RomCom试图向乌克兰关联的美国企业投放极不“浪漫”的恶意负载

据报道，与俄罗斯结盟的RomCom攻击组织正瞄准与乌克兰支持项目有联系的美国公司，利用虚假软件更新向受害系统投放Mythic Agent恶意软件。

2025年9月，Arctic Wolf实验室发现了一起针对一家据称曾参与此类项目的美国工程公司的攻击活动。此次攻击始于一个看似无害的“更新浏览器”弹窗，其中包含典型的SocGholish更新恶意软件。

“虽然攻击遵循了典型的初始SocGholish感染链，但在利用漏洞大约10分钟后，RomCom的针对性Mythic Agent加载器被投送到了系统，”Arctic Wolf研究人员在一篇博客文章中表示。“这是首次观察到RomCom负载通过SocGholish进行分发。”

Arctic Wolf指出，许多指标和攻击模式都将RomCom的活动与俄罗斯GRU第29155部队联系起来，该部队隶属于俄罗斯最大的情报机构，“通常负责针对全球实体的进攻性计算机网络行动。”

研究人员补充说，入侵在造成任何实际损害之前就被阻止了。

SocGholish与RomCom联手

到目前为止，SocGholish主要与勒索软件分发者或出于经济动机的网络犯罪分子相关联。其特点是在受感染的合法网站上投放“虚假更新”诱饵，通常提示用户安装看似浏览器或软件更新的程序。但这一次，它携带的不是勒索软件负载，而是一个功能强大的后渗透工具：Mythic Agent。

Mythic Agent是一个基于Mythic C2框架构建的复杂植入程序，旨在为攻击者提供强大的远程访问能力，包括命令执行、侦察、文件窃取、横向移动和加载额外插件。

研究人员解释说：“Mythic C2是一个用Python 3编写的协作式、多平台红队框架。它被网络安全专业人员用于管理和控制受损系统上的代理，但与许多其他红队安全工具一样，也经常被威胁行为者滥用。”

研究人员指出，这种融合有效地结合了低摩擦的初始访问（通过SocGholish）和高影响力的间谍工具（通过Mythic Agent）。这种技术有效地降低了RomCom渗透到防御良好环境中的门槛。

攻击目标聚焦于乌克兰支持者

该报告的第二个主要见解涉及受害者的选择。被攻击的公司并非国防承包商或政府机构，而是美国的一家土木工程公司。其唯一显著的联系是过去曾参与过与乌克兰相关城市的工作。

根据Arctic Wolf的说法，该事件符合RomCom针对与乌克兰有哪怕间接联系的组织的更广泛模式。研究人员补充说，该组织已经从分发木马化安装程序稳步发展到进行更有纪律、更具选择性的操作，其与GRU 29155部队的疑似联系进一步解释了为什么与乌克兰有联系的实体，无论多么间接，都会持续吸引其注意力。

对于入侵指标，Arctic Wolf分享了一份恶意域名、IP地址和自治系统编号的列表。“发现了五个新域名与Arctic Wolf实验室识别的两个归因于RomCom的Mythic C2服务器相关，”研究人员表示。“此次攻击最终没有成功，因为RomCom的加载器被Arctic Wolf的Aurora端点防御系统捕获，防止了该目标实体受到该威胁组织的侵害。”

Arctic Wolf建议组织通过阻止不受信任的脚本执行、执行严格的更新策略以及将任何浏览器内的“更新”提示视为可疑来加强防御，以应对类似威胁。该公司还强调需要持续的端点监控和基于威胁情报的检测，以便在SocGholish式的虚假更新升级之前将其捕获。