10 Things I Hate About Attribution: RomCom vs. TransferLoader

关键要点

• TA829同时进行间谍活动和网络犯罪操作，依赖犯罪地下市场服务，并基于传统RomCom后门构建定期更新的工具套件
• Proofpoint观察到高度相似的电子邮件活动和重定向基础设施设置，这些活动部署了名为TransferLoader的新加载器和后门
• 目前Proofpoint将TransferLoader活动归因于名为“UNK_GreenSec”的独立网络犯罪集群，而非TA829
• 本博客展示分析师如何探索两组活动之间的差异和重叠，并对这两个集群在更大犯罪和间谍生态系统中的关系提出开放式问题

概述

大多数情况下，可以根据不同的战术、技术和程序(TTP)、工具、数量/规模和目标来划分不同集群的活动，并将网络犯罪与间谍活动分开。然而，在TA829和Proofpoint称为“UNK_GreenSec”的集群案例中，存在更多模糊性。TA829是一个网络犯罪行为者，偶尔也进行符合俄罗斯国家利益的间谍活动，而UNK_GreenSec是一个不寻常的网络犯罪集群。

TA829与第三方跟踪为RomCom、Void Rabisu、Storm-0978、CIGAR、Nebulous Mantis、Tropical Scorpius的活动重叠。UNK_GreenSec网络犯罪集群似乎与公开报告的活动集不一致。

在追踪TA829时，Proofpoint观察到另一个行为者使用了异常相似的基础设施、传递策略、登录页面和电子邮件诱饵主题。最初我们的研究人员将此活动聚类为TA829的一部分，但在进一步调查感染链、行为和恶意软件后，Proofpoint研究人员开始将此活动作为独立集群跟踪。本报告将通过突出两个行为者之间的活动和恶意软件重叠来详细说明这种碰撞。此外，我们将探讨关于这些共享特征存在原因和方式的假设，范围从两个团体使用共享基础设施和传递提供商到两个集群之间更直接的关系。

Proofpoint研究人员观察到本报告中描述的活动与历史TA505活动有相似之处，包括诱饵、URL缩短器、域模式、域注册和基础设施。然而，我们目前不归因于TA505，因为我们无法高度自信地说TA505是否明确关联，或者行为者是否使用了极其相似的TTP。

介绍

TA829是威胁领域中的独特行为者；其行为将其分类为经济动机行为者，但也定期使用相同的自定义工具套件进行间谍活动。在入侵乌克兰之后，TA829除了其正常节奏的经济动机活动外，开始在与俄罗斯国家利益一致的乌克兰进行针对性间谍活动。

TA829活动在间谍活动世界中是不寻常的。行为者的自动化和规模化流程，例如定期更新打包器和加载器、对每个目标使用不同的发送基础设施和源地址，以及使用广泛的重定向链来检测和规避研究人员，与间谍活动相比更典型于网络犯罪分子。TA829进行定期网络钓鱼活动以部署其SingleCamper（又名SnipBot，RomCom后门的更新版本）恶意软件的变体或其较轻量级的DustyHammock恶意软件。TA829的高端能力，例如使用浏览器或操作系统零日漏洞，似乎保留用于专门的间谍活动。尚不清楚行为者的能力是否被间谍活动共同选择，或者是否存在俄罗斯政府的某种其他形式的指导或任务分配。

TA829在间谍活动和广泛网络犯罪操作中的网络钓鱼活动自去年以来相对静态。Proofpoint在2024年观察到少量归因于TA829的活动，该团体最后一次出现是在10月。然而，TA829于2025年2月以其典型的TTP和更频繁的操作节奏回归。该活动包括使用通过免费邮件提供商从受感染的MikroTik路由器发送的纯文本电子邮件，欺骗OneDrive或Google Drive链接以启动感染链，并利用Rebrandly重定向器到独特的登录页面。TA829可能从犯罪地下市场成员获取服务和基础设施，包括混淆服务和域注册。尽管融入了地下经济并购买了一些能力，行为者还继续为其感染链开发自定义工具。

