Los investigadores de ciberseguridad han afectado las similitudes tácticas entre los actores de amenaza detrás del Rata romcom y un clúster que se ha observado entregando un cargador doblado Cargador de transferencias.
Enterprise Security Firma Proofpoint está rastreando la actividad asociada con TransferLower a un colección doblado Unk_greensec y los actores de rata de comedio romántico bajo el apodo TA829. Este postrero igualmente es conocido por los nombres Cigar, Nebulul Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 y Void Rabisu.
La compañía dijo que descubrió unk_greensec como parte de su investigación en TA829, describiéndolo como utilizando una “cantidad inusual de infraestructura similar, tácticas de entrega, páginas de destino y temas de señuelos por correo electrónico”.
TA829 es poco así como un colección de piratería inusual en el panorama de amenazas dada su capacidad de realizar ataques de espionaje y motivados financieramente. El colección híbrido adscrito en Rusia igualmente se ha vinculado a la explotación de fallas de seguridad en el día cero en Mozilla Firefox y Microsoft Windows para entregar ROMCom RAT en ataques dirigidos a objetivos globales.
A principios de este año, ProDaft detalló el uso de proveedores de alojamiento a prueba de balas de amenaza, tácticas de vida de la tierra (LOTL) y comunicaciones encriptadas de comando y control (C2) para evitar la detección.
TransferLoader, por otro banda, fue documentado por primera vez por Zscaler Denacena en relación con una campaña de febrero de 2025 que entregó el ransomware Morpheus contra un escritorio de abogados estadounidense sin nombre.
Proofpoint señaló que las campañas realizadas por TA829 y UNK_GREENSEC dependen de los servicios de proxy REM que se implementan en enrutadores Mikrotik comprometidos para su infraestructura aguas en lo alto. Dicho esto, no se conoce el método exacto utilizado para violar estos dispositivos.
“Es probable que los dispositivos proxy REM se alquilen a los usuarios para transmitir el tráfico”, dijo el equipo de investigación de amenaza de PROASPPOINT. “En las campañas observadas, tanto TA829 como Unk_greensec usan el servicio para transmitir el tráfico a nuevas cuentas en los proveedores de masa masa para dirigir a los objetivos. TA829 igualmente ha utilizado los servicios de poder REM para iniciar campañas similares a través de cuentas de correo electrónico comprometidas”.
Entregado que el formato de las direcciones del remitente es similar, por ejemplo, ximajazehox333@gmail.com y Hannahsilva1978@ukr.net, se cree que los actores de amenaza probablemente están utilizando una utilidad de creador de correo electrónico que facilita la creación en masa y el giro de correos electrónicos de fisuras a través de nodos proxy.
Los mensajes actúan como un conducto para entregar un enlace, que está directamente integrado en el cuerpo o interiormente de un circunstancial PDF. Al hacer clic en el enlace, inicia una serie de redirecciones a través de REBRANDY que, en última instancia, lleva a la víctima a una página falsa de Google Drive o Microsoft OneDrive, mientras se filtran máquinas que han sido marcadas como cajas de arena o que no se consideran de interés para los atacantes.
Es en esta etapa que las cadenas de ataque se dividen en dos, ya que la infraestructura adversaria a la que se redirigen los objetivos es diferente, allanando el camino para el cargador de transferencias en el caso de unk_greensec y una cepa de malware convocatoria SlipsCreen en el caso de TA829.
“Ta829 y Unk_greensec han implementado la utilidad Plink de Putty para configurar túneles SSH, y entreambos usaron servicios de IPFS para introducir esas utilidades en la actividad de seguimiento”, señaló Proofpoint.
SlipsCreen es un cargador de primera etapa que está diseñado para descifrar y cargar Shellcode directamente en la memoria e iniciar comunicaciones con un servidor remoto, pero solo posteriormente de una demostración de registro de Windows para respaldar que la computadora específica tenga al menos 55 documentos recientes basados en la secreto “HKCU Software Microsoft Windows CurrentVersion Explorer recientes”.
La secuencia de infección se usa luego para desplegar un descargador llamado MeltingClaw (igualmente conocido como Peacock Damasced) o Rustyclaw, que luego se usa para dejar caer traseros como Shadyhammock o Dustyhammock, y el primero se usa para editar un single.
Dustyhammock, encima de ejecutar comandos de gratitud en un sistema infectado, viene equipado con la capacidad de descargar cargas enseres adicionales alojadas en la red interplanetaria del sistema de archivos (IPFS).
Se ha enemigo que las campañas que propagan el cargador de transferencias aprovechan los mensajes con el tema de la oportunidad de trabajo para engañar a las víctimas para que haga clic en un enlace que aparentemente conduce a un currículum PDF, pero, en existencia, da como resultado la descarga de TransferLoader desde un WebShare de IPFS.
El objetivo principal de TransferLoader es estallar bajo el radar y servir más malware, como el metaSploit y el ransomware Morpheus, una traducción renombrada del ransomware Hellcat.
“A diferencia de las campañas de TA829, los componentes JavaScript de campañas de las campañas de transferencia redirigieron a los usuarios a un punto final PHP diferente en el mismo servidor, lo que permite al cámara realizar más filtros del banda del servidor”, dijo Proofpoint. “Unk_greensec usó una página de destino dinámica, a menudo irrelevante para la parodia de OneDrive, y redirigió a los usuarios a la carga útil final que se almacenó en un webshare IPFS”.
La trafica superpuesta entre TA829 y unk_greensec plantea una de las cuatro posibilidades –
- Los actores de amenaza están adquiriendo distribución e infraestructura del mismo proveedor de terceros
- TA829 adquiere y distribuye infraestructura por sí solo, y ha proporcionado estos servicios a unk_greensec
- Unk_greensec es el proveedor de infraestructura que generalmente ofrece su warez a TA829, pero decidió usarlo temporalmente para entregar su propio malware, TransferLoader
- TA829 y unk_greensec son lo mismo, y TransferLoader es una nueva añadidura a su atarazana de malware
“En el panorama de amenazas coetáneo, los puntos en los que el delito cibernético y la actividad de espionaje se superponen continúan aumentando, eliminando las barreras distintivas que separan a los actores criminales y estatales”, dijo Proofpoint. “Las campañas, los indicadores y los comportamientos de los actores de amenaza han convergido, haciendo que la atribución y la agrupación interiormente del ecosistema sean más desafiantes”.
“Si aceptablemente no hay evidencia suficiente para corroborar la naturaleza exacta de la relación entre TA829 y unk_greensec, es muy probable que haya un vínculo entre los grupos”.
