Il gruppo di cyber spionaggio Nebulous Mantis, di matrice russofona, si distingue nel panorama delle minacce informatiche per aver condotto sofisticati attacchi multipli contro entità legate alla NATO, infrastrutture critiche e agenzie governative. Dal 2022, Nebulous Mantis utilizza RomCom RAT, un trojan di accesso remoto dotato di tecniche avanzate di evasione, tra cui strategie "living-off-the-land" e comunicazioni crittografate con i server di comando e controllo (C2). Il gruppo sfrutta infrastrutture bulletproof hosting, come LuxHost e Aeza, per mantenere la persistenza e sfuggire ai rilevamenti, appoggiandosi a un operatore identificato come LARVA-290.

Le campagne di attacco e le tecniche impiegate

Le campagne di attacco iniziano generalmente tramite spear-phishing, con email che contengono link a documenti malevoli. Una volta eseguito, il primo stadio di RomCom si collega a un server C2 per scaricare altri payload tramite il sistema InterPlanetary File System (IPFS) su domini controllati dagli attaccanti. Questo permette l’esecuzione di ulteriori comandi e l’installazione di una variante finale del malware, scritta in C++, che resta in comunicazione con il C2 al fine di scaricare moduli aggiuntivi e sottrarre dati sensibili dai browser.

RomCom è progettato per stabilire la persistenza tramite la manipolazione del registro di Windows (COM hijacking), raccogliere credenziali, effettuare ricognizione sul sistema e sulla rete, eseguire movimenti laterali, enumerare Active Directory e prelevare file, configurazioni e backup di Microsoft Outlook. Attraverso un pannello di controllo dedicato, gli operatori possono gestire le varianti del malware e le vittime, visualizzare i dettagli dei dispositivi e impartire oltre 40 comandi da remoto per attività di raccolta dati.

Caratteristiche operative di Nebulous Mantis

Nebulous Mantis si caratterizza per una metodologia d’intrusione multi-fase ben strutturata, con una disciplina operativa mirata a minimizzare le tracce lasciate, bilanciando aggressività nella raccolta di informazioni e necessità di stealth, caratteristiche tipiche di gruppi sponsorizzati da stati o cybercriminali con vaste risorse.

Ruthless Mantis: il contesto della minaccia

La segnalazione di queste attività segue di poco la scoperta di un altro gruppo ransomware, Ruthless Mantis, anch’esso legato a operatori russi e affiliato a programmi di doppia estorsione come Ragnar Locker e INC Ransom. Ruthless Mantis integra strumenti sia legittimi che personalizzati per ogni fase dell’attacco, dalla discovery all’esfiltrazione, e amplia costantemente il proprio arsenale per aumentare l’efficacia e la velocità operativa.