在2025年2月TA829操作间歇期间，一组类似的活动也开始进行，旨在部署先前未观察到的恶意软件有效负载。这些活动具有TA829活动的标志性特征，但包含显著差异，包括针对更广泛行业和地理区域的数千条消息量、一致引用工作申请和招聘的诱饵主题，以及后来被称为TransferLoader的独特有效负载。Proofpoint研究人员在2025年2月的前两周观察到四次传递TransferLoader的活动。这些活动归因于临时集群名为UNK_GreenSec，针对北美，范围从几百条消息到超过两千条。TransferLoader在其感染链结束时被观察到投放Morpheus勒索软件。

比较活动

UNK_GreenSec和TA829的感染链有许多相似之处。下图说明了传递基础设施的重叠，以及感染链在有效负载传递和恶意软件安装方面的分歧。

![感染链比较图]

传递

两个行为者都依赖部署在受感染MikroTik路由器上的REM代理服务作为其上游发送基础设施的一部分。受感染的路由器通常打开端口51922托管SSH服务。Proofpoint目前无法了解用于入侵这些设备的方法以及REM代理有效负载是什么。REM代理设备可能租给用户以中继流量。在观察到的活动中，TA829和UNK_GreenSec都使用该服务将流量中继到免费邮件提供商的新账户，然后发送给目标。REM代理服务也被TA829通过受感染的电子邮件账户发起类似活动。

![REM代理节点滥用示例]

发送者地址的格式在提供商之间是标准的：通常包含名字和姓氏，通常后跟两到六位数字（一些UNK_GreenSec活动在发送者地址中未使用数字）。Proofpoint假设行为者共享一个电子邮件构建实用程序，允许通过REM代理节点批量创建和发送这些电子邮件。

两个活动中的电子邮件都由纯文本消息正文组成，其中包含指向行为者控制域的链接，直接在正文中或在附加的PDF中，如下所示。消息围绕求职或对目标实体的投诉为主题，内容足够通用以便在活动中重复使用，但每个目标有唯一链接。

![TA829电子邮件诱饵]

![UNK_GreenSec电子邮件诱饵]

打开链接后，一系列重定向器将真实用户路由到欺骗OneDrive或Google Drive的登录页面。两个行为者使用相似的域注册，依赖Rebrandly服务和托管。部署TransferLoader的活动使用更复杂的保护来过滤研究设备和沙箱，并使用Cloudflare服务过滤流量。TA829先前使用Rebrandly重定向器在登录页面上使用一次性链接，但在2025年3月，行为者采用了先前在UNK_GreenSec活动中使用的过滤实践。

在所有两个活动集的活动中，登录页面显示指向下载站点的链接，该链接又投放欺骗PDF的签名加载器。此时相似性结束，因为每个集群之间的JavaScript和第一阶段恶意软件是不同的，感染链继续分歧以不同的有效负载结束。根据Proofpoint数据以及Unit42、Talos和Zscaler的出版物，TA829和UNK_GreenSec都部署了Putty的PLINK实用程序来设置SSH隧道，并在后续活动中使用IPFS服务托管这些实用程序。

下表详细说明了威胁行为者集群的相似性和差异：

TA829：RSVP和查看我们的注册表

如果用户点击TA829电子邮件中的链接，他们通过TA829第一阶段重定向器域路由，然后通过Rebrandly重定向器，到达欺骗Google Drive或OneDrive的登录页面。如果用户点击下载按钮，从另一个域投放可执行文件。先前，TA829依赖TempSH托管第一阶段可执行文件，但后来依赖受感染的域或MediaFire服务托管有效负载。此下载的可执行文件启动感染链。

![TA829登录页面]

TA829感染链在其操作中严重依赖注册表，如Cisco Talos和Palo Alto的Unit42所述；它用于存储额外的有效负载、持久性以及验证加载器未在沙箱中运行。第一阶段加载器是Proofpoint跟踪为SlipScreen的家族。它无效签名并使用PDF阅读器图标说服目标执行它。我们观察到SlipScreen变体用Rust编写，其他变体用C++编写，其加密器为每个活动更新，使得静态检测困难。

SlipScreen将shellcode解密并加载到自己的内存空间中，并在进行初始注册表检查后启动与命令和控制(C2)服务器的通信，以确保目标计算机根据Windows注册表至少有55个最近文档（以避免沙箱检测）。

![SlipScreen shellcode注册表检查]

TA829将传递RustyClaw加载器的更新版本或MeltingClaw加载器（又名DAMASCENED PEACOCK）的更新版本；两者将在相同的进程地址空间中下载和运行，并可能导致DustyHammock或SingleCamper后门。

