Kelompok Hacker yang Menyamar sebagai Pejabat Kirgistan Menargetkan Rusia
Sebuah kelompok hacker yang mengaku sebagai pejabat Kirgistan sedang aktif melakukan serangan terhadap pejabat dan tokoh bisnis di Rusia melalui operasi malware. Kelompok ini dikenal dengan nama Cavalry Werewolf, dan diketahui telah menjalankan operasi spionase siber selama beberapa bulan terakhir. Mereka menargetkan lembaga pemerintah dan perusahaan industri di Rusia.
Pola serangan yang digunakan oleh kelompok ini sangat licik. Mereka menggunakan teknik phishing untuk mengirimkan email yang disamarkan agar tampak seperti surat resmi atau korespondensi penting dari instansi pemerintah Kirgistan. Peneliti keamanan siber Turki, Picus Security, menemukan dua kelompok yang dilacak sebagai YoroTrooper dan Silent Lynx, yang beroperasi antara bulan Mei hingga Agustus 2025.
Kedua kelompok tersebut menargetkan sektor publik Rusia, termasuk perusahaan energi, pertambangan, dan manufaktur. Para penyerang mengirimkan email spear-phishing yang menyamar dan terlihat seperti berasal dari kementerian Kirgistan, seperti Kementerian Ekonomi, Kementerian Transportasi dan Komunikasi. Terkadang mereka juga menggunakan akun email pemerintah yang telah diretas.
Email yang dikirimkan berisi file RAR berbahaya yang jika dibuka akan menginstal malware khusus bernama FoalShell dan StallionRAT. FoalShell memberikan akses jarak jauh penuh kepada penyerang ke komputer atau perangkat yang terinfeksi. Sementara itu, StallionRAT menggunakan aplikasi Telegram sebagai saluran komando dan kontrol rahasia yang tidak diketahui atau disadari korban.
Melalui Telegram, para peretas dapat menjalankan berbagai perintah pada komputer korban, termasuk mencuri dan mengekstrak berkas serta mengambil data penting lainnya. File-file yang dikirimkan memiliki nama yang meyakinkan, seperti “hasil operasi gabungan selama tiga bulan” atau “daftar karyawan penerima bonus”, dengan tujuan mengelabui korban agar membuka malware tersebut.
Meskipun fokus utama serangan ini adalah Rusia, para peneliti menyatakan bahwa kemungkinan besar kelompok tersebut akan memperluas jangkauannya. Dalam sistem yang terinfeksi, ditemukan berkas berbahasa Tajikistan, yang menunjukkan kemungkinan target terhadap negara tersebut. Selain itu, berkas dengan nama dalam bahasa Arab menunjukkan adanya operasi spionase di kawasan Timur Tengah.
“Ekspansi ini, ditambah dengan pengujian alat tambahan seperti AsyncRAT, menunjukkan bahwa aktor ancaman ini berkembang pesat dan ambisius,” demikian pernyataan dari peneliti Picus. Picus tidak secara langsung mengaitkan kelompok tersebut dengan negara tertentu, tetapi penelitian sebelumnya oleh Cisco Talos menunjukkan fakta lain.
Menurut Cisco Talos, Cavalry Werewolf kemungkinan besar berbasis di Kazakhstan. Hal ini didukung oleh penggunaan mata uang Kazakhstan, fasih berbahasa Kazakh dan Rusia, serta fokus pada wilayah regional yang menjadi cakupan operasi mereka.
