عوامل تهدید مرتبط با خانواده بدافزار RomCom با استفاده از g,nv جاوا اسکریپت SocGholish، شرکتهای ایالات متحده را هدف قرار دادند تا Mythic Agent را روی سیستم قربانی مستقر کنند.
بر اساس مشاهدات محقق شرکت Arctic Wolf، پیلود مربوط به بدافزار RomCom از طریق SocGholish توزیع میشود. این کمپین به Unit 29155 اداره کل اطلاعات ستاد کل نیروهای مسلح فدراسیون روسیه (معروف به GRU) نسبت داده شد. SocGholish (معروف به FakeUpdates) به عامل تهدیدی موسوم به TA569 با انگیزه مالی (معروف به Gold Prelude, Mustard Tempest, Purple Vallhund, and UNC1543) مرتبط است که به عنوان واسط دسترسی اولیه عمل میکند و امکان دراپ پیلودهای داده متنوع را فراهم میسازد. زنجیره حمله معمولاً با نمیشود تا کاربران را فریب دهد فایل جاوا اسکریپت مخرب را دانلود کنند که این فایل بارگذار را نصب و سپس بدافزارهای بعدی را دریافت میکند.
از سوی دیگر، RomCom (معروف به Nebulous Mantis، Storm-0978، Tropical Scorpius، UNC2596 یا Void Rabisu) نامی است که به نفوذگران همسو با روسیه داده شد. آنها از تکنیکهای متعددی از جمله فیشنگ نیزهای و اکسپلویت از نقصهای روز صفر استفاده میکنند تا به شبکههای هدف نفوذ و RAT اختصاصی خود را روی دستگاههای قربانی مستقر کنند. حملات این گروه تاکنون نهادهای اوکراینی و سازمانهای دفاعی مرتبط با ناتو را هدف قرار داده است. در این حملات، پیلود داده بهروزرسانی جعلی به عوامل تهدید اجازه میدهد تا با استفاده از یک پوسته معکوس که به سرور فرمان و کنترل (C2) متصل است، دستوراتی را روی دستگاه آسیبپذیر اجرا کنند. این شامل انجام شناسایی و اجرای درب پشتی سفارشی پایتون VIPERTUNNEL میشود.
https://thehackernews.com/2025/11/romcom-uses-socgholish-fake-update.html
