El actor de amenazas ruso conocido como RomCom ha sido vinculado a una nueva ola de ciberataques dirigidos a agencias gubernamentales ucranianas y entidades polacas desconocidas desde al menos finales de 2023.
Las intrusiones se caracterizan por el uso de una variante de RomCom RAT llamada SingleCamper (también conocido como SnipBot o RomCom 5.0), dijo Cisco Talos, que monitorea el clúster de actividad como UAT-5647.
“Esta versión se carga directamente desde el registro en la memoria y utiliza una dirección loopback para comunicarse con su cargador”, afirman los investigadores de seguridad Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer y Vitor Ventura. nota.
RomCom, también identificado como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 y Void Rabisu, ha participado en operaciones con múltiples motivaciones, como ransomware, extorsión e identificación de información selectiva, desde su aparición en 2022.
Se ha estimado que el ritmo operativo de sus ataques se ha acelerado en los últimos meses con el objetivo de establecer una persistencia a largo plazo en las redes comprometidas y extraer datos, lo que sugiere una clara agenda de espionaje.
Con este fin, el actor de amenazas “ampliaría agresivamente sus herramientas e infraestructura para admitir una amplia variedad de componentes maliciosos creados en varios lenguajes y plataformas” como C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG) y Lua (CLUE DE GOTA).
Las cadenas de ataque comienzan con un mensaje de phishing que entrega un descargador, codificado en C++ (MeltingClaw) o Rust (RustyClaw), que se utiliza para implementar las puertas traseras ShadyHammock y DustyHammock, respectivamente. Al mismo tiempo, se muestra un documento señuelo al destinatario para mantener la artimaña.
Si bien DustyHammock está diseñado para comunicarse con un servidor de comando y control (C2), ejecutar comandos arbitrarios y descargar archivos del servidor, ShadyHammock actúa como una plataforma de lanzamiento para SingleCamper y escucha los comandos entrantes.
A pesar de las características adicionales de ShadyHammock, se cree que es un predecesor de DustyHammock, dado que este último se observó en ataques en septiembre de 2024.
SingleCamper, la última versión de RomCom RAT, es responsable de una amplia gama de actividades posteriores al compromiso, que implican la descarga de la herramienta Plink de PuTTY para establecer túneles remotos con infraestructura controlada por el adversario, red de reconocimiento, movimiento lateral, descubrimiento de usuarios y sistemas, y datos. exfiltración.
“Esta serie específica de ataques, dirigidos a entidades ucranianas de alto perfil, probablemente tenga como objetivo servir a la doble estrategia del UAT-5647 de manera gradual: establecer acceso a largo plazo y exfiltrar datos durante el mayor tiempo posible para respaldar motivos de espionaje, y luego, potencialmente, pasar a implementar ransomware para interrumpir y probablemente obtener ganancias financieras del compromiso”, dijeron los investigadores.
“También es probable que las entidades polacas también fueran el objetivo, según las comprobaciones del idioma del teclado realizadas por el malware”.