Cryptojacking Campaign Targets Russian Devices, Mining Cryptocurrency

Binance News · 2025-06-11T06:03:37.000Z

According to Cointelegraph, the hacker group known as Librarian Ghouls, also referred to as Rare Werewolf, has compromised hundreds of Russian devices to mine cryptocurrency in a cryptojacking scheme. Cybersecurity firm Kaspersky reports that the group gains access to systems through phishing emails laden with malware, masquerading as official documents or payment orders from legitimate organizations. Once a computer is infected, the hackers establish remote connections, disable security systems like Windows Defender, and program the device to operate between 1 am and 5 am. During this time, they steal login credentials and gather information about the device's RAM, CPU cores, and GPUs to configure the crypto miner optimally.The campaign, which began in December 2024, has affected numerous Russian users, particularly in industrial enterprises and engineering schools, with additional victims in Belarus and Kazakhstan. The origin of the group remains unclear, but Kaspersky notes that the phishing emails are composed in Russian and include archives with Russian filenames, suggesting that the primary targets are likely based in Russia or speak Russian. The hackers maintain a connection to the mining pool, sending requests every 60 seconds, and continuously refine their tactics, which include data exfiltration, deployment of remote access tools, and use of phishing sites for email account compromise.Kaspersky speculates that the Librarian Ghouls might be hacktivists, using hacking as a form of civil disobedience to promote a political agenda. This speculation is based on their reliance on legitimate third-party utilities rather than developing their own malicious binaries. The duration of the group's activity is uncertain, but another Russian cybersecurity firm, BI. ZONE, reported on November 23 that Rare Werewolf has been active since at least 2019. The ongoing cryptojacking campaign highlights the evolving tactics of cybercriminals and the importance of robust cybersecurity measures to protect against such threats.

Según Cointelegraph, el grupo de hackers conocido como Librarian Ghouls, también referido como Rare Werewolf, ha comprometido cientos de dispositivos rusos para minar criptomonedas en un esquema de cryptojacking. La firma de ciberseguridad Kaspersky informa que el grupo accede a los sistemas a través de correos electrónicos de phishing cargados de malware, haciéndose pasar por documentos oficiales u órdenes de pago de organizaciones legítimas. Una vez que una computadora está infectada, los hackers establecen conexiones remotas, desactivan sistemas de seguridad como Windows Defender y programan el dispositivo para operar entre la 1 a.m. y las 5 a.m. Durante este tiempo, roban credenciales de inicio de sesión y recogen información sobre la RAM, los núcleos de CPU y las GPU del dispositivo para configurar el minero de criptomonedas de manera óptima.
La campaña, que comenzó en diciembre de 2024, ha afectado a numerosos usuarios rusos, particularmente en empresas industriales y escuelas de ingeniería, con víctimas adicionales en Bielorrusia y Kazajistán. El origen del grupo sigue siendo incierto, pero Kaspersky señala que los correos electrónicos de phishing están redactados en ruso e incluyen archivos con nombres de archivos rusos, lo que sugiere que los objetivos principales probablemente están basados en Rusia o hablan ruso. Los hackers mantienen una conexión con el pool de minería, enviando solicitudes cada 60 segundos, y refinan continuamente sus tácticas, que incluyen la exfiltración de datos, el despliegue de herramientas de acceso remoto y el uso de sitios de phishing para comprometer cuentas de correo electrónico.
Kaspersky especula que los Librarian Ghouls podrían ser hacktivistas, utilizando el hacking como una forma de desobediencia civil para promover una agenda política. Esta especulación se basa en su dependencia de utilidades de terceros legítimas en lugar de desarrollar sus propios binarios maliciosos. La duración de la actividad del grupo es incierta, pero otra firma de ciberseguridad rusa, BI. ZONE, informó el 23 de noviembre que Rare Werewolf ha estado activo desde al menos 2019. La campaña de cryptojacking en curso destaca las tácticas en evolución de los cibercriminales y la importancia de medidas robustas de ciberseguridad para protegerse contra tales amenazas.

Campaña de criptojacking dirigida a dispositivos rusos que minan criptomonedas

Últimas noticias

Campaña de criptojacking dirigida a dispositivos rusos que minan criptomonedas

Últimas noticias

Artículos en tendencia