Il gruppo di cybercriminali noto come RomCom ha colpito una società statunitense di ingegneria civile sfruttando la tecnica SocGholish, un loader JavaScript noto anche come FakeUpdates, per distribuire il malware Mythic Agent. Si tratta di un’evoluzione significativa delle strategie di attacco, poiché è la prima volta che RomCom viene veicolato attraverso SocGholish. Gli analisti di sicurezza collegano questa attività all’Unità 29155 del GRU russo, specializzata in operazioni di spionaggio e sabotaggio informatico, e sottolineano che la vittima aveva in passato collaborato con una città legata all’Ucraina.

Catena di attacco e ruolo di SocGholish

SocGholish svolge il ruolo di broker di accesso iniziale per altri gruppi criminali, tra cui Evil Corp, LockBit, Dridex e Raspberry Robin. La catena di attacco inizia con finte notifiche di aggiornamento del browser (Chrome o Firefox) mostrate su siti legittimi ma compromessi, inducendo l’utente a scaricare ed eseguire codice JavaScript malevolo. Da qui parte l’installazione di un loader, che a sua volta scarica ulteriori componenti dannosi.

Tecniche di compromissione e obiettivi

Questa strategia si basa spesso su vulnerabilità note nei plugin di siti web poco protetti, dove l’attaccante inietta codice JavaScript per visualizzare il popup fraudolento e innescare la catena di infezione. RomCom, conosciuto anche come Nebulous Mantis, Storm-0978, Tropical Scorpius e UNC2596, è un gruppo allineato alla Russia attivo dal 2022 sia in operazioni di cybercrimine sia di spionaggio, con particolare attenzione a obiettivi in Ucraina e a organizzazioni legate alla NATO.

Metodi di attacco e strumenti impiegati

RomCom utilizza svariate tecniche di compromissione, tra cui spear-phishing e l’exploit di vulnerabilità zero-day, per introdurre il proprio trojan di accesso remoto (RAT) nei sistemi delle vittime. Nella campagna analizzata, il payload del finto aggiornamento del browser permette agli attaccanti di eseguire comandi sulla macchina infetta tramite una reverse shell collegata a un server di comando e controllo, consentendo attività di ricognizione e l’installazione di backdoor personalizzate come VIPERTUNNEL.

Impatto e implicazioni delle campagne SocGholish

Un altro passaggio critico prevede il rilascio di un loader DLL collegato a RomCom che avvia il Mythic Agent, componente chiave di un framework cross-platform per il post-exploit e il controllo remoto. Sebbene l’attacco sia stato interrotto tempestivamente, la velocità e la sofisticazione dell’operazione confermano l’interesse persistente del gruppo RomCom verso obiettivi collegati all’Ucraina o a chi fornisce assistenza al paese. La diffusione e la rapidità delle campagne SocGholish rappresentano una minaccia concreta per le organizzazioni di tutto il mondo.