Selon VMRay Cybersecurity Blog (TLP: Green), une nouvelle étude détaille les opérations post‑exploitation de l’APT Hydra Saiga (a.k.a. Yorotrooper/ShadowSilk/Silent Lynx), active depuis au moins 2021, avec ciblage d’infrastructures critiques et usage systématique de Telegram comme C2.

L’étude met en avant une activité soutenue jusqu’à fin 2025, une victimologie étendue (gouvernements, énergie, eau, santé, juridique, industrie, éducation, aviation) et une empreinte géopolitique cohérente avec une attribution au Kazakhstan (rythme UTC+5 et pauses lors des fêtes nationales). Le groupe a compromis au moins 34 organisations dans 8 pays, avec plus de 200 cibles en reconnaissance. Un marqueur distinctif est l’usage du Telegram Bot API pour piloter des implants.

Vecteurs initiaux observés (deux campagnes) :

  • Campagne 1 (déc. 2024) : exécutable-leader chargeant un backdoor PowerShell C2 Telegram (/getUpdates), parfois diffusé via ISO/RAR et emails de phishing avec documents leurres régionaux.
  • Campagne 2 : email d’hameçonnage (expéditeur natalnayayevgenevna@mail[.]ru) visant la Royal Oman Police, pièce jointe RAR chiffrée contenant un Word à macros qui télécharge un backdoor PowerShell depuis 185.106.92[.]127; présence concomitante d’un binaire Meterpreter sur la même IP.

Post‑exploitation « hands‑on‑keyboard »: persistance par tâches planifiées et clés de registre; accès aux identifiants via FakeLogonScreen, export SAM/SECURITY, activation WDigest, dump LSASS; mouvement latéral avec nltest, WMI, PsExec et déploiement de reverse SOCKS5 (resocks) et chisel; évasion par désactivation de Microsoft Defender et du pare‑feu; collecte par captures d’écran (PRTSC) et archivage RAR; transfert/outillage via curl/wget/bitsadmin/PowerShell; exfiltration par curl et implants Telegram. Des voleurs de navigateurs dédiés ont été observés: un exécutable PyInstaller pour déchiffrer la base Chrome “Login Data”, puis un outil Go collectant historiques, identifiants et cookies sur Edge/Firefox/Yandex/Opera/Chrome.

L’équipe souligne des échecs d’OPSEC (infection de machines de staging des opérateurs), révélant historiques de navigation, requêtes et éléments d’infrastructure. Le kit évolue rapidement (Rust, Go, Python, PowerShell, Havoc, resocks), avec adaptation pour contourner des défenses modernes comme le chiffrement lié aux apps de Chrome. La reconnaissance amont inclut Censys, Shodan, Acunetix, recherche de mots de passe par défaut, bruteforce, exploitation de emails/VPN compromis et envoi de phishing depuis des boîtes aux lettres gouvernementales piratées.

IOC/Observables 📌

  • IP d’hébergement/C2: 185.106.92[.]127; host consulté: 195.38.162[.]147
  • Expéditeur phishing: natalnayayevgenevna@mail[.]ru
  • Fichiers/leurrages: « Letter from the Permanent Representative of Turkmenistan to the UN … launch.exe »; « إنجازات الربع الثالث 2024 (003).doc »
  • Outils/ressources vus: resocks, chisel, Meterpreter, Havoc, FakeLogonScreen; liens consultés/recon hxxps[:]//search.censys[.]io/…, hxxps[:]//account.shodan[.]io/…, hxxps[:]//github[.]com/duyet/bruteforce-database/…
  • C2: Telegram Bot API (/getUpdates)

TTPs clés 🧩

  • Accès initial: phishing (ISO/RAR, macros), emails compromis, recherche VPN/mots de passe par défaut, scans Censys/Shodan, Acunetix, bruteforce
  • Persistance: tâches planifiées, clés de registre
  • Credentials: FakeLogonScreen, export SAM/SECURITY, activer WDigest, dump LSASS, exfil de fichiers « passwords.txt »
  • Mouvement latéral: nltest, WMI, PsExec, déploiement de proxys/tunnels (resocks, chisel)
  • Evasion: désactivation Defender/pare‑feu
  • Collecte/exfil: screenshots, RAR, voleurs navigateurs (PyInstaller/Go), curl, Telegram

Il s’agit d’une analyse de menace visant à documenter les campagnes, TTPs et IOCs de Hydra Saiga et à étayer l’attribution au contexte kazakh.

🧠 TTPs et IOCs détectés

TTP

Accès initial: phishing (ISO/RAR, macros), emails compromis, recherche VPN/mots de passe par défaut, scans Censys/Shodan, Acunetix, bruteforce; Persistance: tâches planifiées, clés de registre; Credentials: FakeLogonScreen, export SAM/SECURITY, activer WDigest, dump LSASS, exfil de fichiers « passwords.txt »; Mouvement latéral: nltest, WMI, PsExec, déploiement de proxys/tunnels (resocks, chisel); Evasion: désactivation Defender/pare‑feu; Collecte/exfil: screenshots, RAR, voleurs navigateurs (PyInstaller/Go), curl, Telegram

IOC

IP d’hébergement/C2: 185.106.92[.]127; host consulté: 195.38.162[.]147; Expéditeur phishing: natalnayayevgenevna@mail[.]ru; Fichiers/leurrages: « Letter from the Permanent Representative of Turkmenistan to the UN … launch.exe »; « إنجازات الربع الثالث 2024 (003).doc »; C2: Telegram Bot API (/getUpdates)

🔗 Source originale : https://www.vmray.com/hydra-saiga-covert-espionage-and-infiltration-of-critical-utilities/