O ator de ameaça, conhecido como YoroTrooper, que não havia sido documentado antes, tem direcionado organizações governamentais, energéticas e internacionais em toda a Europa em uma campanha de espionagem cibernética desde junho de 2022.

As informações roubadas em ataques bem-sucedidos incluem credenciais de aplicativos, histórico do navegador, dados de sistema e capturas de tela. Acredita-se que o ator da ameaça seja russo, devido a padrões de vítimas e evidências em cirílico nos códigos maliciosos.

YoroTrooper usa uma combinação de malware comum e de código aberto para atingir seus objetivos, incluindo Ave Maria, LodaRAT, Meterpreter e Stink. Esses malwares são propagados através de spear-phishing, usando arquivos de atalho maliciosos e documentos isca em ZIP ou RAR.

Uma das estratégias notáveis do YoroTrooper é o uso do LodaRAT, indicando a colaboração entre diferentes operadores de malware. Além disso, o ator da ameaça implantou ferramentas auxiliares, como shells reversos e um keylogger personalizado.

A campanha, que inicialmente usava principalmente malwares comuns, evoluiu para incluir malwares baseados em Python, sugerindo um aumento nos esforços do agente da ameaça, possivelmente devido a violações bem-sucedidas durante a campanha.