TransferLoader恶意软件

安全研究人员正在研究 RomCom RAT 背后的臭名昭著的攻击者与名为 TransferLoader 的恶意软件加载程序之间的联系。该活动以间谍活动和勒索软件攻击为目标，凸显了其复杂的技术和重叠的基础设施，需要密切关注。

两个威胁行为者集群：TA829 和 UNK_GreenSec

网络安全研究人员将 TransferLoader 相关活动归咎于两个主要威胁行为者团体：

• TA829，还以 RomCom RAT、CIGAR、Nebulous Mantis、Storm-0978、Tropical Scorpius、UAC-0180、UAT-5647、UNC2596 和 Void Rabisu 等别名进行追踪。
• UNK_GreenSec 是一个鲜为人知的集群，采用类似的策略并行运作。

TA829 尤其以其混合行动而闻名，将间谍活动与经济攻击相结合。这个与俄罗斯结盟的组织此前曾利用 Mozilla Firefox 和 Microsoft Windows 中的零日漏洞部署 RomCom RAT，目标是高价值的全球组织。

TransferLoader：恶意软件活动中的出现和作用

TransferLoader 于 2025 年 2 月在一场涉及 Morpheus 勒索软件（HellCat 勒索软件的改名版本）的攻击活动中首次被发现。该恶意软件曾被用来攻击一家未具名的美国律师事务所。与 RomCom 不同，TransferLoader 主要作为一种隐秘的投递机制，用于部署其他恶意负载，例如 Metasploit 和 Morpheus。

TransferLoader 的任务很简单：不被发现并传播更多恶意软件。

利用 REM 代理基础设施

TA829 和 UNK_GreenSec 都依赖 REM 代理服务，这些服务通常托管在受感染的 MikroTik 路由器上。这些代理用于路由恶意流量，掩盖其真实来源。这些组织利用此基础设施来执行以下操作：

• 通过免费邮件服务（例如 Gmail、ukr.net）发送网络钓鱼电子邮件
• 中继流量以隐藏上游活动
• 使用新创建和被盗的电子邮件帐户发起攻击

研究人员怀疑有人使用电子邮件构建工具批量生成发件人地址（如 ximajazehox333@gmail.com 和 hannahsilva1978@ukr.net）进行网络钓鱼分发。

网络钓鱼机制和有效载荷传递

这两个集群发送的网络钓鱼邮件通常包含嵌入在电子邮件正文或 PDF 附件中的链接。点击这些链接的受害者会通过 Rebrandly 遭受一系列重定向，最终进入伪造的 Google Drive 或 Microsoft OneDrive 页面。这些重定向包括以下机制：

• 绕过沙盒环境
• 过滤掉不感兴趣的系统
• 根据威胁组提供不同的最终有效载荷

不同的攻击路径：

• UNK_GreenSec 使用此路由部署 TransferLoader
• TA829 将目标重定向至 SlipScreen 恶意软件

共享工具和基础设施

两个参与者群体都展示了重叠的工具集和基础设施选择：

• 使用 PuTTY 的 PLINK 实用程序建立 SSH 隧道
• 在 IPFS（星际文件系统）服务上托管恶意实用程序
• 利用基于 PHP 的动态重定向端点进行流量过滤

这些共享的方法表明可以协调或相互采用有效的策略。

社会工程学主题和传播策略

涉及 TransferLoader 的攻击活动经常伪装成工作机会邮件，用声称指向 PDF 简历的链接引诱受害者。实际上，该链接会触发下载托管在 IPFS 网络共享上的 TransferLoader。

TransferLoader 操作的关键技术亮点

逃避检测——使用重定向、过滤和分散托管来绕过传统防御。

有效载荷交付——充当更危险的恶意软件的加载器，包括勒索软件和远程访问工具。

差异化技术——采用独特的重定向结构（JavaScript 到 PHP 端点）来支持动态内容传递。

结论：了解 TransferLoader 威胁

TransferLoader 是一种隐蔽的加载器，能够发起高影响力的攻击，构成重大威胁。UNK_GreenSec 和 TA829 都曾使用过该加载器，这表明网络犯罪团伙正在不断创新、共享工具，并利用去中心化的基础设施来逃避检测，最终实现其目标。

TransferLoader 威胁的迹象包括：

• 使用 REM 代理服务
• 引用求职申请或简历的电子邮件诱惑
• 涉及 Rebrandly 链接的重定向链
• 托管在基于 IPFS 的平台上的有效载荷

组织必须保持警惕，实施强大的电子邮件和网络过滤，并持续监控与这些策略相关的异常网络行为。