جعل هویت مقامات قرقیزستان در حمله سایبری به نهادهای روسی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، طبق گزارش شرکت امنیت سایبری ترکیه‌ای پیکوس سکیوریتی (Picus Security)، این حملات بین ماه‌های می تا اوت ۲۰۲۵ صورت گرفته و نهادهای دولتی، شرکت‌های انرژی، معدن و تولید روسیه را هدف قرار داده‌اند.

هکرها با استفاده از ایمیل‌های فیشینگ پیشرفته که ظاهراً از سوی وزارتخانه‌های اقتصاد، بازرگانی و حمل‌ونقل قرقیزستان ارسال شده بودند و گاهی از حساب‌های ایمیل واقعی و هک‌شده استفاده می‌کردند، بدافزارهایی به نام‌های فولشل (FoalShell) و استالیون رت (StallionRAT) را در سیستم قربانیان نصب کردند.

بدافزار فولشل به مهاجمان دسترسی از راه دور به رایانه‌های آلوده می‌داد و استالیون رت از اپلیکیشن پیام‌رسان تلگرام برای فرمان‌دهی و کنترل استفاده می‌کرد تا بتواند داده‌ها را سرقت کرده و دستورات مختلف را اجرا کند.

ایمیل‌های ارسالی با عناوینی فریبنده مانند «نتایج سه‌ماهه عملیات مشترک» یا «فهرست کارکنان واجد پاداش» طراحی شده بودند تا کاربران را به باز کردن فایل‌های آلوده تشویق کنند.

بررسی‌ها نشان می‌دهد که در کنار هدف قرار دادن روسیه، این گروه فعالیت خود را به مناطق دیگر نیز گسترش داده است.

وجود فایل‌هایی به زبان تاجیکی و عربی در سیستم‌های آلوده، نشانه‌هایی از علاقه احتمالی آن‌ها به آسیای مرکزی و خاورمیانه است.

اگرچه شرکت پیکوس وابستگی این گروه را به هیچ دولت خاصی تأیید نکرده، اما پژوهشگران شرکت سیسکو تالوس (Cisco Talos) پیش‌تر اعلام کرده‌اند که منشأ آن احتمالاً قزاقستان است؛ چرا که هکرها از زبان و ارز قزاقی استفاده کرده و عمدتاً بر منطقه آسیای مرکزی تمرکز دارند.

این گروه از سال ۲۰۲۲ فعال است و پیش‌تر نهادهایی چون سازمان جهانی مالکیت فکری (WIPO)، سفارتخانه‌ها و سازمان‌های اروپایی را هدف قرار داده است.