اپراتورهای RomCom RAT با استفاده از نسخههای نادرست نرمافزار مانند SolarWinds Network Performance Monitor، مدیر رمز عبور KeePass و PDF Reader Pro به تکامل کمپینهای خود ادامه میدهند.
اهداف این عملیات شامل قربانیان در اوکراین و کشورهای منتخب انگلیسی زبان مانند بریتانیا است
تیم تحقیقاتی و اطلاعاتی BlackBerry Threat در تحلیلی جدید گفت: "با توجه به جغرافیای اهداف و وضعیت ژئوپلیتیک فعلی، بعید است هکرهایی مانند عامل تهدید RomCom RAT با انگیزه سایبری باشند."
شرکت امنیت سایبری کانادایی یک کمپین فیشینگ نیزه ای را با هدف استفاده از یک تروجان دسترسی از راه دور به نام RomCom RAT فاش کرد و پس از یک هفته از افشای آخرین یافته ها، آخرین یافته ها از بین رفت.
عامل تهدید ناشناخته همچنین مشاهده شده است که از انواع تروجانیزه شده Advanced IP Scanner و pdfFiller به عنوان قطره چکان برای توزیع ایمپلنت استفاده می کند.
آخرین تکرار این کمپین مستلزم راهاندازی وبسایتهای شبیه به فریب با نام دامنه مشابه، به دنبال آن آپلود یک بسته نرمافزاری نصبکننده با بدافزار از نرمافزار مخرب، و سپس ارسال ایمیلهای فیشینگ برای قربانیان هدف است.
محققان توضیح دادند: «هنگام دانلود نسخه آزمایشی رایگان از سایت جعلی SolarWinds، یک فرم ثبت نام قانونی ظاهر می شود.
«در صورت پر کردن، پرسنل واقعی فروش SolarWinds ممکن است با قربانی تماس بگیرند تا آزمایش محصول را پیگیری کنند. این تکنیک قربانی را گمراه میکند تا تصور کند برنامهای که اخیراً دانلود و نصب شده کاملاً قانونی است.»
به گفته واحد 42 شبکه پالو آلتو، که گروه باجافزار را تحت عنوان Tropical Scorpius ردیابی میکند، استفاده از RomCom RAT با عوامل تهدید مرتبط با باجافزار کوبا و جاسوس صنعتی مرتبط است.
با توجه به ماهیت بهم پیوسته اکوسیستم مجرمان سایبری، فوراً مشخص نیست که آیا این دو مجموعه از فعالیتها با یکدیگر ارتباط دارند یا اینکه بدافزار برای فروش به عنوان خدماتی به دیگر عوامل تهدید ارائه شده است.