Cryptojacking Campaign Targets Russian Devices, Mining Cryptocurrency

Binance News · 2025-06-11T06:03:37.000Z

According to Cointelegraph, the hacker group known as Librarian Ghouls, also referred to as Rare Werewolf, has compromised hundreds of Russian devices to mine cryptocurrency in a cryptojacking scheme. Cybersecurity firm Kaspersky reports that the group gains access to systems through phishing emails laden with malware, masquerading as official documents or payment orders from legitimate organizations. Once a computer is infected, the hackers establish remote connections, disable security systems like Windows Defender, and program the device to operate between 1 am and 5 am. During this time, they steal login credentials and gather information about the device's RAM, CPU cores, and GPUs to configure the crypto miner optimally. The campaign, which began in December 2024, has affected numerous Russian users, particularly in industrial enterprises and engineering schools, with additional victims in Belarus and Kazakhstan. The origin of the group remains unclear, but Kaspersky notes that the phishing emails are composed in Russian and include archives with Russian filenames, suggesting that the primary targets are likely based in Russia or speak Russian. The hackers maintain a connection to the mining pool, sending requests every 60 seconds, and continuously refine their tactics, which include data exfiltration, deployment of remote access tools, and use of phishing sites for email account compromise. Kaspersky speculates that the Librarian Ghouls might be hacktivists, using hacking as a form of civil disobedience to promote a political agenda. This speculation is based on their reliance on legitimate third-party utilities rather than developing their own malicious binaries. The duration of the group's activity is uncertain, but another Russian cybersecurity firm, BI. ZONE, reported on November 23 that Rare Werewolf has been active since at least 2019. The ongoing cryptojacking campaign highlights the evolving tactics of cybercriminals and the importance of robust cybersecurity measures to protect against such threats.

Selon Cointelegraph, le groupe de hackers connu sous le nom de Librarian Ghouls, également appelé Rare Werewolf, a compromis des centaines d'appareils russes pour miner des cryptomonnaies dans un schéma de cryptojacking. La société de cybersécurité Kaspersky rapporte que le groupe accède aux systèmes par le biais d'emails de phishing chargés de logiciels malveillants, se faisant passer pour des documents officiels ou des ordres de paiement d'organisations légitimes. Une fois qu'un ordinateur est infecté, les hackers établissent des connexions à distance, désactivent les systèmes de sécurité comme Windows Defender, et programment l'appareil pour fonctionner entre 1h et 5h du matin. Pendant ce temps, ils volent des identifiants de connexion et rassemblent des informations sur la RAM, les cœurs de CPU et les GPU de l'appareil pour configurer le mineur de cryptomonnaie de manière optimale.
La campagne, qui a débuté en décembre 2024, a affecté de nombreux utilisateurs russes, en particulier dans les entreprises industrielles et les écoles d'ingénierie, avec des victimes supplémentaires en Biélorussie et au Kazakhstan. L'origine du groupe reste floue, mais Kaspersky note que les emails de phishing sont rédigés en russe et incluent des archives avec des noms de fichiers russes, ce qui suggère que les cibles principales sont probablement basées en Russie ou parlent russe. Les hackers maintiennent une connexion au pool de minage, envoyant des demandes toutes les 60 secondes, et affinent continuellement leurs tactiques, qui incluent l'exfiltration de données, le déploiement d'outils d'accès à distance et l'utilisation de sites de phishing pour compromettre des comptes email.
Kaspersky suppose que les Librarian Ghouls pourraient être des hacktivistes, utilisant le hacking comme une forme de désobéissance civile pour promouvoir un agenda politique. Cette spéculation est basée sur leur dépendance à des utilitaires tiers légitimes plutôt que sur le développement de leurs propres binaires malveillants. La durée de l'activité du groupe est incertaine, mais une autre société de cybersécurité russe, BI. ZONE, a rapporté le 23 novembre que Rare Werewolf est actif depuis au moins 2019. La campagne de cryptojacking en cours met en lumière l'évolution des tactiques des cybercriminels et l'importance de mesures de cybersécurité robustes pour se protéger contre de telles menaces.

Une campagne de cryptojacking cible les appareils russes et le minage de cryptomonnaies

Dernières actualités