Az olyan szoftverek csaló verzióinak használatával, mint a SolarWinds Network Performance Monitor, a KeePass jelszókezelő és a PDF Reader Pro, a RomCom RAT üzemeltetői folytatják kampányaik fejlesztését.
A művelet célpontjai Ukrajnában és egyes angol nyelvű országokban, például az Egyesült Királyságban áldozatok
"Tekintettel a célpontok földrajzi elhelyezkedésére és a jelenlegi geopolitikai helyzetre, nem valószínű, hogy a hackerek, mint például a RomCom RAT fenyegetettség szereplői kiberbűnözés motiváltak" - mondta a BlackBerry Threat Research and Intelligence Team új elemzésében.
A kanadai kiberbiztonsági vállalat nyilvánosságra hozott egy lándzsás adathalász kampányt, amelynek célja az ukrán entitások egy RomCom RAT nevű távoli hozzáférésű trójai telepítése volt, és egy héttel a nyilvánosságra hozatal után a legfrissebb eredmények derültek ki.
Azt is megfigyelték, hogy az ismeretlen fenyegetés szereplője az Advanced IP Scanner és a pdfFiller trójai változatait használja csepegtetőként az implantátum elosztásához.
A kampány legfrissebb iterációja során csalókaszerű webhelyeket állítanak fel hasonló domain névvel, majd feltöltik a rosszindulatú szoftvereket tartalmazó telepítőcsomagot, majd adathalász e-maileket küldenek a megcélzott áldozatoknak.
"Miközben letölt egy ingyenes próbaverziót a meghamisított SolarWinds webhelyről, megjelenik egy legitim regisztrációs űrlap" - magyarázták a kutatók.
„Ha kitölti, a valódi SolarWinds értékesítési személyzet kapcsolatba léphet az áldozattal, hogy nyomon kövesse a termékpróbát. Ez a technika félrevezeti az áldozatot, és azt hiheti, hogy a nemrégiben letöltött és telepített alkalmazás teljesen legitim.”
A RomCom RAT használatát a kubai ransomware-hez és az ipari kémhez kapcsolódó fenyegető szereplőkkel is kapcsolatba hozták a Palo Alto Networks Unit 42 szerint, amely a Tropical Scorpius csillagkép-témájú becenév alatt követi a zsarolóvírus-csoportot.
Tekintettel a kiberbûnözõ ökoszisztéma összekapcsolt jellegére, nem lehet azonnal nyilvánvaló, hogy a két tevékenységcsoportnak van-e közös kapcsolata, vagy ha a rosszindulatú szoftvert szolgáltatásként kínálják eladásra más fenyegetett szereplõknek.