Romcom, void Rabisu ve tropikal Scorpius gibi takma adlar altında da izlenen siber suç grubu TA829, infamous Romcom Backdoor’un güncellenmiş bir versiyonunun yanında, şimdi dublajlı tek snipbot (aka snipbot) ile birlikte sofistike taktikler, teknikler ve prosedürler (TTP’ler) dağıtımı gözlemlenmiştir.
Finansal olarak motive olmuş siber suçları genellikle Rus devlet çıkarlarıyla uyumlu casusluk kampanyalarıyla harmanlamakla bilinen bu grup, 2024 yılı boyunca ve 2025’e kadar operasyonlarında belirgin bir evrim göstermiştir.
Kısa bir durgunluktan sonra Şubat 2025’te artan frekansla devam eden en son faaliyetleri, tespitten kaçınmak için yeraltından suçlu olan otomatik süreçlerin ve altyapının stratejik bir şekilde kullanıldığını ortaya koyuyor.
Siber suç ve casuslukta gelişen taktikler
TA829’un kimlik avı kampanyaları, tehlikeye atılan mikrotik yönlendiriciler ve freemail sağlayıcılar, enfeksiyon zincirlerini başlatmak için parodi onedrive veya Google Drive bağlantıları ile gönderilen düz metin e -postaları ile karakterize.
TA829 izleme sırasında paralel bir keşif, genellikle Morpheus fidye yazılımı enfeksiyonlarında doruğa ulaşan TransferLoader adlı yeni bir yükleyici ve arka kapı kullanan ayrı bir küme olan UNK_GREENSEC’e atfedilen çarpıcı bir şekilde benzer bir kampanyayı ortaya çıkardı.

Her iki grup da, e -posta teslimatı için uzlaşmış yönlendiricilerde REM proxy hizmetlerinin kullanımı, iş uygulamaları etrafında benzer cazibe temaları ve araştırmacıları ve kum havuzlarını filtrelemek için karmaşık yeniden yönlendirme zincirleri de dahil olmak üzere üst üste binen TTP’ler sergilemektedir.
Bununla birlikte, hacim, yük dağıtım ve unk_greensec’in gelişmiş filtreleme için CloudFlare kullanımı gibi altyapı olgunluğundaki ayrımlar potansiyel farklılıklar veya paylaşılan bir servis sağlayıcı olduğunu göstermektedir.
Unk_greensec ile örtüşüyor
Slipscreen ve Rustyclaw gibi yükleyicileri içeren TA829’un enfeksiyon zinciri, Windows Registery’yi kalıcılık ve sanal alan kaçırma için ağır bir şekilde kullanıyor, hafif arka kapı operasyonları için DustyHammock’u veya daha karmaşık casusluk görevleri için tekli bir kullanıyor.
Yeni krypters ile düzenli olarak güncellenen ve Rust ve C ++ gibi dillerle yazılan bu araçlar, TA829’un statik algılama mekanizmalarının önünde kalma taahhüdünü göstermektedir.

Bu arada, casusluk kampanyalarında sıfır gün istismarlarını benimsemeleri olası devlet rehberliğine veya kaynak işbirliğine işaret ediyor.
Rapora göre, Proofpoint’in analizi, paylaşılan altyapı sağlayıcılarından TransferLoader’ın TA829’un Arsenal’i için bir test yatağı olma olasılığına kadar TA829 ve UNK_GREENSEC arasındaki ilişki hakkında ilginç hipotezler doğuruyor.
Siber suçların ve casusluğun operasyonlarındaki yakınsaması, geleneksel atıf çizgilerini bulanıklaştırır ve suçlu ve devlet destekli güdülerin giderek daha fazla kesiştiği tehdit ortamındaki daha geniş bir eğilimi yansıtır.
TA829’un 2025 yılında tipik siber suç kurbanlarının yanı sıra savunma sektörlerini içerecek şekilde genişlediğinden, ShadyHammock kullanımı ve şifreli yükler ve ana bilgisayara özgü anahtarlara sahip gelişmiş teklicamper varyantları, veri hırsızlığı ve fidye takımı konuşlandırması için çift amaçlı bir strateji vurgulamaktadır.
Bu gelişen tehdit, prova noktası her iki kümeyi de birbirine bağlı ekosistemleri ve potansiyel doğrudan bağlantıları hakkında daha fazla bilgi için izlemeye devam ettiği için sürekli izleme gerektirir.
Uzlaşma Göstergeleri (IOCS)
Gösterge Türü | Örnek gösterge | Bağlam | İlk görüldü |
---|---|---|---|
Etki alanı (TA829) | 1drv[.]alan | İlk aşama alanı | Ekim 2024 |
Etki alanı (TA829) | Drivedefend[.]com | Dustyhammock C2 | Şubat 2025 |
Etki alanı (unk_greensec) | 1drive[.]biyografi | İlk aşama alanı | Şubat 2025 |
SHA256 (TA829) | 54a94c7ec25910478b40fd0e6325d1f5364351e6ce1add79369d6438ed6ed9 | Tekil | N/A |
SHA256 (unk_greensec) | 00385cae3630694eb70e2b82d5baa6130c503126c17db3fc63376c7d28c04145 | Aktarıcı | Şubat 2025 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin