Aktor ancaman Rusia yang dikenal sebagai RomCom telah dikaitkan dengan gelombang baru serangan siber yang ditujukan terhadap lembaga pemerintah Ukraina dan entitas Polandia yang tidak dikenal setidaknya sejak akhir tahun 2023.
Intrusi tersebut ditandai dengan penggunaan varian RomCom RAT yang dijuluki SingleCamper (alias SnipBot atau RomCom 5.0), kata Cisco Talos, yang memantau cluster aktivitas dengan nama UAT-5647.
“Versi ini dimuat langsung dari registri ke dalam memori dan menggunakan alamat loopback untuk berkomunikasi dengan pemuatnya,” kata peneliti keamanan Dmytro Korzhevin, Asheer Malhotra, Vanja Svajcer, dan Vitor Ventura.
RomCom, juga dilacak sebagai Storm-0978, Tropical Scorpius, UAC-0180, UNC2596, dan Void Rabisu, telah terlibat dalam operasi multi-motivasi seperti ransomware, pemerasan, dan pengumpulan kredensial yang ditargetkan sejak kemunculannya pada tahun 2022.
Diperkirakan bahwa tempo operasional serangan mereka telah meningkat dalam beberapa bulan terakhir dengan tujuan untuk membangun persistensi jangka panjang pada jaringan yang disusupi dan mengambil data, yang menunjukkan adanya agenda spionase yang jelas.
Untuk itu, pelaku ancaman dikatakan “secara agresif memperluas peralatan dan infrastruktur mereka untuk mendukung beragam komponen malware yang dibuat dalam beragam bahasa dan platform” seperti C++ (ShadyHammock), Rust (DustyHammock), Go (GLUEEGG), dan Lua (DROPCLUE).
Rantai serangan dimulai dengan pesan spear-phishing yang mengirimkan pengunduh — baik berkode C++ (MeltingClaw) atau Rust (RustyClaw) — yang berfungsi untuk menyebarkan pintu belakang ShadyHammock dan DustyHammock. Secara paralel, dokumen umpan ditampilkan kepada penerima untuk mempertahankan tipu muslihat tersebut.
Sementara DustyHammock dirancang untuk menghubungi server perintah-dan-kontrol (C2), menjalankan perintah sewenang-wenang, dan mengunduh file dari server, ShadyHammock bertindak sebagai landasan peluncuran untuk SingleCamper serta mendengarkan perintah masuk.
Terlepas dari fitur tambahan ShadyHammock, diyakini bahwa ini adalah pendahulu DustyHammock, mengingat fakta bahwa DustyHammock diamati dalam serangan baru-baru ini pada bulan September 2024.
SingleCamper, versi terbaru dari RomCom RAT, bertanggung jawab atas berbagai aktivitas pasca-kompromi, yang memerlukan pengunduhan alat Plink PuTTY untuk membangun terowongan jarak jauh dengan infrastruktur yang dikendalikan musuh, pengintaian jaringan, pergerakan lateral, penemuan pengguna dan sistem, dan eksfiltrasi data.
“Serangkaian serangan khusus ini, yang menyasar entitas-entitas terkenal Ukraina, kemungkinan besar dimaksudkan untuk menjalankan dua strategi UAT-5647 secara bertahap – membangun akses jangka panjang dan menyaring data selama mungkin untuk mendukung motif spionase, dan kemudian berpotensi beralih ke penyebaran ransomware untuk mengganggu dan kemungkinan mendapatkan keuntungan finansial dari kompromi tersebut,” kata para peneliti.
“Kemungkinan besar entitas Polandia juga menjadi sasaran, berdasarkan pemeriksaan bahasa keyboard yang dilakukan oleh malware.”