初步分析表明这些不同的恶意软件家族专门用于间谍活动（SingleCamper）或网络犯罪（DustyHammock）；然而，后来的活动显示两种感染链都用于经济动机的入侵。2025年观察到的SingleCamper活动与DustyHammock活动有相似之处，这模糊了活动目标的评估。

作为导致DustyHammock的感染链的一部分，RustyClaw DLL首先在SlipScreen进程空间内执行，然后设置注册表键以存储下一阶段有效负载的路径。RustyClaw DLL然后将信标到C2服务器以下载DustyHammock后门到该文件位置并重新启动explorer.exe进程。设置的注册表键将在其重新启动时通过COM劫持执行DustyHammock后门。

COM劫持中使用的示例键：

1
2
3

SOFTWARE\Classes\CLSID\{2155fee3-2419-4373-b102-6843707eb41f}\InprocServer32
SOFTWARE\Classes\CLSID\{30d49246-d217-465f-b00b-ac9ddd652eb7}\InprocServer32
SOFTWARE\Classes\CLSID\{f82b4ef1-93a9-4dde-8015-f7950a1a6e31}\InprocServer32

DustyHammock是一个极简主义后门，可以通过cmd.exe运行命令，以及下载和执行其他文件。DustyHammock通信的信标结构与SingleCamper高度相似，这表明两种变体可以从同一面板管理。ProDaft关于该团体的报告显示了来自DustyHammock（RUSTY, GAGA1）和SingleCamper（VIVAT, CMPN）感染的各种机器人ID，提供了TA829使用统一感染管理工具的进一步证据。

![信标结构比较]

Proofpoint还观察到DustyHammock（内部DLL名称mmngr.dll）从C2执行命令，该C2遵循Talos描述为SingleCamper使用的信标结构和自动侦察命令。Proofpoint观察到DustyHammock的变体部署用Rust编写的网络侦察DLL（内部名称extra.dll，欺骗DataFileSystemDiagnostic）以收集受害者信息，该DLL有效地作为Window函数ipconfig、systeminfo和tasklist的包装器操作。TA829操作员可能正在测试插件变体。

![DustyHammock网络流量]

2025年4月，TA829在其经济动机活动中转向使用ShadyHammock和SingleCamper工具套件。TA829活动也开始针对国防和其他通常更指示间谍活动的相关行业中的组织，以及该团体网络犯罪操作中通常针对的部门。ShadyHammock感染链还通过使用来自受害者主机信息的密钥加密后续有效负载来实现比DustyHammock感染链更多的保护。

SingleCamper感染链使用多个DLL，所有DLL都从相同的基础框架构建。文件具有相同的启动，使用相同的API哈希算法、字符串解密例程以及查询WMI获取主机信息的函数。从此框架构建的DLL将使用WMI查询收集主机的ProcesserID和序列号。一些来自2024年8月的较旧SlipScreen变体样本也共享此API哈希函数。这些项目被连接和哈希处理，该16字节哈希用作解密附加阶段的密钥材料，以及验证C2和加载器之间的通信。

![一致的API哈希算法]

这些DLL中的第一个，MeltingClaw，将向C2服务器发送POST请求，其中字符串"get_module_test_msg_module"和16字节哈希附加到请求。C2响应填充的加密数据blob（键控到16字节主机哈希），该blob被打包以移除填充，分割成块，然后写入注册表中的多个位置。

![MeltingClaw HTTP数据包]

然后此数据被打包到注册表中的四个注册表键：

1
2
3
4

HKEY_CURRENT_USER\Control Panel\Cursors\BackupData\Binary
HKEY_CURRENT_USER\Control Panel\Colors\FontColor\Binary
HKEY_CURRENT_USER\Environment\Cache\Binary
HKEY_CURRENT_USER\Keyboard Layout\Preload\OldConfig\Binary

MeltingClaw然后发送第二个请求，其中字符串"get_module_test_load_module"和前述哈希值；C2以纯文本返回ShadyHammock DLL，MeltingClaw将其写入磁盘，然后设置COM劫持以在explorer.exe重新启动后执行DLL。

ShadyHammock DLL（内部DLL名称：loader_moder.dll）读取和解密注册表内容，并使用shellcode加载器将新版本的SingleCamper后门部署到内存中（内部DLL名称message_module.dll）。后门设置互斥体Global\srvmutex并在连接到同一C2服务器签入之前进行主机侦察。

