TransferLoader Malware

Gumagawa ang mga mananaliksik ng seguridad ng mga koneksyon sa pagitan ng mga kilalang aktor sa likod ng RomCom RAT at isang malware loader na tinatawag na TransferLoader. Ang campaign na ito, na nagta-target ng mga entity na may mga pag-atake ng espionage at ransomware, ay nagha-highlight ng mga sopistikadong diskarte at magkakapatong na mga imprastraktura na nangangailangan ng masusing pagsusuri.

Dalawang Threat Actor Cluster: TA829 at UNK_GreenSec

Iniugnay ng mga mananaliksik sa Cybersecurity ang aktibidad na nauugnay sa TransferLoader sa dalawang pangunahing grupo ng aktor ng pagbabanta:

• TA829, na sinusubaybayan din sa ilalim ng mga alyas tulad ng RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596, at Void Rabisu.
• UNK_GreenSec, isang hindi gaanong kilalang cluster na tumatakbo nang kaayon ng mga katulad na taktika.

Ang TA829 ay partikular na kapansin-pansin para sa mga hybrid na operasyon nito, na pinagsasama ang espionage at mga pag-atakeng may motibasyon sa pananalapi. Ang grupong ito na nakahanay sa Russia ay dati nang gumamit ng mga zero-day vulnerabilities sa Mozilla Firefox at Microsoft Windows upang i-deploy ang RomCom RAT, na nagta-target sa mga pandaigdigang organisasyon na may mataas na halaga.

TransferLoader: Paglabas at Papel sa Mga Malware Campaign

Unang nakilala ang TransferLoader noong Pebrero 2025 sa panahon ng isang campaign na kinasasangkutan ng Morpheus ransomware, isang na-rebranded na bersyon ng HellCat ransomware. Ginamit ang malware laban sa isang hindi pinangalanang law firm na nakabase sa US. Hindi tulad ng RomCom, pangunahing nagsisilbi ang TransferLoader bilang isang patagong mekanismo ng paghahatid, na nagpapagana sa pag-deploy ng mga karagdagang nakakahamak na payload tulad ng Metasploit at Morpheus.

Ang misyon ng TransferLoader ay simple: manatiling hindi natukoy at naghahatid ng karagdagang malware.

Pinagsasamantalahan ang REM Proxy Infrastructure

Parehong umaasa ang TA829 at UNK_GreenSec sa mga serbisyo ng REM Proxy, na kadalasang naka-host sa mga nakompromisong MikroTik router. Ang mga proxy na ito ay ginagamit upang iruta ang malisyosong trapiko, na itinago ang tunay na pinagmulan nito. Ginagamit ng mga grupo ang imprastraktura na ito upang:

• Magpadala ng mga email sa phishing sa pamamagitan ng mga serbisyo ng freemail (hal., Gmail, ukr.net)
• I-relay ang trapiko upang itago ang aktibidad sa upstream
• Ilunsad ang mga kampanya gamit ang parehong bagong likha at nakompromisong mga email account

Pinaghihinalaan ng mga mananaliksik ang paggamit ng mga tool sa pagbuo ng email na bumubuo ng maramihang mga address ng nagpadala tulad ng ximajazehox333@gmail.com at hannahsilva1978@ukr.net para sa pamamahagi ng phishing.

Phishing Mechanics at Payload Delivery

Ang mga mensahe ng phishing na ipinadala ng parehong mga kumpol ay kadalasang naglalaman ng mga link na naka-embed sa katawan ng email o mga PDF attachment. Ang mga biktima na nag-click sa mga link na ito ay sumasailalim sa isang hanay ng mga pag-redirect sa pamamagitan ng Rebrandly, na sa huli ay dumarating sa mga spoofed na pahina ng Google Drive o Microsoft OneDrive. Kasama sa mga pag-redirect na ito ang mga mekanismo upang:

• I-bypass ang mga kapaligiran ng sandbox
• I-filter ang mga system na hindi interesado
• Maghatid ng iba't ibang huling payload depende sa pangkat ng pagbabanta

Divergent Attack Path :

• Ginagamit ng UNK_GreenSec ang rutang ito para i-deploy ang TransferLoader
• Nire-redirect ng TA829 ang mga target sa SlipScreen malware

Mga Ibinahaging Tool at Imprastraktura

Ang parehong grupo ng aktor ay nagpapakita ng magkakapatong na mga toolset at mga pagpipilian sa imprastraktura:

• Paggamit ng PLINK utility ng PuTTY para sa pagtatatag ng mga SSH tunnel
• Pagho-host ng mga nakakahamak na utility sa mga serbisyo ng IPFS (InterPlanetary File System).
• Paggamit ng dynamic na PHP-based na mga endpoint ng redirection para sa pag-filter ng trapiko

Ang mga ibinahaging pamamaraan na ito ay nagmumungkahi ng posibleng koordinasyon o kapwa pag-aampon ng mga epektibong taktika.

Mga Tema ng Social Engineering at Mga Taktika sa Paghahatid

Ang mga kampanyang kinasasangkutan ng TransferLoader ay kadalasang nagpapanggap bilang mga email ng pagkakataon sa trabaho, na umaakit sa mga biktima na may mga link na nagsasabing humahantong sa mga PDF resume. Sa katotohanan, ang link ay nagti-trigger ng pag-download ng TransferLoader na naka-host sa mga IPFS webshare.

Mga Pangunahing Teknikal na Highlight ng TransferLoader Operations

Pag-iwas sa Detection – Gumagamit ng pag-redirect, pag-filter, at desentralisadong pagho-host para i-bypass ang mga tradisyonal na depensa.

Paghahatid ng Payload – Nagsisilbing loader para sa mas mapanganib na malware, kabilang ang ransomware at remote access na mga tool.

Differentiated Techniques – Gumagamit ng mga natatanging redirect structures (JavaScript to PHP endpoints) para suportahan ang dynamic na paghahatid ng content.

Konklusyon: Pag-unawa sa Banta ng TransferLoader

Ang TransferLoader ay kumakatawan sa isang makabuluhang banta bilang isang palihim na loader na may kakayahang paganahin ang mga pag-atake na may mataas na epekto. Ang paggamit nito ng parehong UNK_GreenSec at TA829 ay naglalarawan kung paano ang mga cybercriminal group ay patuloy na nagbabago, nagbabahagi ng mga tool, at nagsasamantala sa desentralisadong imprastraktura upang maiwasan ang pagtuklas at makamit ang kanilang mga layunin.

Ang mga tagapagpahiwatig ng banta ng TransferLoader ay kinabibilangan ng:

• Paggamit ng mga serbisyo ng REM Proxy
• Mga pang-akit sa email na tumutukoy sa mga aplikasyon o resume sa trabaho
• I-redirect ang mga chain na kinasasangkutan ng mga link ng Rebrandly
• Mga payload na naka-host sa mga platform na nakabatay sa IPFS

Dapat manatiling mapagbantay ang mga organisasyon, magpatupad ng matatag na pag-filter ng email at web, at patuloy na subaybayan ang hindi normal na pag-uugali ng network na naka-link sa mga taktikang ito.