
Aktor ancaman yang sebelumnya tidak berdokumen yang dikenal sebagai Silent Lynx telah dikaitkan dengan serangan dunia maya yang menargetkan berbagai entitas di Kyrgyzstan dan Turkmenistan.
“Kelompok ancaman ini sebelumnya menargetkan entitas di seluruh Eropa Timur dan lembaga think tank pemerintah Asia Tengah yang terlibat dalam pengambilan keputusan ekonomi dan sektor perbankan,” kata peneliti Seqrite Labs Subhajeet Singha dalam sebuah laporan teknis yang diterbitkan akhir bulan lalu.
Target serangan kelompok peretasan termasuk kedutaan, pengacara, bank yang didukung pemerintah, dan lembaga think tank. Kegiatan ini telah dikaitkan dengan aktor ancaman Kazakhstan-Origin dengan tingkat kepercayaan sedang.

Infeksi dimulai dengan email phishing tombak yang berisi lampiran arsip RAR yang pada akhirnya bertindak sebagai kendaraan pengiriman untuk muatan jahat yang bertanggung jawab untuk memberikan akses jarak jauh ke host yang dikompromikan.
Yang pertama dari dua kampanye, yang terdeteksi oleh Cybersecurity Company pada tanggal 27 Desember 2024, memanfaatkan arsip RAR untuk meluncurkan file ISO yang, pada gilirannya, termasuk biner C ++ berbahaya dan file PDF umpan. Yang dapat dieksekusi kemudian melanjutkan untuk menjalankan skrip PowerShell yang menggunakan bot telegram (bernama “@South_korea145_bot” dan “@south_afr_angl_bot”) untuk eksekusi perintah dan exfiltration data.

Beberapa perintah yang dijalankan melalui bot termasuk perintah curl untuk mengunduh dan menyimpan muatan tambahan dari server jarak jauh (“pweobmxdlboi[.]com “) atau Google Drive.
Kampanye lain, sebaliknya, menggunakan arsip RAR berbahaya yang berisi dua file: umpan PDF dan Golang yang dapat dieksekusi, yang terakhir dirancang untuk membangun cangkang terbalik ke server yang dikendalikan penyerang (“185.122.171[.]22: 8082 “).

Seqrite Labs mengatakan mereka mengamati beberapa tingkat tumpang tindih taktis antara aktor ancaman dan Yorotrooper (alias sturgeonphisher), yang telah dikaitkan dengan serangan yang menargetkan negara -negara Persemakmuran Negara -negara Independen (CIS) menggunakan alat PowerShell dan Golang.
“Kampanye Silent Lynx menunjukkan strategi serangan multi-tahap yang canggih menggunakan file ISO, c ++ loader, skrip PowerShell, dan implan Golang,” kata Singha.
“Ketergantungan mereka pada bot telegram untuk perintah dan kontrol, dikombinasikan dengan dokumen umpan dan penargetan regional yang juga menyoroti fokus mereka pada spionase di negara -negara berbasis Asia Tengah dan Speca.”