后门进入信标睡眠循环以连接到C2。服务器发回一致响应，指示后门继续睡眠，直到操作员发出命令，后门然后将实施该命令。如果响应小于16字节或出站请求失败，后门递增失败计数器；一旦达到30次失败，后门清理感染链的部分并删除自身。

![SingleCamper心跳信标]

SingleCamper后门具有广泛的命令集，可以从C2传回，如Talos和Unit42所述。SingleCamper和DustyHammock都用作目标主机中的主要立足点，通过从InterPlanetary File System (IPFS)下载其他工具或发出侦察命令进一步危害受害者网络。这可以促进数据盗窃和勒索软件部署，这两者在间谍和犯罪活动中都有其用途。

UNK_GreenSec部署TransferLoader

在监视TA829活动时，我们在2025年2月观察到高度相似的感染链分发不同的下载器。此下载器后来被称为TransferLoader，并由ZScaler记录。分发TransferLoader的活动通常以关于假候选人在收件人公司寻求角色的电子邮件开始。像TA829活动一样，发送者是通用的假个人，而不是真实的受感染用户。电子邮件正文通常包含链接，或带有链接的PDF，指向发送者声称是简历或作品集的内容，托管在行为者控制的服务器上。

![UNK_GreenSec电子邮件诱饵]

![PDF内容示例]

点击链接启动在UNK_GreenSec和TA829活动中观察到的Rebrandly重定向链。一旦点击下载按钮，从IPFS webshare下载签名可执行文件。像SlipScreen一样，TransferLoader可执行文件具有PDF图标和与求职主题一致的文件名。

![UNK_GreenSec登录页面]

TransferLoader的主要目标是逃避检测和加载额外的有效负载。恶意软件包含许多显著特征，例如从XOR编码字符串验证文件名、加密和编码算法的自定义实现、从64位DLL动态解析的API哈希、存储在具有不同名称的文件部分中的加密数据、感染链和后续有效负载。

字符串是XOR加密的以协助混淆。在运行时，堆栈字符串被解析并与字符串后面的8字节密钥进行XOR运算。在此第一阶段，解密的字符串包含重要变量，例如在文件名检查中使用的文件名、在Base32解码中使用的自定义字母表、在自定义AES实现中使用的AES密钥，以及容纳加密数据的部分的名称。

TransferLoader首先检查文件名是否已更改。2025年观察到的大多数文件名包含字符串"Resume"或"Professional"和"2025"。文件名通常由网络安全分析师、自动化工具和检测工具在分析过程中因多种原因更改。仅当预期的字符串保留在文件名中时，恶意软件才会运行。

![TransferLoader检查自己的文件名]

恶意软件从64位DLL动态解析API哈希，这是恶意软件使用的一种技术，有助于逃避检测。恶意软件不存储API函数名称（如LoadLibraryA或GetProcAddress）为可读字符串，而是存储函数名称的64位哈希。在运行时，它扫描加载的模块（如kernel32.dll），哈希每个导出的函数名称，并将结果与存储的哈希比较。当找到匹配时，它解析API函数的实际地址，而不 ever 以明文暴露函数名称。此方法模糊恶意软件使用的API，使得静态分析和基于签名的检测更加困难。TransferLoader首先加载并检查两个API。如果成功，它继续解析其余部分。

接下来，恶意软件使用XOR解密字符串定位容纳下一阶段加密数据的部分名称。2025年初观察到的重复部分名称包括".green"、".secenc"和".dbg"。一旦定位，加密数据使用Base32和XOR解密字符串中找到的自定义字母表解码。Base32解码的数据然后使用自定义AES实现使用同样在XOR解密字符串中找到的密钥解密下一阶段，通常导致Zscaler描述的下载器或后门模块。

![TransferLoader PCAP示例]

Proofpoint研究人员观察到TransferLoader投放Metasploit，第三方研究人员报告TransferLoader感染导致Morpheus勒索软件，这可能是HellCat勒索软件的更新版本。

2025年6月，UNK_GreenSec活动以新版本的TransferLoader和更新但相似的感染链恢复。在新活动中，REM代理节点通过免费邮件提供商发送消息。消息包含指向AWS S3存储桶的链接，这些链接重定向到受感染的WordPress站点或行为者控制的假招聘域。然后两个域都重定向到熟悉的OneDrive风格登录页面，而不是发送带有指向行为者控制域的链接的电子邮件，这些域在OneDrive欺骗登录页面之前使用Rebrandly重定向器。

