Secondo Cointelegraph, il gruppo di hacker noto come Librarian Ghouls, anche chiamato Rare Werewolf, ha compromesso centinaia di dispositivi russi per estrarre criptovaluta in uno schema di cryptojacking. L'azienda di cybersecurity Kaspersky riporta che il gruppo ottiene accesso ai sistemi tramite email di phishing cariche di malware, mascherandosi da documenti ufficiali o ordini di pagamento di organizzazioni legittime. Una volta che un computer è infettato, gli hacker stabiliscono connessioni remote, disabilitano i sistemi di sicurezza come Windows Defender e programmando il dispositivo per operare tra l'1 e le 5 del mattino. Durante questo tempo, rubano le credenziali di accesso e raccolgono informazioni sulla RAM del dispositivo, i core della CPU e le GPU per configurare al meglio il miner di criptovaluta.
La campagna, iniziata nel dicembre 2024, ha colpito numerosi utenti russi, in particolare nelle imprese industriali e nelle scuole di ingegneria, con ulteriori vittime in Bielorussia e Kazakistan. L'origine del gruppo rimane poco chiara, ma Kaspersky osserva che le email di phishing sono redatte in russo e includono archivi con nomi di file russi, suggerendo che i principali obiettivi siano probabilmente basati in Russia o parlino russo. Gli hacker mantengono una connessione al pool di mining, inviando richieste ogni 60 secondi e affinando continuamente le loro tattiche, che includono l'exfiltrazione dei dati, il dispiegamento di strumenti di accesso remoto e l'uso di siti di phishing per compromettere gli account email.
Kaspersky specula che i Librarian Ghouls potrebbero essere hacktivisti, usando l'hacking come forma di disobbedienza civile per promuovere un'agenda politica. Questa speculazione si basa sulla loro dipendenza da utilità di terze parti legittime piuttosto che sviluppare i propri binari dannosi. La durata dell'attività del gruppo è incerta, ma un'altra azienda di cybersecurity russa, BI. ZONE, ha riportato il 23 novembre che Rare Werewolf è attivo almeno dal 2019. La campagna di cryptojacking in corso evidenzia le tattiche in evoluzione dei criminali informatici e l'importanza di misure di cybersecurity robuste per proteggere contro tali minacce.