Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Romcom Group Snipbot, Rustyclaw ve Mythic Agent Varyantları dağıttı
Akhabokan Akan (Athokan_akhsha) •
12 Ağustos 2025
Rusça konuşan bir hack grubu, Winrar’da sıfır günlük bir kusurdan yararlanıyor, bu da grubun siber suç kıyafetinden sibersiz bir operasyona giren sofistike ve evriminin bir işareti.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Güvenlik firması ESET’teki araştırmacılar, Temmuz ayından bu yana aktif olan kampanyayı ortaya çıkardı. Kampanya, bir yol geçiş güvenlik açığı olan CVE-2025-8088 olarak izlenen bir güvenlik açığından yararlandı. Winrar, ESET araştırmacılarının şirketi uyarmasından sonra 31 Temmuz’da bir yama yayınladı.
Storm-0978, Tropikal Scorpius ve UNC2596 olarak da izlenen Romcom, esas olarak geçmişte fidye yazılımı konuşlandırdı. Rusya’nın 2022 Ukrayna’yı istila ettiği için grup, geleneksel siber suç operasyonları ile birlikte Kremlin çıkarları ile uyumlu siber başlık operasyonları gerçekleştirdi. ESET araştırmacıları, “Bu, Romcom’un en azından üçüncü kez, vahşi doğada sıfır günlük bir güvenlik açığı kullandığını ve hedeflenen saldırılar için istismarları elde etmeye ve kullanmaya odaklanmasını vurguladığını söyledi.” Dedi.
İş başvurusu olarak gizlenmiş kimlik avı e -postaları ile başlar. Bilgisayar korsanları, Winrar’ın otomatik olarak açıldığı kötü amaçlı kod gömmek için Windows NTFS dosya sistemindeki alternatif veri akışı özniteliğinden yararlandı. Saldırganlar, yüklerini gizlemek için kukla veriler ve geçersiz yollarla birden fazla alternatif veri akışı girişi kullanırlar.
Araştırmacılar, farklı kötü amaçlı yazılımlar uygulayan üç enfeksiyon zinciri gözlemlediler:
- MyThic Agent: Bir DLL, Windows’un nasıl göründüğünü ve COM nesnelerini nasıl yüklediğini manipüle eden bileşen nesne modeli kaçırma yoluyla yürütülür. Kötü amaçlı komut dosyası, enfekte makinenin alan adını alır – tipik olarak şirket adıdır – ve değerler eşleşmezse komut dosyasını kapatarak sert kodlanmış bir değerle karşılaştırır. ESET, “Bu, saldırganların önceden keşif yaptıkları ve bu e -postanın oldukça hedeflendiğini doğruladığı anlamına geliyor.” Enfeksiyon zinciri, açık kaynaklı bir kırmızı takım platformu olan Mythic’i yükleyerek sona erer.
- Snipbot Varyant: Kötü niyetli bir LNK dosyası, popüler bir güvenli kabuk terminali olan kurcalanmış açık kaynaklı macun varyantını başlatır. Birim 42’nin ROMCOM’a atfettiği kötü amaçlı yazılımlar olan bir Snipbot varyantı gibi görünen kabuk kodunu yükler.
- Rustyclaw ve MeltingClaw: Kötü niyetli bir LNK, RustyClaw indiricisini dağıtır, bu da Romcom’a atfedilen MeltingClaw tarafından Dublajlı MeltingClaw olarak adlandırılan kötü amaçlı yazılımları kısmen eşleştiren farklı bir indiriciyi bırakır.
ESET araştırmacıları, “Keşfedilen kampanya, Rusça uyumlu APT gruplarının tipik çıkarlarıyla uyumlu olan sektörleri hedef aldı ve operasyonun arkasında jeopolitik bir motivasyon önerdi.” Dedi.
Moskova merkezli Bi.zone, Romcom’a ek olarak, kağıt kurtadam ve goffee olarak izlenen başka bir tehdit grubunun Rus şirketlerini hedeflemek için Winrar kusurundan yararlandığını söyledi.
İş kimliğine bürünme kullanan kampanyalar daha önce Kuzey Koreli hackerların ayırt edici özelliğiydi, ancak dünyadaki siber suçlular şimdi aynı taktiği dağıtıyor (bkz:: Kuzey Koreli hackerlar sahte görüşmeler yoluyla kötü amaçlı yazılım yayıyor).