O grupo de hackers russo ToddyCat foi detectado usando uma variedade de ferramentas para manter o acesso a ambientes comprometidos e roubar grandes volumes de dados. A empresa de segurança Kaspersky classificou esse ator de ameaças como um grupo que coleta dados em escala industrial, focando principalmente em organizações governamentais e relacionadas à defesa na região da Ásia-Pacífico.

ToddyCat foi documentado pela primeira vez em junho de 2022 em conexão com uma série de ataques cibernéticos direcionados a entidades governamentais e militares na Europa e na Ásia desde dezembro de 2020. Esses ataques usaram um backdoor chamado Samurai, que permite acesso remoto ao sistema comprometido.

Os pesquisadores descobriram ferramentas adicionais de exfiltração de dados, como LoFiSe e Pcexter, para coletar dados e carregar arquivos em servidores da Microsoft OneDrive. As ferramentas utilizadas incluem software para tunelamento de dados e coleta de informações, que são ativadas após o invasor obter acesso a contas de usuários privilegiados no sistema infectado. O uso de técnicas para contornar defesas, como mascarar a presença no sistema, mostra que o grupo ToddyCat é sofisticado e focado em evitar a detecção.

Para proteger as infraestruturas, a Kaspersky recomenda adicionar recursos e endereços IP de serviços de nuvem usados para tunelamento de tráfego à lista de bloqueio do firewall. Além disso, os usuários devem evitar armazenar senhas em navegadores para impedir que atacantes acessem informações sensíveis.