比较基础设施

UNK_GreenSec活动最初在其基础设施保护习惯方面更成熟。与TA829活动不同，TransferLoader活动的JavaScript组件将用户重定向到同一服务器上的不同PHP端点，这允许操作员进行进一步的服务器端过滤。UNK_GreenSec使用动态登录页面，通常与OneDrive欺骗无关，并将用户重定向到存储在IPFS webshare上的最终有效负载。

![UNK_GreenSec下载JavaScript]

此外，TransferLoader活动引入了Cloudflare检查以防止自动链接跟踪找到下载页面。TA829活动最终采用了此实践。TA829登录页面如果链接已被受害者使用，将返回静态启动页面。

TA829活动的登录页面上的JavaScript自2024年中以来一直一致，并将用户进一步重定向到第三方托管站点，如MediaFire或Temp.Sh，或到受感染的域以托管第一阶段有效负载。

![TA829下载JavaScript]

两个行为者的第一阶段重定向域通过Tucows注册并托管在专用的Rebrandly基础设施上。两个行为者使用NGINX技术用于登录页面。TA829的C2域由CloudFlare前端，但后端通常托管在ShockHosting或Aeza International ASN上，使用OpenResty技术。晚期TA829组件遵循前述的基于HTTP的信标和命令执行结构。

UNK_GreenSec登录页面和C2基础设施通常直接托管在Aeza服务器上，并通过WebNic注册商注册。UNK_GreenSec登录页面和C2使用在Ubuntu上运行的nginx。TransferLoader流量使用自定义HTTP头以及基于TCP的协议与其C2服务器通信。虽然这些差异可能很细微，但它们可能有助于区分一个行为者与另一个行为者的基础设施。

竞争假设

两组活动的调查提出了这些行为者是否相关或重叠是巧合的问题。这些包括TTP、基础设施和恶意软件的相似性。UNK_GreenSec活动在TA829休息期间的时间安排以及与Morpheus和HellCat勒索软件的联系进一步强化了UNK_GreenSec和TA829之间关系的可能性。

总体数据点导致以下潜在假设：

• TA829和UNK_GreenSec从相同的第三方提供商购买分发和基础设施；
• TA829采购和分发自己的基础设施，并临时向UNK_GreenSec提供这些服务；
• UNK_GreenSec是基础设施和分发提供商，通常向TA829操作员销售，并临时使用这些服务部署自己的恶意软件TransferLoader；
• 两个集群是相同的行为者，TransferLoader是来自TA829的测试阶段的新家族。

结论

历史上，网络犯罪和间谍活动保持相对 distinct，动机不同。虽然有一些显著的例外——例如用于间谍活动的网络犯罪恶意软件如DanaBot和Sunseed，以及为政府赞助商工作的犯罪操作员——但总体目标可以 largely 被 starkly 定义和归因。（一个始终发现自己 outside 这种二分法的国家是朝鲜，其威胁行为者进行间谍活动和犯罪以代表政权窃取资金。）

在当前的威胁环境中，网络犯罪和间谍活动重叠的点继续增加，移除了分离犯罪和国家行为者的独特障碍。活动、指标和威胁行为者行为已经趋同，使得归因和生态系统内的聚类更具挑战性。

虽然没有足够的证据证实TA829和UNK_GreenSec之间关系的确切性质，但团体之间很可能存在联系。Proofpoint将继续单独跟踪两个活动集，并调查两个团体TTP的进一步发展和重叠。

危害指标

域名指标

恶意软件指标

ET规则

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

2862007 - TA829 CnC Check-in - RDPE1 Variant
2862008 - TA829 CnC Check-in - RUSTY Variant
2862009 - TA829 CnC Check-in - VIVAT Variant
2862010 - TA829 CnC Check-in - CMPN1 Variant
2862011 - TA829 CnC Check-in - GAGA1 Variant
2862012 - TA829 Requesting Next Stage
2862013 - TA829 Requesting Next Stage
2862005 - TA829 CnC Check-in With Unknown Identifier String
2063154 - TransferLoader User-Agent Observed (Microsoft Edge/1.0)
2063155 - TransferLoader Custom HTTP Header and Values Observed (X-Custom-Header)