{"id":1017264,"date":"2023-10-27T01:26:01","date_gmt":"2023-10-27T01:26:01","guid":{"rendered":"https:\/\/teknomers.com\/es\/yorotrooper-investigadores-advierten-sobre-el-sigiloso-grupo-de-ciberespionaje-de-kazajstan\/"},"modified":"2023-10-27T01:26:04","modified_gmt":"2023-10-27T01:26:04","slug":"yorotrooper-investigadores-advierten-sobre-el-sigiloso-grupo-de-ciberespionaje-de-kazajstan","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/yorotrooper-investigadores-advierten-sobre-el-sigiloso-grupo-de-ciberespionaje-de-kazajstan\/","title":{"rendered":"YoroTrooper: Investigadores advierten sobre el sigiloso grupo de ciberespionaje de Kazajst\u00e1n"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 de octubre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Protecci\u00f3n de terminales\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/YoroTrooper-Investigadores-advierten-sobre-el-sigiloso-grupo-de-ciberespionaje-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un actor de amenazas relativamente nuevo conocido como <strong>Yoro Trooper<\/strong> probablemente est\u00e9 formado por operadores originarios de Kazajst\u00e1n.<\/p>\n<p>La evaluaci\u00f3n, que proviene de Cisco Talos, se basa en su fluidez en kazajo y ruso, el uso de tenge para pagar la infraestructura operativa y su focalizaci\u00f3n muy limitada en entidades kazajas, salvo la Agencia Anticorrupci\u00f3n del gobierno.<\/p>\n<p>&#8220;YoroTrooper intenta ofuscar el origen de sus operaciones, empleando varias t\u00e1cticas para hacer que su actividad maliciosa parezca emanar de Azerbaiy\u00e1n, como el uso de nodos de salida VPN locales de esa regi\u00f3n&#8221;, dijeron los investigadores de seguridad Asheer Malhotra y Vitor Ventura. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/attributing-yorotrooper\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-1.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Los-anuncios-de-chat-de-Bing-impulsados-\u200b\u200bpor-IA-de.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Documentado por primera vez por la empresa de ciberseguridad en marzo de 2023, se sabe que el adversario est\u00e1 activo desde al menos junio de 2022, destacando varias entidades estatales en los pa\u00edses de la Comunidad de Estados Independientes (CEI).  La empresa eslovaca de ciberseguridad ESET est\u00e1 rastreando la actividad bajo el nombre de SturgeonPhisher.<\/p>\n<p>Los ciclos de ataque de YoroTrooper se basan principalmente en el phishing para distribuir una mezcla de malware ladr\u00f3n de productos b\u00e1sicos y de c\u00f3digo abierto, aunque tambi\u00e9n se ha observado que el grupo utiliza el vector de acceso inicial para dirigir a las v\u00edctimas a sitios de recolecci\u00f3n de credenciales controlados por el atacante.<\/p>\n<p>&#8220;La pr\u00e1ctica de recolecci\u00f3n de credenciales es complementaria a las operaciones basadas en malware de YoroTrooper con el objetivo final de ser el robo de datos&#8221;, dijeron los investigadores.<\/p>\n<p>La divulgaci\u00f3n p\u00fablica de las campa\u00f1as del actor de amenazas ha provocado una renovaci\u00f3n t\u00e1ctica de su arsenal, pasando del malware b\u00e1sico a herramientas personalizadas programadas en Python, PowerShell, Golang y Rust.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1698369960_98_YoroTrooper-Investigadores-advierten-sobre-el-sigiloso-grupo-de-ciberespionaje-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1698369960_98_YoroTrooper-Investigadores-advierten-sobre-el-sigiloso-grupo-de-ciberespionaje-de.jpg\" alt=\"\" border=\"0\" data-original-height=\"305\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Los fuertes v\u00ednculos del actor con Kazajst\u00e1n se deben al hecho de que este pa\u00eds realiza peri\u00f3dicamente an\u00e1lisis de seguridad del servicio estatal de correo electr\u00f3nico, mail[.]kz, lo que indica esfuerzos continuos para monitorear el sitio web en busca de posibles vulnerabilidades de seguridad.<\/p>\n<p>Tambi\u00e9n comprueba peri\u00f3dicamente los tipos de conversi\u00f3n de moneda entre Tenge y Bitcoin en Google (&#8220;btc a kzt&#8221;) y utiliza alfachange.[.]com para convertir Tenge a Bitcoin y pagar el mantenimiento de la infraestructura.<\/p>\n<p>A partir de junio de 2023, los ataques de YoroTrooper a los pa\u00edses de la CEI han ido acompa\u00f1ados de un mayor enfoque en implantes personalizados, al tiempo que se utilizan esc\u00e1neres de vulnerabilidades como Acunetix y datos de c\u00f3digo abierto de motores de b\u00fasqueda como Shodan para localizar e infiltrarse en las redes de las v\u00edctimas.<\/p>\n<p>Algunos de los objetivos incluyeron la C\u00e1mara de Comercio de Tayikist\u00e1n, la Agencia de Control de Drogas, el Ministerio de Asuntos Exteriores, el KyrgyzKomur de Kirguist\u00e1n y el Ministerio de Energ\u00eda de la Rep\u00fablica de Uzbekist\u00e1n.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1696134768_108_Los-anuncios-de-chat-de-Bing-impulsados-\u200b\u200bpor-IA-de.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Otro aspecto destacable es el uso de cuentas de correo electr\u00f3nico para registrarse y adquirir herramientas y servicios, incluida una suscripci\u00f3n a NordVPN y una instancia de VPS de netx.[.]hosting por $16 al mes.<\/p>\n<p>Una actualizaci\u00f3n importante de la cadena de infecci\u00f3n implica trasladar su troyano de acceso remoto (RAT) basado en Python a PowerShell, as\u00ed como emplear un shell inverso interactivo personalizado para ejecutar comandos en puntos finales infectados a trav\u00e9s de cmd.exe.  PowerShell RAT est\u00e1 dise\u00f1ado para aceptar comandos entrantes y extraer datos a trav\u00e9s de Telegram.<\/p>\n<p>Adem\u00e1s de experimentar con m\u00faltiples tipos de veh\u00edculos de entrega para sus puertas traseras, se dice que YoroTrooper agreg\u00f3 malware basado en Golang y Rust a partir de septiembre de 2023, lo que le permiti\u00f3 establecer un shell inverso y recopilar datos confidenciales.<\/p>\n<p>&#8220;Sus implantes basados \u200b\u200ben Golang son puertos de RAT basado en Python que utiliza canales de Telegram para la exfiltraci\u00f3n de archivos y la comunicaci\u00f3n C2&#8221;, explicaron los investigadores.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/yorotrooper-researchers-warn-of.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 de octubre de 2023\ue804Sala de redacci\u00f3nProtecci\u00f3n de terminales\/malware Un actor de amenazas relativamente nuevo conocido como Yoro<\/p>\n","protected":false},"author":1,"featured_media":1017265,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,5894,4661,71863,4664,4662,2386,12583,7870,4668,201033,4654,201031,4659,4653,4655,4666,4665,76115,131,201032,4660,152669],"class_list":["post-1017264","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-advierten","tag-ataques-ciberneticos","tag-ciberespionaje","tag-como-hackear","tag-filtracion-de-datos","tag-grupo","tag-investigadores","tag-kazajstan","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sigiloso","tag-sobre","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software","tag-yorotrooper"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1017264","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1017264"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1017264\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1017265"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1017264"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1017264"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1017264"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}