Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware TransferLoader-malware

TransferLoader-malware

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Beveiligingsonderzoekers leggen verbanden tussen de beruchte actoren achter de RomCom RAT en een malwareloader genaamd TransferLoader. Deze campagne, die zich richtte op entiteiten met spionage- en ransomware-aanvallen, brengt geavanceerde technieken en overlappende infrastructuren aan het licht die nauwlettend in de gaten moeten worden gehouden.

Twee Threat Actor Clusters: TA829 en UNK_GreenSec

Cybersecurityonderzoekers hebben de activiteiten van TransferLoader toegeschreven aan twee primaire groepen dreigingsactoren:

  • TA829, ook gevolgd onder aliassen zoals RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 en Void Rabisu.
  • UNK_GreenSec, een minder bekende cluster die parallel met soortgelijke tactieken opereert.

TA829 staat vooral bekend om zijn hybride activiteiten, waarbij spionage en financieel gemotiveerde aanvallen worden gecombineerd. Deze aan Rusland gelieerde groep heeft eerder zero-day-kwetsbaarheden in Mozilla Firefox en Microsoft Windows misbruikt om RomCom RAT te implementeren, gericht op waardevolle internationale organisaties.

TransferLoader: opkomst en rol in malwarecampagnes

TransferLoader werd voor het eerst geïdentificeerd in februari 2025 tijdens een campagne met Morpheus-ransomware, een nieuwe versie van HellCat-ransomware. De malware werd gebruikt tegen een niet nader genoemd Amerikaans advocatenkantoor. In tegenstelling tot RomCom fungeert TransferLoader voornamelijk als een sluipend distributiemechanisme, waardoor de implementatie van extra kwaadaardige payloads zoals Metasploit en Morpheus mogelijk wordt.

De missie van TransferLoader is simpel: onopgemerkt blijven en nog meer malware verspreiden.

Exploiteren van REM-proxy-infrastructuur

Zowel TA829 als UNK_GreenSec maken gebruik van REM Proxy-services, die vaak gehost worden op gecompromitteerde MikroTik-routers. Deze proxy's worden gebruikt om kwaadaardig verkeer te routeren en de ware oorsprong ervan te verhullen. De groepen gebruiken deze infrastructuur om:

  • Phishing-e-mails versturen via gratis e-maildiensten (bijvoorbeeld Gmail, ukr.net)
  • Relay-verkeer om upstream-activiteit te verbergen
  • Lanceer campagnes met zowel nieuw aangemaakte als gecompromitteerde e-mailaccounts

Onderzoekers vermoeden dat e-mailprogramma's die op grote schaal afzenderadressen zoals ximajazehox333@gmail.com en hannahsilva1978@ukr.net genereren, worden gebruikt voor phishingdoeleinden.

Phishingmechanismen en payloadlevering

De phishingberichten die door beide clusters worden verzonden, bevatten vaak links die in de e-mailtekst of pdf-bijlagen zijn ingesloten. Slachtoffers die op deze links klikken, worden via Rebrandly doorgestuurd naar een reeks omleidingen, die uiteindelijk op vervalste Google Drive- of Microsoft OneDrive-pagina's terechtkomen. Deze omleidingen omvatten mechanismen om:

  • Sandbox-omgevingen omzeilen
  • Filter systemen die niet interessant zijn
  • Lever verschillende uiteindelijke ladingen af, afhankelijk van de dreigingsgroep

Uiteenlopende aanvalspaden :

  • UNK_GreenSec gebruikt deze route om TransferLoader te implementeren
  • TA829 leidt doelen om naar SlipScreen-malware

Gedeelde tools en infrastructuur

Beide actorgroepen vertonen overlappende toolsets en infrastructuurkeuzes:

  • Gebruik van PuTTY's PLINK-hulpprogramma voor het opzetten van SSH-tunnels
  • Het hosten van kwaadaardige hulpprogramma's op IPFS-services (InterPlanetary File System)
  • Het benutten van dynamische PHP-gebaseerde omleidingseindpunten voor het filteren van verkeer

Deze gedeelde methoden suggereren dat er mogelijk sprake kan zijn van coördinatie of gezamenlijke toepassing van effectieve tactieken.

Thema's en leveringstactieken voor social engineering

Campagnes met TransferLoader doen zich vaak voor als e-mails met vacatures en lokken slachtoffers met links die zogenaamd naar PDF-cv's leiden. In werkelijkheid activeert de link een download van TransferLoader, gehost op IPFS-webshares.

Belangrijkste technische hoogtepunten van TransferLoader-bewerkingen

Ontwijkt detectie – Gebruikt omleiding, filtering en gedecentraliseerde hosting om traditionele verdedigingen te omzeilen.

Payload Delivery – Fungeert als een loader voor gevaarlijkere malware, waaronder ransomware en tools voor toegang op afstand.

Gedifferentieerde technieken – Maakt gebruik van unieke omleidingsstructuren (JavaScript naar PHP-eindpunten) ter ondersteuning van dynamische levering van inhoud.

Conclusie: inzicht in de TransferLoader-bedreiging

TransferLoader vormt een aanzienlijke bedreiging als een stealth loader die aanvallen met grote impact mogelijk maakt. Het gebruik ervan door zowel UNK_GreenSec als TA829 illustreert hoe cybercriminele groepen blijven innoveren, tools delen en gedecentraliseerde infrastructuur misbruiken om detectie te vermijden en hun doelen te bereiken.

Indicatoren voor de TransferLoader-bedreiging zijn onder meer:

  • Gebruik van REM Proxy-services
  • E-mail lokt met verwijzing naar sollicitaties of cv's
  • Omleidingsketens met Rebrandly-koppelingen
  • Payloads gehost op IPFS-gebaseerde platforms

Organisaties moeten waakzaam blijven, robuuste e-mail- en webfilters implementeren en voortdurend controleren op afwijkend netwerkgedrag dat met deze tactieken gepaard gaat.

Trending

Meest bekeken

Bezig met laden...