Il panorama delle minacce informatiche si arricchisce di un nuovo inquietante scenario: il gruppo responsabile del malware RomCom ha recentemente colpito una società di ingegneria civile statunitense sfruttando il loader JavaScript SocGholish per diffondere il pericoloso Mythic Agent. È la prima volta che si osserva la distribuzione di un payload RomCom tramite SocGholish, segnando una collaborazione allarmante tra due delle minacce più note nel settore della cybersicurezza.
SocGholish: accesso iniziale e vettore di diffusione
SocGholish, conosciuto anche come FakeUpdates, si presenta come un broker di accesso iniziale, offrendo ad altri attori malevoli l'opportunità di installare vari tipi di malware. Tra i suoi clienti figurano gruppi noti come Evil Corp, LockBit e Dridex. La strategia tipica di SocGholish prevede la visualizzazione di falsi avvisi di aggiornamento di browser come Google Chrome o Mozilla Firefox su siti web legittimi ma compromessi. Questi pop-up spingono le vittime a scaricare script dannosi in JavaScript, che installano un loader per il successivo rilascio di ulteriori componenti malevoli.
Modalità di attacco e tecniche di compromissione
Gli attacchi si concentrano soprattutto su siti web poco protetti, sfruttando vulnerabilità note in plugin per iniettare codice JavaScript e attivare la catena di infezione. Una volta ottenuto l’accesso, i cybercriminali possono eseguire comandi sulla macchina compromessa tramite una reverse shell collegata a un server di comando e controllo (C2). In questa fase viene anche installato un backdoor Python custom, denominato VIPERTUNNEL.
RomCom: gruppo, obiettivi e tecniche
RomCom, noto anche con altri nomi come Nebulous Mantis e Void Rabisu, è un gruppo di matrice russa attivo dal 2022, coinvolto sia in operazioni di cybercrimine che di spionaggio. Il gruppo utilizza diverse tecniche di attacco, tra cui spear-phishing ed exploit zero-day, prendendo di mira istituzioni legate all’Ucraina e alla NATO.
L’attacco: introduzione di Mythic Agent e velocità d’azione
Nell’attacco analizzato, l’elemento centrale è l’introduzione del Mythic Agent, parte di una piattaforma di post-exploit cross-platform utilizzata per eseguire comandi, trasferire file e svolgere altre attività di controllo remoto. L’attacco, sebbene interrotto prima del completamento, dimostra l’elevata velocità d’azione: meno di 30 minuti dal primo contatto all’esecuzione del loader RomCom. La verifica del dominio Active Directory della vittima precede la consegna del malware, confermando la selettività e la sofisticazione della minaccia.
La diffusione globale e la rapidità di SocGholish, insieme alla capacità di RomCom di adattarsi e colpire nuovi obiettivi, rendono questa combinazione una delle più insidiose per le organizzazioni che operano a livello internazionale.