威胁行为者利用虚假更新诱饵部署 SocGholish 恶意软件

在一次重大的网络威胁升级中，Arctic Wolf Labs 发现了一场协同行动。在这场行动中，与俄罗斯结盟的 RomCom 威胁组织利用 SocGholish 恶意软件，攻击了一家据信与乌克兰有联系的美国工程公司。 这是首次有记录的、RomCom 载荷通过 SocGholish 基础设施进行分发的案例，标志着两个主要威胁行为者危险的融合。

事件发生于 2025 年9月，SocGholish 的主要运营商 TA569 入侵了合法网站，并注入能够传递虚假软件更新提示的恶意 JavaScript。 目标用户不知情，下载了看似常规的浏览器更新。在利用成功后几分钟内，大约感染后十分钟，RomCom 复杂的 Mythic Agent 加载器就被投递到受感染的系统。

Arctic Wolf 的分析显示，攻击者使用了旨在逃避检测的混淆 JavaScript 代码。 一旦执行，载荷会建立到 SocGholish 命令与控制（C2）基础设施的反向 shell 连接，为攻击者提供即时的远程访问权限，以进行侦察和进一步的利用。

俄罗斯国家介入

根据调查中发现的取证证据，Arctic Wolf Labs 以中到高度的信心评估，认为俄罗斯 GRU 的第 29155 部队正在策划这些攻击。 除了他们的钓鱼活动外，SocGholish 运营商还通过使用第三方流量定向系统（TDS）获得了第二个更丰富的流量来源。

第 29155 部队是俄罗斯最大的对外情报机构，专门针对全球实体开展进攻性网络行动。 自 2022 年初以来，该部队一直致力于破坏对乌克兰的国际援助，这使得将关联乌克兰的组织作为攻击目标成为其战略重点。 受害组织曾为一座亲乌克兰城市工作过的历史，突显了 RomCom 针对与乌克兰哪怕只有微弱联系的实体所采取的系统性方法，无论其地理位置如何。

这次攻击展示了相当高的技术复杂度。在获得初始访问权限后，攻击者部署了包括 VIPERTUNNEL（一个定制的 Python 后门）在内的辅助载荷。 侦察命令使用内置了反检测技术的 PowerShell 执行。对脚本的进一步反混淆揭示了以下代码：

在建立持久性后的三分钟内，威胁行为者测试了与 Mythic C2 框架的连接。Mythic 本是一款红队工具，现已被重新用于犯罪目的。 RomCom 加载器以 msedge.dll 的形式投递，包含了域验证例程以确保精确攻击。Shellcode 的执行利用了 AES 加密和回调保护技术。

恶意软件即服务模式

TA569 将 SocGholish 作为恶意软件即服务（MaaS）平台运营，将受感染系统的访问权出售给出价最高的犯罪分子。 正如 ESET 报告中所提及的，该加载器名为 msedge.dll。此样本会检查系统所在的域名，如果与硬编码的值匹配，则会解密并执行 shellcode。

过去，其客户包括 Evil Corp 和 LockBit 等勒索软件组织。SocGholish 感染日益成为重大勒索软件事件的前兆，提高了受害组织的风险。

Arctic Wolf Labs 识别出了七个与 RomCom 相关的恶意 Mythic C2 域名，其中六个是在 2025 年7月同一天注册的。 利用服务器响应头和注册数据进行技术关联，为将其归因于 RomCom 活动提供了有力证据。

在此次攻击中，Arctic Wolf 的 Aurora 端点防御平台立即检测并隔离了 RomCom 加载器，隔离了受感染系统，防止了更广泛的网络损害。

SocGholish 的初始访问操作与 RomCom 的高级加载器能力融合，标志着威胁态势进入了一个新阶段。 组织必须将检测到 SocGholish 视为高风险事件，很可能伴随高级别的后续入侵，这强化了强大的检测能力和快速事件响应的必要性。