RomCom试图向乌克兰关联的美国公司投递“不太浪漫”的有效载荷

与俄罗斯有关联的RomCom组织正在针对那些参与支持乌克兰项目的美国公司，该组织通过伪造软件更新的方式，试图在受害者的系统上植入Mythic Agent。

2025年9月，Arctic Wolf Labs检测到一次针对一家据称参与过此类项目的美国工程公司的攻击活动。攻击始于一个看似无害的“更新浏览器”弹窗，其中包含经典的SocGholish更新恶意软件。

Arctic Wolf研究人员在一篇博客文章中指出：“虽然攻击遵循了典型的初始SocGholish感染链，但在利用后大约10分钟，RomCom的目标Mythic Agent加载程序被投递到系统上。这是首次观察到RomCom的有效载荷通过SocGholish进行分发。”

Arctic Wolf指出，许多迹象和攻击模式将RomCom的活动与俄罗斯GRU第29155部队联系起来，该部队是俄罗斯最大情报机构的一部分，“通常负责针对全球实体的攻击性计算机网络行动”。

研究人员补充说，此次入侵在造成任何实际损害之前就被阻止了。

SocGholish与RomCom相遇

迄今为止，SocGholish主要与勒索软件分发者或受经济利益驱动的网络犯罪分子相关联。其标志性手法是在被入侵的合法网站上投放“虚假更新”诱饵——通常会提示用户安装看似是浏览器或软件的更新。但这一次，它携带的不是勒索软件有效载荷，而是一个能力极强的后利用工具：Mythic Agent。

Mythic Agent是一款基于Mythic C2框架构建的复杂植入程序，旨在为攻击者提供强大的远程访问能力，包括命令执行、侦察、文件窃取、横向移动以及加载额外插件。

研究人员解释说：“Mythic C2是一个基于Python 3编写的协作式、多平台红队框架。网络安全专业人员用它来管理和控制受损系统上的代理，但与其他许多红队安全工具一样，它也经常被威胁行为者滥用。”

研究人员指出，这种融合有效地将低摩擦的初始访问（通过SocGholish）与高影响力的间谍活动工具（通过Mythic Agent）结合在一起。这种技术有效地降低了RomCom侵入防御良好环境的门槛。

攻击目标聚焦于支持乌克兰的实体

报告中的第二个主要见解涉及受害者的选择。被攻击的公司并非国防承包商或政府机构，而是美国一家土木工程公司。其唯一显著的联系是曾参与涉及一个乌克兰关联城市的工作。

根据Arctic Wolf的说法，该事件符合RomCom更广泛的攻击模式，即针对与乌克兰有哪怕间接联系的组织。研究人员补充说，该组织已经从分发木马化安装程序稳步演变为进行更有纪律、更具选择性的操作，其与GRU第29155部队的疑似关联进一步解释了为什么与乌克兰相关的实体——无论多么间接——会持续吸引其注意力。

关于入侵指标，Arctic Wolf分享了一份恶意域名、IP地址和自治系统编号的列表。

研究人员表示：“发现了五个新的域名与Arctic Wolf Labs识别的两个归属于RomCom的Mythic C2服务器有关。这次攻击最终没有成功，因为RomCom的加载程序被Arctic Wolf的Aurora终端防御系统捕获，阻止了该威胁组织对目标实体的入侵。”

Arctic Wolf建议组织通过以下措施来防范类似威胁：阻止不受信任的脚本执行、强制执行严格的更新策略，并将任何浏览器内的“更新”提示视为可疑。该公司还强调，需要进行持续的终端监控和基于威胁情报的检测，以便在SocGholish式的虚假更新升级之前将其捕获。