Cisco Talos ha scoperto una serie di campagne di spionaggio attive da giugno 2022 denominate YoroTrooper che hanno preso di mira organizzazioni governative e aziende del settore energetico in Azerbaigian, Tagikistan, Kirghizistan e altri Stati del Csi (Commonwealth of independent states). YoroTrooper ha compromesso anche gli account di almeno due realtà internazionali: un’importante organizzazione sanitaria dell’Unione europea e l’Organizzazione mondiale della proprietà intellettuale (Ompi).
L’attacco ha inoltre preso di mira alcune ambasciate in Azerbaigian e in Turkmenistan. Talos ritiene molto probabile che i criminali informatici stiano portando attacchi anche ad altre organizzazioni in tutta Europa e alle agenzie governative turche. Le informazioni rubate includono le credenziali di diverse applicazioni, informazioni di sistema, cronologia e cookie del browser. Per l’accesso remoto, YoroTrooper utilizza malware di tipo commodity, file di collegamento dannosi, email phishing, domini dannosi e documenti esca che mirano a esfiltrare documenti e informazioni da utilizzare in operazioni future. Talos ritiene che i criminali che utilizzano YoroTrooper siano di lingua russa, ma non necessariamente residenti in Russia, poichè la maggior parte delle vittime risiede all’interno degli stati della Comunità di Stati Indipendenti.