קבוצת האקרים בשם RomCom מכוונת מתקפות דיוג לארגונים התומכים באוקראינה ולאורחים של פסגת נאט"ו בווילנה, ליטא. צוות המחקר והמודיעין של חברת BlackBerry גילה לאחרונה שני מסמכים זדוניים שהתחזו לארגון הקונגרס העולמי של אוקראינה ונושאים הקשורים לפסגת נאט"ו, שנועדו לפתות קורבנות נבחרים. ההאקרים השתמשו בהעתק של אתר הקונגרס העולמי האוקראיני המתארח בדומיין .info במקום הדומיין האמיתי המשתמש בדומיין .org. המסמכים שהורדו על ידי הקורבנות מכילים קוד זדוני המנצל את פורמט הקובץ RTF כדי ליזום חיבורים למשאבים חיצוניים ובסופו של דבר, לטעון נוזקות למערכת המחשוב של הקורבן.
נוזקה של RomCom התגלתה לראשונה באוגוסט 2022 על ידי Unit 42, שקישרה אותה לקבוצת הכופרה Cuba. עם זאת, הניתוח של BlackBerry מאותה תקופה טוען כי קבוצת ההאקרים שמאחורי RomCom נוקטת בגישת מיקוד גלובלית למדי והדגישו כי קבוצת הכופרה Cuba מעולם לא נטתה להאקטיביזם. בנובמבר 2022 גילתה חברת אבטחת הסייבר מסע מתקפות חדש של RomCom שעשה שימוש לרעה במותגי תוכנה והשתמש באתרים מזויפים באנגלית ובאוקראינית כדי למקד מתקפות בקורבנות תמימים, באמצעות מתקיני נוזקות מוסווים. לאחרונה, במאי 2023 ציין דו"ח של חברת Trend Micro כי במסע מתקפות הסייבר של RomCom בוצעה התחזות לתוכנות לגיטימיות כמו Gimp ו- ChatGPT, או שנעשה שימוש באתרים מזויפים של מפתחי תוכנה כדי להחדיר את הדלת האחורית שלהם לקורבנות באמצעות Google Ads וטכניקות SEO פסולות.
מסע הפרסום האחרון ש- BlackBerry ניתחו מצא שימוש בקישורי הורדה בדומיין כתיב שגוי המתחזה לאתר הקונגרס העולמי האוקראיני, אשר ככל הנראה קודם באמצעות דיוג חנית במטרה להדביק מבקרים בנוזקות. המסמכים שהורדו על ידי הקורבנות מהאתר המזויף יוזמים חיבור יוצא עם פתיחתם ומורידים רכיבים נוספים משרת הפיקוד והבקרה (C2) של ההאקרים. הרכיב הנוסף שנצפה במהלך המחקר הוא סקריפט המשתמש בפגיעות Follina מכלי האבחון של מיקרוסופט (MSDT): "אם הוא מנוצל בהצלחה, הוא מאפשר להאקרים לבצע מתקפה מבוססת ביצוע קוד מרחוק (RCE) באמצעות יצירת מסמך docx או .rtf זדוני שנועד לנצל את הפגיעות", מוסבר בדו"ח וכן: "הדבר מושג על ידי מינוף המסמך המעוצב במיוחד לביצוע גרסה פגיעה של MSDT, שבתורה מאפשרת להאקרים להעביר פקודה לתוכנית השירות לשם ביצוע". השלב האחרון של המתקפה הוא טעינת הדלת האחורית של RomCom במערכת המחשוב, המגיעה בצורה של קובץ DLL x64 בשם Calc.exe.
RomCom מתחבר ל- C2 כדי לרשום את הקורבן ושולח אליו פרטים כגון שם משתמש, מידע על מתאם רשת וגודל זיכרון RAM של המחשב שנפגע. הדלת האחורית כותבת בסופו של דבר security.dll כדי לרוץ אוטומטית באתחול לשם התמדה במערכת המחשוב הנגועה ומחכה לפקודות מה- C2, אשר, בהתבסס על דיווחים קודמים, כוללות חילוץ נתונים, הורדה של מטענים נוספים, מחיקת קבצים או ספריות, שיבוש תהליכי השראה וכן התחלת reverse shell.
חברת BlackBerry מאמינה שמסע מתקפות הסייבר שניתחו הינו בפועל, או שהוא מבצע מיתוג מחדש של RomCom ככזה הכולל חברי ליבה מהקבוצה הישנה התומכים בפעילות הסייבר החדשה. הדו"ח של החוקרים כולל אינדיקטורים עבור מסמכי הפיתוי, הורדה והפעלת נוזקות בשלב שני וכן, כתובות IP ודומיין המשמשים למתקפת הסייבר.
