El actor de amenazas ruso conocido como RomCom ha sido vinculado a una nueva ola de ciberataques dirigidos a agencias gubernamentales ucranianas y entidades polacas desconocidas desde al menos finales de 2023.
Las intrusiones se caracterizan por el uso de una variante de RomCom RAT denominada SingleCamper (también conocido como SnipBot o RomCom 5.0), dijo Cisco Talos, que está monitoreando el grupo de actividad bajo el nombre de UAT-5647.
“Esta versión se carga directamente desde el registro en la memoria y utiliza una dirección loopback para comunicarse con su cargador”, señalaron los investigadores de seguridad Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer y Vitor Ventura.
RomCom, también identificado como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 y Void Rabisu, ha participado en operaciones multimotivacionales como ransomware, extorsión y recopilación de credenciales selectivas desde su aparición en 2022.
Se ha evaluado que el ritmo operativo de sus ataques ha aumentado en los últimos meses con el objetivo de establecer una persistencia a largo plazo en las redes comprometidas y exfiltrar datos, lo que sugiere una clara agenda de espionaje.
Con ese fin, se dice que el actor de amenazas está “expandiendo agresivamente sus herramientas e infraestructura para admitir una amplia variedad de componentes de malware creados en diversos lenguajes y plataformas”, como C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG), y Lua (DROPCLUE).
Las cadenas de ataque comienzan con un mensaje de phishing que entrega un descargador, ya sea codificado en C++ (MeltingClaw) o Rust (RustyClaw), que sirve para implementar las puertas traseras ShadyHammock y DustyHammock, respectivamente. Paralelamente, se muestra al destinatario un documento señuelo para mantener la artimaña.
Si bien DustyHammock está diseñado para comunicarse con un servidor de comando y control (C2), ejecutar comandos arbitrarios y descargar archivos del servidor, ShadyHammock actúa como una plataforma de lanzamiento para SingleCamper además de escuchar los comandos entrantes.
A pesar de las características adicionales de ShadyHammock, se cree que es un predecesor de DustyHammock, dado que este último se observó en ataques en septiembre de 2024.
SingleCamper, la última versión de RomCom RAT, es responsable de una amplia gama de actividades posteriores al compromiso, que implican descargar la herramienta Plink de PuTTY para establecer túneles remotos con infraestructura controlada por el adversario, reconocimiento de red, movimiento lateral, descubrimiento de usuarios y sistemas, y Exfiltración de datos.
“Esta serie específica de ataques, dirigidos a entidades ucranianas de alto perfil, probablemente esté destinada a servir a la doble estrategia del UAT-5647 de manera gradual: establecer acceso a largo plazo y exfiltrar datos durante el mayor tiempo posible para respaldar motivos de espionaje, y luego potencialmente recurrir a la implementación de ransomware para interrumpir y probablemente beneficiarse financieramente del compromiso”, dijeron los investigadores.
“También es probable que entidades polacas también fueran atacadas, según las comprobaciones del idioma del teclado realizadas por el malware”.
