O grupo de ameaças Silent Lynx, até então desconhecido, foi identificado em ataques contra entidades no Quirguistão e Turcomenistão. Segundo a Seqrite Labs, esse grupo já havia mirado alvos na Europa Oriental e em think tanks governamentais da Ásia Central ligados ao setor bancário e à formulação de políticas econômicas. Com confiança moderada, acredita-se que a origem do grupo seja o Cazaquistão. Os alvos incluem embaixadas, advogados, bancos estatais e centros de pesquisa. A campanha de ataque começa com e-mails de spear-phishing contendo arquivos RAR maliciosos que instalam cargas úteis para obter acesso remoto aos sistemas infectados.

Na primeira campanha, detectada em 27 de dezembro de 2024, o RAR inicia um arquivo ISO com um binário C++ malicioso e um PDF falso. O executável aciona um script PowerShell que utiliza bots do Telegram (“@south_korea145_bot” e “@south_afr_angl_bot”) para executar comandos e exfiltrar dados. Esses bots podem baixar cargas adicionais de servidores remotos, como “pweobmxdlboi[.]com” e Google Drive. A segunda campanha emprega um RAR contendo um PDF de isca e um executável Golang. Esse último estabelece um shell reverso para um servidor controlado pelos invasores (“185.122.171[.]22:8082”).

A Seqrite Labs identificou semelhanças táticas entre Silent Lynx e o grupo YoroTrooper (ou SturgeonPhisher), conhecido por atacar países da Comunidade dos Estados Independentes (CIS) com ferramentas baseadas em PowerShell e Golang. O uso de arquivos ISO, carregadores C++, scripts PowerShell e implantes Golang evidencia a complexidade da estratégia de ataque. Além disso, a dependência de bots do Telegram para comando e controle reforça o foco em espionagem, especialmente na Ásia Central e nos países da SPECA.