Los investigadores de ciberseguridad han arrojado luz sobre un grupo de ciber espionaje de habla rusa llamado Nebulloso mantis que ha desplegado un troyano de acceso remoto llamado Romcom Rat desde mediados de 2022.<\/p>\n
Romcom “emplea t\u00e9cnicas de evasi\u00f3n avanzadas, incluidas las t\u00e1cticas de vida de la tierra (LOTL) y las comunicaciones de comando y control (C2) encriptados (C2), al tiempo que evolucionan continuamente su infraestructura, aprovechando el alojamiento a prueba de balas para mantener la persistencia y evadir la detecci\u00f3n”, la compa\u00f1\u00eda de seguridad cibern\u00e9tica suiza espalear dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n Mantis nebulosa, tambi\u00e9n rastreada por la comunidad de seguridad cibern\u00e9tica bajo los nombres de Cigar, Cuba, Storm-0978, Tropical Scorpius, UNC2596 y Void Rabisu, es conocido por apuntar a una infraestructura cr\u00edtica, agencias gubernamentales, l\u00edderes pol\u00edticos y organizaciones de defensa relacionadas con la OTAN.<\/p>\n Las cadenas de ataque montadas por el grupo generalmente implican el uso de correos electr\u00f3nicos de phishing de lanza con enlaces de documentos armados para distribuir RomCom Rat. Los dominios y los servidores de comando y control (C2) utilizados en estas campa\u00f1as se han alojado en servicios de alojamiento a prueba de balas (BPH) como Luxhost y AEZA. La infraestructura es administrada y adquirida por un actor de amenaza llamado LARVA-290.<\/p>\n Se eval\u00faa que el actor de amenaza est\u00e1 activo desde al menos a mediados de 2019, con iteraciones anteriores de la campa\u00f1a que entrega un cargador de malware con nombre en c\u00f3digo Hancitor.<\/p>\n La DLL ROMCOM de primera etapa est\u00e1 dise\u00f1ada para conectarse a un servidor C2 y descargar cargas \u00fatiles adicionales utilizando el sistema de archivos interplanetario (IPFS) alojado en dominios controlados por el atacante, ejecutar comandos en el host infectado y ejecutar el malware C ++ de la etapa final.<\/p>\n La variante final tambi\u00e9n establece comunicaciones con el servidor C2 para ejecutar comandos, as\u00ed como descargar y ejecutar m\u00e1s m\u00f3dulos que pueden robar datos del navegador web.<\/p>\n “El actor de amenaza ejecuta el comando tzutil para identificar la zona horaria configurada del sistema”, dijo ProDaft. “Este descubrimiento de informaci\u00f3n del sistema revela un contexto geogr\u00e1fico y operativo que puede usarse para alinear las actividades de ataque con las horas de trabajo de las v\u00edctimas o para evadir ciertos controles de seguridad basados \u200b\u200ben el tiempo”.<\/p>\n RomCom, adem\u00e1s de manipular el registro de Windows para configurar la persistencia utilizando el secuestro de COM, est\u00e1 equipado para cosechar credenciales, realizar reconocimiento del sistema, enumerar el directorio activo, realizar movimiento lateral y recopilar datos de inter\u00e9s, incluidos archivos, credenciales, detalles de configuraci\u00f3n y copias de seguridad de Microsoft Outlook.<\/p>\n Las variantes y v\u00edctimas de comedia rom\u00e1ntica se administran mediante un panel C2 dedicado, lo que permite a los operadores ver los detalles del dispositivo y emitir m\u00e1s de 40 comandos de forma remota para llevar a cabo una variedad de tareas de recolecci\u00f3n de datos.<\/p>\n “Nebuloso Mantis opera como un grupo de amenazas sofisticado que emplea una metodolog\u00eda de intrusi\u00f3n multifasa para obtener acceso inicial, ejecuci\u00f3n, persistencia y exfiltraci\u00f3n de datos”, dijo la compa\u00f1\u00eda.<\/p>\n “A lo largo del ciclo de vida del ataque, la mantis nebulosa exhibe disciplina operativa para minimizar su huella, equilibrando cuidadosamente la recolecci\u00f3n de inteligencia agresiva con requisitos de sigilo, lo que sugiere un respaldo patrocinado por el estado o una organizaci\u00f3n ciberderigenal profesional con recursos significativos”.<\/p>\n La divulgaci\u00f3n se produce semanas despu\u00e9s de que ProDaft expuso un grupo de ransomware llamado Ruthless Mantis (tambi\u00e9n conocido como PTI-288) que se especializa en doble extorsi\u00f3n al colaborar con programas afiliados, como Ragnar Locker, Inc Ransom y otros.<\/p>\n Dirigido por un actor de amenaza denominado LARVA-127, el actor de amenaza de motivaci\u00f3n financiera utiliza una variedad de herramientas leg\u00edtimas y personalizadas para facilitar cada fase del ciclo de ataque: descubrimiento, persistencia, escalada de privilegios, evasi\u00f3n de defensa, cosecha de credenciales, movimiento lateral y marco C2 como el cargador de ratel bruta y cargador de trapo.<\/p>\n “Aunque la Mantis despiadada est\u00e1 compuesta por miembros centrales altamente experimentados, tambi\u00e9n integran activamente a los reci\u00e9n llegados para mejorar continuamente la efectividad y la velocidad de sus operaciones,” TI ” dicho<\/a>.<\/p>\n “Ruthless Mantis ha ampliado significativamente su arsenal de herramientas y m\u00e9todos, proporcion\u00e1ndoles recursos de \u00faltima generaci\u00f3n para racionalizar los procesos y aumentar la eficiencia operativa”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Mantis-nebulosa-se-dirige-a-entidades-vinculadas-a-la-OTAN.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n<\/a><\/div>\n