Actores de amenazas vinculados al grupo RomCom han sido observados utilizando el cargador JavaScript SocGholish para entregar el Mythic Agent a una empresa de ingeniería civil con sede en Estados Unidos. Este evento marca la primera vez que se detecta un payload de RomCom distribuido a través de SocGholish.
El ataque ha sido atribuido con confianza media-alta a la Unidad 29155 de la Dirección Principal del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa (GRU). La entidad objetivo es una empresa que había trabajado previamente para una ciudad con estrechos lazos con Ucrania.
La Alianza RomCom y SocGholish
RomCom (también conocido como Nebulous Mantis, Storm-0978, Tropical Scorpius o UNC2596) es un actor de amenazas alineado con Rusia, activo desde al menos 2022, que combina operaciones de ciberdelincuencia y espionaje. Este grupo es conocido por utilizar spear-phishing y exploits de día cero para infiltrarse en redes y desplegar su troyano de acceso remoto (RAT) homónimo. Sus objetivos principales son entidades en Ucrania y organizaciones de defensa relacionadas con la OTAN.
SocGholish (también conocido como FakeUpdates o TA569) es un intermediario de acceso inicial (initial access broker) con motivación financiera. Su método de ataque se basa en servir alertas falsas de actualización de navegador (Google Chrome o Mozilla Firefox) en sitios web legítimos pero comprometidos. Al engañar a los usuarios, el script malicioso descarga un cargador que posteriormente instala malware adicional. SocGholish es utilizado por otros actores de amenazas de alto perfil, incluidos Evil Corp, LockBit, Dridex y Raspberry Robin.
La Cadena de Infección
La cadena de infección analizada por Arctic Wolf Labs reveló los siguientes pasos:
- Compromiso Inicial: El actor aprovecha vulnerabilidades conocidas en plugins para inyectar código JavaScript malicioso en sitios web mal protegidos.
- Atracción del Usuario: El código JavaScript muestra una falsa alerta de actualización de navegador para engañar al usuario y que descargue el cargador SocGholish.
- Entrega del Payload: Una vez que el cargador SocGholish se ejecuta en la máquina comprometida, establece un reverse shell con un servidor de comando y control (C2).
- Despliegue de Mythic Agent: A través del reverse shell, los atacantes ejecutan comandos para realizar tareas de reconocimiento y desplegar una backdoor de Python personalizada llamada VIPERTUNNEL. También se entrega un cargador DLL vinculado a RomCom que inicia el Mythic Agent.
- Reconocimiento y C2: El Mythic Agent es un framework de post-explotación multiplataforma que permite a los atacantes ejecutar comandos, realizar operaciones de archivos y mantener la persistencia.
Verificación del Objetivo y Velocidad de Ataque
El análisis del incidente destacó que la entrega del payload de RomCom no se realiza inmediatamente después de la infección inicial. El proceso incluye una verificación del dominio de Active Directory de la víctima para confirmar que coincide con un valor preestablecido por el actor de amenazas.
A pesar de que el ataque fue bloqueado antes de que pudiera progresar significativamente, el incidente subraya el continuo interés del actor RomCom en atacar entidades relacionadas con Ucrania, incluso si la conexión es indirecta. La velocidad del ataque, con menos de 30 minutos desde la infección inicial hasta la entrega del cargador RomCom, demuestra la potencia de SocGholish como amenaza para organizaciones a nivel global.
Conclusión
La colaboración entre el intermediario de acceso SocGholish y el grupo de espionaje RomCom ilustra una táctica evolutiva en la distribución de malware. La rapidez de la infección inicial y la verificación del objetivo demuestran la sofisticación de las campañas actuales. Las organizaciones deben estar alerta a los TTPs de SocGholish, que se dirigen a vulnerabilidades en plugins de sitios web, y a la amenaza persistente que representan grupos como RomCom.