Cryptojacking Campaign Targets Russian Devices, Mining Cryptocurrency

Binance News · 2025-06-11T06:03:37.000Z

According to Cointelegraph, the hacker group known as Librarian Ghouls, also referred to as Rare Werewolf, has compromised hundreds of Russian devices to mine cryptocurrency in a cryptojacking scheme. Cybersecurity firm Kaspersky reports that the group gains access to systems through phishing emails laden with malware, masquerading as official documents or payment orders from legitimate organizations. Once a computer is infected, the hackers establish remote connections, disable security systems like Windows Defender, and program the device to operate between 1 am and 5 am. During this time, they steal login credentials and gather information about the device's RAM, CPU cores, and GPUs to configure the crypto miner optimally.The campaign, which began in December 2024, has affected numerous Russian users, particularly in industrial enterprises and engineering schools, with additional victims in Belarus and Kazakhstan. The origin of the group remains unclear, but Kaspersky notes that the phishing emails are composed in Russian and include archives with Russian filenames, suggesting that the primary targets are likely based in Russia or speak Russian. The hackers maintain a connection to the mining pool, sending requests every 60 seconds, and continuously refine their tactics, which include data exfiltration, deployment of remote access tools, and use of phishing sites for email account compromise.Kaspersky speculates that the Librarian Ghouls might be hacktivists, using hacking as a form of civil disobedience to promote a political agenda. This speculation is based on their reliance on legitimate third-party utilities rather than developing their own malicious binaries. The duration of the group's activity is uncertain, but another Russian cybersecurity firm, BI. ZONE, reported on November 23 that Rare Werewolf has been active since at least 2019. The ongoing cryptojacking campaign highlights the evolving tactics of cybercriminals and the importance of robust cybersecurity measures to protect against such threats.

Según Cointelegraph, el grupo de hackers Librarian Ghouls, también conocido como Rare Werewolf, ha comprometido cientos de dispositivos rusos para minar criptomonedas mediante un esquema de cryptojacking. La firma de ciberseguridad Kaspersky informa que el grupo accede a los sistemas mediante correos electrónicos de phishing cargados de malware, haciéndose pasar por documentos oficiales u órdenes de pago de organizaciones legítimas. Una vez infectada una computadora, los hackers establecen conexiones remotas, desactivan sistemas de seguridad como Windows Defender y programan el dispositivo para que funcione entre la 1 y las 5 de la madrugada. Durante este tiempo, roban las credenciales de inicio de sesión y recopilan información sobre la RAM, los núcleos de la CPU y las GPU del dispositivo para configurar el minero de criptomonedas de forma óptima.
La campaña, que comenzó en diciembre de 2024, ha afectado a numerosos usuarios rusos, especialmente en empresas industriales y escuelas de ingeniería, con víctimas adicionales en Bielorrusia y Kazajistán. El origen del grupo sigue siendo incierto, pero Kaspersky señala que los correos electrónicos de phishing están redactados en ruso e incluyen archivos con nombres en ruso, lo que sugiere que los objetivos principales probablemente residen en Rusia o hablan ruso. Los hackers mantienen una conexión con el grupo de minería, enviando solicitudes cada 60 segundos, y perfeccionan continuamente sus tácticas, que incluyen la exfiltración de datos, el despliegue de herramientas de acceso remoto y el uso de sitios de phishing para comprometer cuentas de correo electrónico.
Kaspersky especula que los Librarian Ghouls podrían ser hacktivistas, que utilizan el hackeo como una forma de desobediencia civil para promover una agenda política. Esta especulación se basa en su dependencia de utilidades legítimas de terceros en lugar de desarrollar sus propios binarios maliciosos. La duración de la actividad del grupo es incierta, pero otra empresa rusa de ciberseguridad, BI.ZONE, informó el 23 de noviembre que Rare Werewolf ha estado activo desde al menos 2019. La actual campaña de cryptojacking pone de manifiesto la evolución de las tácticas de los ciberdelincuentes y la importancia de contar con sólidas medidas de ciberseguridad para protegerse contra estas amenazas.

Campaña de criptojacking dirigida a dispositivos rusos que minan criptomonedas

Lo más reciente