain pengetikan yang meniru entitas pemerintah Rusia dan bereksperimen dengan distribusi implan berbasis NET berbasis VHDX.
Pada bulan-bulan berikutnya hingga akhir tahun, mata-mata dunia maya mengalihkan fokus mereka ke Belarus dan Azerbaijan, menggunakan implan berbasis Python khusus bernama ‘Stink Stealer.’
Pada tahun 2023, pelaku ancaman menggunakan HTA untuk mengunduh dokumen umpan dan implan dropper pada sistem target, mengerahkan pencuri Python khusus untuk melawan pemerintah Tajikistan dan Uzbekistan.
Dalam serangan terbaru, lampiran RAR atau ZIP berbahaya dalam email phishing menggunakan umpan yang berkaitan dengan strategi dan diplomasi nasional.
File LNK menggunakan “mshta.exe” untuk mengunduh dan mengeksekusi file HTA jarak jauh pada sistem yang dikompromikan, yang mengunduh file yang dapat dieksekusi berbahaya yang menjatuhkan muatan utama. Pada saat yang sama, dokumen umpan dibuka secara otomatis untuk mencegah kecurigaan.
Membuat malware khusus
YoroTrooper sebelumnya terlihat menggunakan malware komoditas seperti AveMaria (Warzone RAT) dan LodaRAT, tetapi dalam serangan selanjutnya, pelaku ancaman beralih menggunakan RAT Python khusus yang dibungkus dengan Nuitka.
Nuitka membantu mendistribusikan muatan sebagai aplikasi mandiri tanpa perlu menginstal Python di perangkat.
RAT khusus menggunakan Telegram untuk perintah dan kontrol komunikasi server dan eksfiltrasi data dan mendukung menjalankan perintah sewenang-wenang pada perangkat yang terinfeksi.
Pada Januari 2023, YoroTrooper menggunakan skrip pencuri berbasis Python untuk mengekstrak kredensial akun yang disimpan di browser web Chrome dan mengekstraknya melalui bot Telegram.
Pada Februari 2023, penyerang mulai meluncurkan pencuri kredensial modular baru bernama ‘Stink’.
Stink dapat mengumpulkan kredensial, bookmark, dan data penjelajahan dari browser berbasis Chrome, sementara itu juga dapat mengambil tangkapan layar dan mencuri data dari Filezilla, Discord, dan Telegram. Selain itu, informasi sistem dasar seperti perangkat keras, OS, dan proses yang berjalan juga disebutkan dan diekstraksi.
Semua data yang dicuri disimpan sementara di direktori pada sistem yang terinfeksi dan akhirnya dikompresi dan dikirim ke pelaku ancaman.
Performa Stink ditingkatkan dengan menjalankan semua modul Python dalam proses masing-masing, menggunakan utas prosesor terpisah untuk mempercepat proses pengumpulan data.
Selain hal di atas, YoroTrooper telah menggunakan shell terbalik berbasis Python dan keylogger berbasis C yang digunakan pada kesempatan terbatas.
YoroTrooper tidak diketahui asalnya, dan sponsor atau afiliasinya tetap tidak jelas.
Namun, penggunaan alat malware khusus oleh kelompok ancaman spionase menunjukkan bahwa mereka adalah pelaku ancaman yang terampil dan berpengetahuan luas.
