Un grupo de ataque de Kazajstán con tendencia a enviar mensajes de phishing está haciendo su trabajo sucio disfrazado de azerbaiyano.
YoroTrooper se detectó por primera vez en junio de 2022 y, a menudo, apunta a ex repúblicas soviéticas, incluidas Rusia, Armenia, Bielorrusia y Moldavia, así como a Azerbaiyán, y normalmente apunta a entidades gubernamentales.
Pero dadas las preferencias lingüísticas de YoroTrooper, su uso de la moneda kazaja y su objetivo muy limitado de entidades kazajas, los investigadores de Cisco Talos han concluido que el grupo es de Kazajstán.
Los investigadores también determinaron «con gran confianza» que YoroTrooper hizo numerosos esfuerzos para disfrazar su origen alojando la mayor parte de su infraestructura en Azerbaiyán, mientras seguía apuntando a instituciones en ese país.
La mayoría de las operaciones de YoroTrooper se realizan a través de Azerbaiyán, aunque los atacantes no parecen hablar el idioma azerbaiyano.