Los investigadores de ciberseguridad han marcado las similitudes tácticas entre los actores de amenaza detrás del Rata romcom y un clúster que se ha observado entregando un cargador doblado Cargador de transferencias.
Enterprise Security Firma Proofpoint está rastreando la actividad asociada con TransferLower a un grupo doblado Unk_greensec y los actores de rata de comedio romántico bajo el apodo TA829. Este último también es conocido por los nombres Cigar, Nebulul Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 y Void Rabisu.
La compañía dijo que descubrió unk_greensec como parte de su investigación en TA829, describiéndolo como utilizando una «cantidad inusual de infraestructura similar, tácticas de entrega, páginas de destino y temas de señuelos por correo electrónico».
TA829 es algo así como un grupo de piratería inusual en el panorama de amenazas dada su capacidad de realizar ataques de espionaje y motivados financieramente. El grupo híbrido alineado en Rusia también se ha vinculado a la explotación de fallas de seguridad en el día cero en Mozilla Firefox y Microsoft Windows para entregar ROMCom RAT en ataques dirigidos a objetivos globales.
A principios de este año, ProDaft detalló el uso de proveedores de alojamiento a prueba de balas de amenaza, tácticas de vida de la tierra (LOTL) y comunicaciones encriptadas de comando y control (C2) para evitar la detección.
TransferLoader, por otro lado, fue documentado por primera vez por Zscaler Denacena en relación con una campaña de febrero de 2025 que entregó el ransomware Morpheus contra un bufete de abogados estadounidense sin nombre.
Proofpoint señaló que las campañas realizadas por TA829 y UNK_GREENSEC dependen de los servicios de proxy REM que se implementan en enrutadores Mikrotik comprometidos para su infraestructura aguas arriba. Dicho esto, no se conoce el método exacto utilizado para violar estos dispositivos.
«Es probable que los dispositivos proxy REM se alquilen a los usuarios para transmitir el tráfico», dijo el equipo de investigación de amenaza de PROASPPOINT. «En las campañas observadas, tanto TA829 como Unk_greensec usan el servicio para transmitir el tráfico a nuevas cuentas en los proveedores de masa masa para enviar a los objetivos. TA829 también ha utilizado los servicios de poder REM para iniciar campañas similares a través de cuentas de correo electrónico comprometidas».
Dado que el formato de las direcciones del remitente es similar, por ejemplo, ximajazehox333@gmail.com y Hannahsilva1978@ukr.net, se cree que los actores de amenaza probablemente están utilizando una utilidad de creador de correo electrónico que facilita la creación en masa y el envío de correos electrónicos de fisuras a través de nodos proxy.
Los mensajes actúan como un conducto para entregar un enlace, que está directamente integrado en el cuerpo o dentro de un accesorio PDF. Al hacer clic en el enlace, inicia una serie de redirecciones a través de REBRANDY que, en última instancia, lleva a la víctima a una página falsa de Google Drive o Microsoft OneDrive, mientras se filtran máquinas que han sido marcadas como cajas de arena o que no se consideran de interés para los atacantes.
Es en esta etapa que las cadenas de ataque se dividen en dos, ya que la infraestructura adversaria a la que se redirigen los objetivos es diferente, allanando el camino para el cargador de transferencias en el caso de unk_greensec y una cepa de malware llamada SlipsCreen en el caso de TA829.
«Ta829 y Unk_greensec han implementado la utilidad Plink de Putty para configurar túneles SSH, y ambos usaron servicios de IPFS para alojar esas utilidades en la actividad de seguimiento», señaló Proofpoint.
SlipsCreen es un cargador de primera etapa que está diseñado para descifrar y cargar Shellcode directamente en la memoria e iniciar comunicaciones con un servidor remoto, pero solo después de una verificación de registro de Windows para garantizar que la computadora específica tenga al menos 55 documentos recientes basados en la clave «HKCU Software Microsoft Windows CurrentVersion Explorer recientes».
La secuencia de infección se usa luego para desplegar un descargador llamado MeltingClaw (también conocido como Peacock Damasced) o Rustyclaw, que luego se usa para dejar caer traseros como Shadyhammock o Dustyhammock, y el primero se usa para lanzar un single.
Dustyhammock, además de ejecutar comandos de reconocimiento en un sistema infectado, viene equipado con la capacidad de descargar cargas útiles adicionales alojadas en la red interplanetaria del sistema de archivos (IPFS).
Se ha encontrado que las campañas que propagan el cargador de transferencias aprovechan los mensajes con el tema de la oportunidad de trabajo para engañar a las víctimas para que haga clic en un enlace que aparentemente conduce a un currículum PDF, pero, en realidad, da como resultado la descarga de TransferLoader desde un WebShare de IPFS.
El objetivo principal de TransferLoader es volar bajo el radar y servir más malware, como el metaSploit y el ransomware Morpheus, una versión renombrada del ransomware Hellcat.
«A diferencia de las campañas de TA829, los componentes JavaScript de campañas de las campañas de transferencia redirigieron a los usuarios a un punto final PHP diferente en el mismo servidor, lo que permite al operador realizar más filtros del lado del servidor», dijo Proofpoint. «Unk_greensec usó una página de destino dinámica, a menudo irrelevante para la parodia de OneDrive, y redirigió a los usuarios a la carga útil final que se almacenó en un webshare IPFS».
La trafica superpuesta entre TA829 y unk_greensec plantea una de las cuatro posibilidades –
- Los actores de amenaza están adquiriendo distribución e infraestructura del mismo proveedor de terceros
- TA829 adquiere y distribuye infraestructura por sí solo, y ha proporcionado estos servicios a unk_greensec
- Unk_greensec es el proveedor de infraestructura que generalmente ofrece su warez a TA829, pero decidió usarlo temporalmente para entregar su propio malware, TransferLoader
- TA829 y unk_greensec son lo mismo, y TransferLoader es una nueva adición a su arsenal de malware
«En el panorama de amenazas actual, los puntos en los que el delito cibernético y la actividad de espionaje se superponen continúan aumentando, eliminando las barreras distintivas que separan a los actores criminales y estatales», dijo Proofpoint. «Las campañas, los indicadores y los comportamientos de los actores de amenaza han convergido, haciendo que la atribución y la agrupación dentro del ecosistema sean más desafiantes».
«Si bien no hay evidencia suficiente para corroborar la naturaleza exacta de la relación entre TA829 y unk_greensec, es muy probable que haya un vínculo entre los grupos».