Los investigadores de ciberseguridad han impresionado las similitudes tácticas entre los actores de amenaza detrás del Rata romcom y un clúster que se ha observado entregando un cargador doblado Cargador de transferencias.
Enterprise Security Firma Proofpoint está rastreando la actividad asociada con TransferLower a un género doblado Unk_greensec y los actores de rata de comedio romántico bajo el apodo TA829. Este postrero incluso es conocido por los nombres Cigar, Nebulul Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 y Void Rabisu.
La compañía dijo que descubrió unk_greensec como parte de su investigación en TA829, describiéndolo como utilizando una «cantidad inusual de infraestructura similar, tácticas de entrega, páginas de destino y temas de señuelos por correo electrónico».
TA829 es poco así como un género de piratería inusual en el panorama de amenazas dada su capacidad de realizar ataques de espionaje y motivados financieramente. El género híbrido en línea en Rusia incluso se ha vinculado a la explotación de fallas de seguridad en el día cero en Mozilla Firefox y Microsoft Windows para entregar ROMCom RAT en ataques dirigidos a objetivos globales.
A principios de este año, ProDaft detalló el uso de proveedores de alojamiento a prueba de balas de amenaza, tácticas de vida de la tierra (LOTL) y comunicaciones encriptadas de comando y control (C2) para evitar la detección.
TransferLoader, por otro flanco, fue documentado por primera vez por Zscaler Denacena en relación con una campaña de febrero de 2025 que entregó el ransomware Morpheus contra un mesa de abogados estadounidense sin nombre.
Proofpoint señaló que las campañas realizadas por TA829 y UNK_GREENSEC dependen de los servicios de proxy REM que se implementan en enrutadores Mikrotik comprometidos para su infraestructura aguas hacia lo alto. Dicho esto, no se conoce el método exacto utilizado para violar estos dispositivos.
«Es probable que los dispositivos proxy REM se alquilen a los usuarios para transmitir el tráfico», dijo el equipo de investigación de amenaza de PROASPPOINT. «En las campañas observadas, tanto TA829 como Unk_greensec usan el servicio para transmitir el tráfico a nuevas cuentas en los proveedores de masa masa para cursar a los objetivos. TA829 incluso ha utilizado los servicios de poder REM para iniciar campañas similares a través de cuentas de correo electrónico comprometidas».
Legado que el formato de las direcciones del remitente es similar, por ejemplo, ximajazehox333@gmail.com y Hannahsilva1978@ukr.net, se cree que los actores de amenaza probablemente están utilizando una utilidad de creador de correo electrónico que facilita la creación en masa y el emisión de correos electrónicos de fisuras a través de nodos proxy.
Los mensajes actúan como un conducto para entregar un enlace, que está directamente integrado en el cuerpo o interiormente de un accidental PDF. Al hacer clic en el enlace, inicia una serie de redirecciones a través de REBRANDY que, en última instancia, lleva a la víctima a una página falsa de Google Drive o Microsoft OneDrive, mientras se filtran máquinas que han sido marcadas como cajas de arena o que no se consideran de interés para los atacantes.
Es en esta etapa que las cadenas de ataque se dividen en dos, ya que la infraestructura adversaria a la que se redirigen los objetivos es diferente, allanando el camino para el cargador de transferencias en el caso de unk_greensec y una cepa de malware emplazamiento SlipsCreen en el caso de TA829.
«Ta829 y Unk_greensec han implementado la utilidad Plink de Putty para configurar túneles SSH, y entreambos usaron servicios de IPFS para introducir esas utilidades en la actividad de seguimiento», señaló Proofpoint.
SlipsCreen es un cargador de primera etapa que está diseñado para descifrar y cargar Shellcode directamente en la memoria e iniciar comunicaciones con un servidor remoto, pero solo posteriormente de una comprobación de registro de Windows para asegurar que la computadora específica tenga al menos 55 documentos recientes basados en la secreto «HKCU Software Microsoft Windows CurrentVersion Explorer recientes».
La secuencia de infección se usa luego para desplegar un descargador llamado MeltingClaw (incluso conocido como Peacock Damasced) o Rustyclaw, que luego se usa para dejar caer traseros como Shadyhammock o Dustyhammock, y el primero se usa para divulgar un single.
Dustyhammock, encima de ejecutar comandos de inspección en un sistema infectado, viene equipado con la capacidad de descargar cargas bártulos adicionales alojadas en la red interplanetaria del sistema de archivos (IPFS).
Se ha enemigo que las campañas que propagan el cargador de transferencias aprovechan los mensajes con el tema de la oportunidad de trabajo para engañar a las víctimas para que haga clic en un enlace que aparentemente conduce a un currículum PDF, pero, en existencia, da como resultado la descarga de TransferLoader desde un WebShare de IPFS.
El objetivo principal de TransferLoader es fugarse bajo el radar y servir más malware, como el metaSploit y el ransomware Morpheus, una interpretación renombrada del ransomware Hellcat.
«A diferencia de las campañas de TA829, los componentes JavaScript de campañas de las campañas de transferencia redirigieron a los usuarios a un punto final PHP diferente en el mismo servidor, lo que permite al cámara realizar más filtros del flanco del servidor», dijo Proofpoint. «Unk_greensec usó una página de destino dinámica, a menudo irrelevante para la parodia de OneDrive, y redirigió a los usuarios a la carga útil final que se almacenó en un webshare IPFS».
La trafica superpuesta entre TA829 y unk_greensec plantea una de las cuatro posibilidades –
- Los actores de amenaza están adquiriendo distribución e infraestructura del mismo proveedor de terceros
- TA829 adquiere y distribuye infraestructura por sí solo, y ha proporcionado estos servicios a unk_greensec
- Unk_greensec es el proveedor de infraestructura que generalmente ofrece su warez a TA829, pero decidió usarlo temporalmente para entregar su propio malware, TransferLoader
- TA829 y unk_greensec son lo mismo, y TransferLoader es una nueva añadido a su cantera de malware
«En el panorama de amenazas presente, los puntos en los que el delito cibernético y la actividad de espionaje se superponen continúan aumentando, eliminando las barreras distintivas que separan a los actores criminales y estatales», dijo Proofpoint. «Las campañas, los indicadores y los comportamientos de los actores de amenaza han convergido, haciendo que la atribución y la agrupación interiormente del ecosistema sean más desafiantes».
«Si adecuadamente no hay evidencia suficiente para corroborar la naturaleza exacta de la relación entre TA829 y unk_greensec, es muy probable que haya un vínculo entre los grupos».
