SolarWinds नेटवर्क प्रदर्शन मॉनिटर, KeePass पासवर्ड मैनेजर, और PDF रीडर प्रो जैसे सॉफ़्टवेयर के दुष्ट संस्करणों के उपयोग के साथ, RomCom RAT के संचालक अपने अभियानों को विकसित करना जारी रखे हुए हैं।
ऑपरेशन के लक्ष्य में यूक्रेन के पीड़ित और यूके जैसे चुनिंदा अंग्रेजी बोलने वाले देश शामिल हैं
ब्लैकबेरी थ्रेट रिसर्च एंड इंटेलिजेंस टीम ने एक नए विश्लेषण में कहा, "लक्ष्यों की भौगोलिक स्थिति और वर्तमान भू-राजनीतिक स्थिति को देखते हुए, यह संभावना नहीं है कि रोमकॉम आरएटी जैसे हैकर्स साइबर क्राइम से प्रेरित हैं।"
कनाडाई साइबर सुरक्षा कंपनी ने यूक्रेनी संस्थाओं के उद्देश्य से एक स्पीयर-फ़िशिंग अभियान का खुलासा किया, जिसका उद्देश्य रोमकॉम आरएटी नामक एक रिमोट एक्सेस ट्रोजन को तैनात करना था और प्रकटीकरण के एक सप्ताह के बाद, नवीनतम निष्कर्ष बाहर निकल गए।
अज्ञात थ्रेट एक्टर को इम्प्लांट वितरित करने के लिए ड्रॉपर के रूप में उन्नत आईपी स्कैनर और पीडीएफफिलर के ट्रोजनाइज्ड वेरिएंट का लाभ उठाते हुए देखा गया है।
अभियान के नवीनतम पुनरावृत्ति में एक समान डोमेन नाम के साथ डिकॉय लुकलाइक वेबसाइटों की स्थापना की जाती है, इसके बाद दुर्भावनापूर्ण सॉफ़्टवेयर के मैलवेयर-युक्त इंस्टॉलर बंडल को अपलोड किया जाता है, और फिर लक्षित पीड़ितों को फ़िशिंग ईमेल भेजे जाते हैं।
"धोखाधड़ी SolarWinds साइट से नि: शुल्क परीक्षण डाउनलोड करते समय, एक वैध पंजीकरण फॉर्म दिखाई देता है," शोधकर्ताओं ने समझाया।
“यदि भरा जाता है, तो असली SolarWinds बिक्री कर्मी उत्पाद परीक्षण पर अनुवर्ती कार्रवाई के लिए पीड़ित से संपर्क कर सकते हैं। यह तकनीक पीड़ित को यह विश्वास दिलाने में गुमराह करती है कि हाल ही में डाउनलोड और इंस्टॉल किया गया एप्लिकेशन पूरी तरह से वैध है।"
पालो ऑल्टो नेटवर्क्स यूनिट 42 के अनुसार, रोमकॉम आरएटी का उपयोग क्यूबा रैंसमवेयर और इंडस्ट्रियल स्पाई से जुड़े खतरे वाले अभिनेताओं से भी जुड़ा हुआ है, जो नक्षत्र-थीम वाले मॉनीकर ट्रॉपिकल स्कॉर्पियस के तहत रैंसमवेयर समूह पर नज़र रख रहा है।
साइबर क्रिमिनल इकोसिस्टम की परस्पर जुड़ी प्रकृति को देखते हुए, यह तुरंत स्पष्ट नहीं होता है कि गतिविधियों के दो सेट किसी कनेक्शन को साझा करते हैं या यदि मैलवेयर अन्य खतरे वाले अभिनेताओं को सेवा के रूप में बिक्री के लिए पेश किया जाता है।