La nouvelle campagne RomCom utilise de fausses mises à jour de SocGholish pour diffuser son outil Mythic Agent contre les entreprises américaines faisant des affaires avec l’Ukraine.
Les entreprises américaines liées à des projets soutenant l’Ukraine sont ciblées par le groupe RomCom, aligné sur la Russie, qui utilise de fausses mises à jour logicielles pour déposer l’agent mythique sur les systèmes des victimes.
En septembre 2025, Arctic Wolf Labs a détecté une campagne contre une société d’ingénierie américaine qui aurait travaillé sur de tels projets. L’attaque a commencé sous la forme d’une fenêtre contextuelle « Mettez à jour votre navigateur » apparemment inoffensive avec un malware de mise à jour SocGholish classique.
« Alors que la chaîne d’infection initiale typique de SocGholish était suivie, environ 10 minutes après l’exploitation, le chargeur Mythic Agent ciblé de RomCom a été livré au système », ont déclaré les chercheurs d’Arctic Wolf dans un article de blog. « C’est la première fois qu’une charge utile RomCom est observée distribuée par SocGholish. »
Arctic Wolf note que de nombreux indicateurs et modèles de ciblage alignent l’activité de RomCom sur l’unité russe GRU 29155, l’unité au sein de la plus grande agence de renseignement russe, « généralement chargée d’opérations offensives sur les réseaux informatiques ciblant des entités mondiales ».
L’intrusion a été stoppée avant que de réels dégâts ne soient causés, ont ajouté les chercheurs.
SocGholish rencontre RomCom
Jusqu’à présent, SocGholish était principalement associé à des distributeurs de ransomwares ou à des cybercriminels motivés par l’argent. Sa particularité est de proposer des « fausses mises à jour » sur des sites Web légitimes compromis, incitant souvent les utilisateurs à installer ce qui semble être une mise à jour de navigateur ou de logiciel. Mais au lieu d’une charge utile de ransomware, il contenait cette fois un outil post-exploit très performant : Mythic Agent.
Mythic Agent est un implant sophistiqué construit sur le framework Mythic C2, conçu pour offrir aux attaquants de puissantes capacités d’accès à distance, notamment l’exécution de commandes, la reconnaissance, l’exfiltration de fichiers, les mouvements latéraux et le chargement de plugins supplémentaires.
« Mythic C2 est un framework de red teaming collaboratif et multiplateforme écrit en Python 3 », ont expliqué les chercheurs. « Il est utilisé par les professionnels de la cybersécurité pour gérer et contrôler les agents sur les systèmes compromis, mais comme c’est le cas pour de nombreux autres outils de sécurité des équipes rouges, il est également souvent utilisé à mauvais escient par les acteurs malveillants. »
Les chercheurs ont noté que cette convergence allie efficacement un accès initial à faible friction (via SocGholish) avec des outils d’espionnage à fort impact (via Mythic Agent). Cette technique abaisse efficacement la barrière permettant à RomCom d’infiltrer des environnements bien défendus.
Profil cible axé sur le soutien à l’Ukraine
Le deuxième élément majeur du rapport concerne la sélection des victimes. L’entreprise ciblée n’était pas un entrepreneur de défense ou un organisme gouvernemental, mais une entreprise de génie civil américaine. Son seul lien notable était un travail antérieur impliquant une ville affiliée à l’Ukraine.
Selon Arctic Wolf, l’incident s’inscrit dans le schéma plus large de ciblage des organisations qui ont même des liens tangentiels avec l’Ukraine. Les chercheurs ont ajouté que le groupe a progressivement évolué, passant de la distribution d’installateurs troyens à la conduite d’opérations plus disciplinées et sélectives, et ses liens présumés avec l’unité GRU 29155 expliquent en outre pourquoi les entités liées à l’Ukraine – même indirectement – continuent d’attirer son attention. Pour les indicateurs de compromission, Arctic Wolf a partagé une liste de noms de domaine, d’adresses IP et de numéros de systèmes autonomes malveillants.
« Cinq nouveaux domaines se sont avérés liés aux deux Mythic C2 attribués à RomCom et identifiés par Arctic Wolf Labs », ont déclaré les chercheurs. « L’attaque a finalement échoué car le chargeur de RomCom a été capturé par Aurora Endpoint Defense d’Arctic Wolf, empêchant l’entité ciblée d’être compromise par ce groupe de menace. »
Arctic Wolf a recommandé aux organisations de se protéger contre des menaces similaires en bloquant les exécutions de scripts non fiables, en appliquant des politiques de mise à jour strictes et en traitant toute invite de « mise à jour » dans le navigateur comme suspecte. La société a également souligné la nécessité d’une surveillance continue des points de terminaison et d’une détection basée sur les informations sur les menaces pour détecter les fausses mises à jour de type SocGholish avant qu’elles ne s’intensifient.
