Se ha observado que un actor de amenazas conocido por compartir solapamientos con un grupo de hackers llamado YoroTrooper ataca al sector público ruso con familias de malware como FoalShell y StallionRAT.
El proveedor de ciberseguridad BI.ZONE está rastreando la actividad bajo el nombre Hombre lobo de caballería . También se considera que tiene puntos en común con grupos rastreados como SturgeonPhisher, Silent Lynx, Comrade Saiga, ShadowSilk y Tomiris.
«Para obtener el acceso inicial, los atacantes enviaron correos electrónicos de suplantación de identidad específicos disfrazándolos de correspondencia oficial de funcionarios del gobierno kirguiso», dijo BI.ZONE dijo . «Los principales objetivos de los ataques fueron las agencias estatales rusas, así como las empresas energéticas, mineras y manufactureras».
En agosto de 2025, Group-IB revelada ataques organizados por ShadowSilk contra entidades gubernamentales en Asia Central y Asia-Pacífico (APAC), utilizando herramientas de proxy inverso y troyanos de acceso remoto escritos en Python y posteriormente portados a PowerShell.
Los vínculos de Cavalry Werewolf con Tomiris son importantes, sobre todo porque dan más crédito a la hipótesis de que se trata de un actor de amenazas afiliado a Kazajistán. En un informe publicado a finales del año pasado, Microsoft atribuido la puerta trasera de Tomiris a un actor de amenazas con sede en Kazajstán rastreado como Storm-0473.
Los últimos ataques de suplantación de identidad, observados entre mayo y agosto de 2025, implican el envío de mensajes de correo electrónico utilizando direcciones de correo electrónico falsas que se hacen pasar por empleados del gobierno de Kirguistán para distribuir archivos RAR que contienen FoalShell o StallionRAT.
En al menos un caso, se afirma que el autor de la amenaza puso en peligro una dirección de correo electrónico legítima asociada a la autoridad reguladora de la República Kirguisa para enviar los mensajes. FoalShell es un shell inverso ligero que aparece en las versiones Go, C++ y C#, lo que permite a los operadores ejecutar comandos arbitrarios con cmd.exe.
StallionRAT no es diferente porque está escrito en Go, PowerShell y Python, y permite a los atacantes ejecutar comandos arbitrarios, cargar archivos adicionales y filtrar los datos recopilados mediante un bot de Telegram. Algunos de los comandos compatibles con el bot incluyen:
- /list, para recibir una lista de los hosts comprometidos (ID del dispositivo y nombre del equipo) conectados al servidor de comando y control (C2)
- /go [deviceID] [comando], para ejecutar el comando dado usando Invocar expresión
- /upload [deviceID], para subir un archivo al dispositivo de la víctima
También se ejecutan en los hosts comprometidos herramientas como ReverseSocks5Agent y ReverseSocks5, así como comandos para recopilar información del dispositivo.
El proveedor ruso de ciberseguridad dijo que también descubrió varios nombres de archivo en inglés y árabe, lo que sugiere que el objetivo de Cavalry Werewolf podría tener un alcance más amplio de lo que se suponía anteriormente.
«Cavalry Werewolf está experimentando activamente con la expansión de su arsenal», dijo BI.ZONE. «Esto pone de manifiesto la importancia de conocer rápidamente las herramientas que utiliza el clúster; de lo contrario, sería imposible mantener medidas actualizadas para prevenir y detectar este tipo de ataques».
La revelación se produce cuando la empresa reveló que un análisis de las publicaciones en los canales de Telegram o foros clandestinos realizadas por atacantes con motivaciones financieras y hacktivistas durante el último año ha identificado compromisos de al menos 500 empresas en Rusia, la mayoría de las cuales pertenecían a los sectores del comercio, las finanzas, la educación y el entretenimiento.
«En el 86% de los casos, los atacantes publicaron datos robados de aplicaciones web públicas comprometidas», dice apuntado . «Tras acceder a la aplicación web pública, los atacantes instalaron gs‑netcat en el servidor comprometido para garantizar un acceso continuo. En ocasiones, los atacantes cargaban webshells adicionales. También utilizaban herramientas legítimas como Adminer, phpMiniAdmin y mysqldump para extraer datos de las bases de datos».