Noisy Bear Targets Kazakhstan Energy Sector Com BarrelFire Phishing

Um grupo de ameaças cibernéticas de possível origem russa, batizado de Noisy Bear, está por trás da Operação BarrelFire direcionada ao setor energético do Cazaquistão. A campanha, ativa desde abril de 2025, visa funcionários da empresa KazMunaiGas (KMG) com e-mails de phishing contendo documentos falsos que simulam comunicações internas da empresa.

O ataque começa com um anexo ZIP que inclui um arquivo LNK malicioso, um documento isca e instruções em russo e cazaque. O payload final instala um implant DLL que permite shell reverso e execução de shellcode.

A infraestrutura do ataque está hospedada na provedora russa de hospedagem à prova de balas Aeza Group, recentemente sancionada pelos EUA. Paralelamente, outros grupos como Ghostwriter (aliado da Bielorrússia) e OldGremlin também intensificaram ataques contra Ucrânia, Polônia e empresas russas.

Ataques recentes contra a Rússia também incluíram o novo malware Phantom Stealer, baseado no código aberto Stealerium, que coleta informações sensíveis e inclui um módulo "PornDetector" para possível extorsão sexual. Além disso, um novo malware Android disfarçado de ferramenta de antivírus da FSB (agência de segurança russa) tem como alvo empresários russos.