Rusya merkezli siber güvenlik firması BI.ZONE, Cavalry Werewolf adlı tehdit aktörünün faaliyetlerini yakından izliyor. Bu grup, SturgeonPhisher, Silent Lynx, Comrade Saiga, ShadowSilk ve Tomiris gibi diğer tehdit kümeleriyle teknik ve operasyonel benzerlikler gösteriyor.
Hedefler ve Saldırı Yöntemleri
Grubun ilk erişimi sağlamak için Kırgız hükümeti çalışanlarından geliyormuş gibi görünen hedefli oltalama e-postaları kullandığı bildirildi. Saldırılar özellikle Rus devlet kurumları ile enerji, madencilik ve üretim sektörlerindeki şirketlere odaklanıyor. Mayıs-Ağustos 2025 döneminde, Kırgızistan hükümeti çalışanlarını taklit eden sahte e-posta adreslerinden FoalShell veya StallionRAT içeren RAR arşivleri gönderildiği tespit edildi.
FoalShell ve StallionRAT Teknik Özellikleri
FoalShell, Go, C++ ve C# dillerinde geliştirilmiş hafif bir ters kabuk aracı olup, cmd.exe üzerinden rastgele komutların çalıştırılmasına imkan tanıyor. StallionRAT ise Go, PowerShell ve Python ile yazılmış, komut çalıştırma, dosya yükleme ve Telegram botu aracılığıyla veri sızdırma yeteneklerine sahip. StallionRAT botu, ele geçirilen cihazların listesini alma, belirli cihazlarda komut yürütme ve dosya yükleme gibi komutları destekliyor.
Genişleyen Tehdit ve Operasyonel Ayrıntılar
BI.ZONE, Cavalry Werewolf’un cephaneliğini sürekli genişlettiğini ve ReverseSocks5Agent gibi araçlarla cihaz bilgisi toplama faaliyetlerini sürdürdüğünü belirtti. Ayrıca grubun İngilizce ve Arapça dosya adları kullanması, hedef kitlesinin daha önce düşünülenden daha geniş olduğunu gösteriyor. Son bir yılda Rusya’da en az 500 şirketin bu tür saldırılarla ele geçirildiği ve saldırganların çoğunlukla halka açık web uygulamalarından veri çaldığı bildirildi.
Önemi ve Tavsiyeler
Bu gelişmeler, tehdit aktörlerinin kullandığı araçlar hakkında hızlı ve güncel bilgi sahibi olmanın önemini ortaya koyuyor. Siber güvenlik profesyonellerinin, bu tür gelişmiş saldırıları önlemek ve tespit etmek için kapsamlı önlemler alması gerekiyor.