En el mundo del ciberespionaje, los grupos de amenazas persistentes avanzadas (APT) continúan evolucionando sus técnicas para evitar la detección y maximizar su impacto. Uno de los actores más sofisticados en este ámbito es el grupo de origen ruso conocido como Nebulous Mantis, responsable del despliegue del peligroso troyano de acceso remoto RomCom RAT desde mediados de 2022. Este malware ha sido utilizado para comprometer infraestructuras críticas, entidades gubernamentales y organizaciones relacionadas con la OTAN, generando preocupación en la comunidad de ciberseguridad internacional.
Según un informe de la firma suiza de ciberseguridad PRODAFT, RomCom RAT ha sido diseñado con una arquitectura altamente evasiva. Emplea técnicas como living off the land (LOTL), que consiste en utilizar herramientas y procesos legítimos del sistema operativo para ejecutar acciones maliciosas sin levantar sospechas. Además, RomCom utiliza comunicaciones cifradas con servidores de comando y control (C2) y se apoya en servicios de alojamiento a prueba de balas (BPH) para mantener su persistencia y dificultar su rastreo.
Alias y alcance de Nebulous Mantis
Nebulous Mantis no opera bajo un solo nombre. La comunidad de ciberseguridad lo ha identificado previamente con distintos alias, como CIGAR, Cuba, Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 y Void Rabisu. Estos nombres reflejan su complejidad operativa y su capacidad para desplegar múltiples campañas dirigidas a sectores estratégicos.
Desde al menos 2019, este actor ha estado activo realizando campañas que inicialmente utilizaban un cargador de malware llamado Hancitor. Con el tiempo, su arsenal se ha sofisticado, evolucionando hacia la distribución de RomCom RAT, especialmente mediante campañas de spear-phishing altamente personalizadas. Estas campañas utilizan correos electrónicos maliciosos que contienen enlaces a documentos manipulados para engañar a las víctimas e inducirlas a ejecutar el malware.
Infraestructura de ataque y métodos técnicos
Los dominios y servidores C2 utilizados por Nebulous Mantis suelen estar alojados en plataformas BPH como LuxHost y Aeza, lo que permite eludir acciones legales y técnicas de desmantelamiento. La infraestructura C2 es gestionada por un operador designado como LARVA-290, quien supervisa la adquisición y el mantenimiento de estos recursos.
Una vez que el malware infecta el sistema, una DLL de primera etapa establece conexión con el servidor de comando y control, desde donde descarga cargas útiles adicionales. Estas cargas pueden incluir malware desarrollado en C++, diseñado para realizar tareas específicas como:
-
Ejecutar comandos en el host
-
Robar datos del navegador web
-
Enumerar el directorio activo
-
Capturar credenciales
-
Acceder a configuraciones y archivos de interés, incluyendo copias de seguridad de Microsoft Outlook
Una característica avanzada del RomCom RAT es el uso del sistema de archivos descentralizado IPFS (InterPlanetary File System) para alojar las cargas maliciosas. Esto dificulta su rastreo y desactivación, ya que los contenidos no dependen de un solo punto de alojamiento.
Persistencia y evasión
RomCom RAT modifica el Registro de Windows y emplea técnicas como el secuestro de objetos COM para establecer persistencia. También es capaz de detectar la zona horaria del sistema víctima mediante el comando
1 | tzutil |
, lo que permite al atacante sincronizar sus actividades con las horas laborales del objetivo, o evitar controles basados en horarios.
El malware es administrado a través de un panel C2 dedicado, que permite a los operadores ver detalles de cada dispositivo comprometido y emitir más de 40 comandos para ejecutar acciones remotas, facilitando la exfiltración de datos a gran escala.
Relación con otros actores: Ruthless Mantis
El informe de PRODAFT también establece vínculos entre Nebulous Mantis y otro grupo de amenazas conocido como Ruthless Mantis, también identificado como PTI-288. Este grupo, motivado por beneficios financieros, se especializa en ataques de doble extorsión con ransomware, y ha colaborado con afiliados como Ragnar Locker e INC Ransom.
Ruthless Mantis utiliza marcos de ataque como Brute Ratel C4 y Ragnar Loader, combinando herramientas legítimas y personalizadas para todas las fases del ataque: descubrimiento, escalada de privilegios, evasión, persistencia y exfiltración. Está dirigido por otro operador, LARVA-127, y se caracteriza por integrar a nuevos miembros para aumentar su capacidad operativa.
Operación Deceptive Prospect: ataques dirigidos en Reino Unido
En 2024, la empresa de ciberseguridad Bridewell, con sede en el Reino Unido, descubrió una nueva campaña vinculada a RomCom, bautizada como Operación Deceptive Prospect. Esta campaña afectó a organizaciones en los sectores minorista, hotelero y de infraestructura crítica nacional (CNI). El vector de ataque utilizado fueron formularios de comentarios de clientes, aparentemente legítimos, que contenían enlaces a archivos alojados en Google Drive y OneDrive. Estos enlaces llevaban a documentos PDF falsos, que en realidad eran ejecutables diseñados para instalar malware.
Los investigadores Joshua Penny y Yashraj Solanki señalaron que existe una superposición técnica clara entre esta campaña y las operaciones de RomCom, lo que refuerza la hipótesis de que ambos ataques fueron ejecutados por el mismo actor o una célula operativa vinculada.
Fuente: The Hacker News
