Un recente attacco informatico chiamato Cavalry Werewolf ha preso di mira enti governativi russi e aziende dei settori energia, estrazione mineraria e manifatturiero attraverso sofisticate campagne di phishing. Gli attacchi sono stati ricondotti a un gruppo di cybercriminali che mostra sovrapposizioni con i noti YoroTrooper, SturgeonPhisher, Silent Lynx e Tomiris, quest’ultimo sospettato di avere legami con il Kazakhstan. Il gruppo ha sfruttato email fraudolente che simulavano comunicazioni ufficiali provenienti da funzionari del governo kirghiso, compromettendo in alcuni casi anche indirizzi email legittimi di autorità regolatorie della Repubblica del Kirghizistan.
Metodo d’attacco e strumenti utilizzati
Il metodo principale utilizzato da Cavalry Werewolf consisteva nell’invio di archivi RAR contenenti malware come FoalShell e StallionRAT. FoalShell è una reverse shell leggera, disponibile in versioni Go, C++ e C#, che permette agli attaccanti di eseguire comandi arbitrari sul sistema della vittima tramite cmd.exe. StallionRAT, invece, è scritto in Go, PowerShell e Python, e offre funzionalità avanzate agli attaccanti: dall’esecuzione remota di comandi al caricamento di file, fino all’esfiltrazione dei dati raccolti tramite bot Telegram. Alcuni dei comandi supportati dal bot includono la visualizzazione della lista degli host compromessi, l’esecuzione di comandi su dispositivi specifici e il caricamento di file sui dispositivi delle vittime.
Durante l’analisi, sono stati rilevati anche strumenti come ReverseSocks5Agent e ReverseSocks5, utilizzati per mantenere il controllo remoto dei sistemi infetti e per raccogliere ulteriori informazioni sui dispositivi presi di mira. Un dettaglio interessante è l’individuazione di nomi di file in inglese e arabo, che suggerisce una platea di vittime potenzialmente più ampia rispetto a quella inizialmente ipotizzata.
Attività recenti e impatto
Le attività di Cavalry Werewolf sono state segnalate tra maggio e agosto 2025 e dimostrano la costante evoluzione degli strumenti e delle tecniche utilizzate dal gruppo. Secondo le fonti di cybersecurity, la rapidità nell’analisi e nel riconoscimento di questi tool risulta fondamentale per implementare misure di difesa aggiornate ed efficaci contro questo tipo di attacchi.
Nel contesto più ampio, sono stati identificati almeno 500 compromissioni di aziende russe nell’ultimo anno, con il furto e la pubblicazione di dati sensibili, spesso facilitati dall’installazione di software malevoli come gs-netcat, Adminer e phpMiniAdmin sui server violati. Questi fatti sottolineano la necessità, per le aziende e le organizzazioni pubbliche, di rafforzare la propria postura di sicurezza e di aggiornare costantemente le proprie strategie di difesa informatica.