‌

گروه هکری RomCom، که با نام‌های Storm-0978، Tropical Scorpius و Void Rabisu نیز شناخته می‌شود، در عملیاتی به نام Deceptive Prospect سازمان‌های بریتانیایی در بخش‌های خرده‌فروشی و زیرساخت‌های حیاتی را هدف قرار داده است. این گروه با سوءاستفاده از پورتال‌های بازخورد مشتریان، بدافزار خطرناک RomCom RAT را از طریق ایمیل‌های فیشینگ توزیع می‌کند!

جزئیات حمله چگونه است؟

• روش حمله: هکرها از ایمیل‌های فیشینگ با شکایات جعلی (مثل مشکلات چمدان گمشده یا خدمات ضعیف فرودگاه) استفاده می‌کنند. این ایمیل‌ها حاوی لینک‌های مخرب هستند که به‌ظاهر به فایل‌های Google Drive یا Microsoft OneDrive ارجاع دارند، اما در واقع یک دانلودکننده اجرایی (Executable Downloader) را نصب می‌کنند که به نظر یک فایل PDF است.
• هدف: سرقت اطلاعات حساس، جاسوسی سایبری و احتمالاً کسب سود مالی.
• بدافزار: نسخه‌های پیشرفته‌تر RomCom RAT، مانند RomCom 4.0 (PEAPOD) و SnipBot (RomCom 5.0)، با تکنیک‌های مخفی‌سازی، ضد سندباکس و ۲۷ دستور برای سرقت داده‌ها و کنترل سیستم‌ها استفاده می‌شوند.
• زنجیره حمله: این حمله از چندین مرحله تغییر مسیر (مانند دامنه‌های میزبانی‌شده در Amazon S3، سرویس Rebrandly و کوتاه‌کننده‌های URL مانند opn.to) استفاده می‌کند تا به سرورهای مخرب متصل شود.

این کمپین به‌طور خاص بخش‌های زیر در بریتانیا را هدف قرار داده است:

• خرده‌فروشی: پس از حملات اخیر به فروشگاه‌های معروفی مانند Harrods، Marks & Spencer و Co-op، این حمله نگرانی‌ها را افزایش داده است.
• صنعت گردشگری: هتل‌ها و شرکت‌های مرتبط با گردشگری در معرض خطر هستند.
• زیرساخت‌های حیاتی (CNI): سیستم‌های حساس مانند انرژی و حمل‌ونقل ممکن است هدف جاسوسی یا اختلال باشند.

وضعیت فعلی تهدید

تحقیقات Bridewell’s Cyber Threat Intelligence نشان می‌دهد که این کمپین از مارس ۲۰۲۵ فعال بوده و از تاکتیک‌های پیچیده‌ای استفاده می‌کند. گروه RomCom، که از سال ۲۰۲۲ ترکیبی از جاسوسی سایبری و جرایم مالی را دنبال می‌کند، با سوءاستفاده از آسیب‌پذیری‌های روز صفر (مانند CVE-2024-9680 در فایرفاکس و CVE-2024-49039 در ویندوز) نشان داده که تهدیدی جدی است. هنوز شواهد قطعی از سرقت گسترده داده‌ها گزارش نشده، اما خطر همچنان بالاست.

چرا این خبر مهم است؟

این حمله نشان‌دهنده افزایش تهدیدات سایبری علیه بخش‌های کلیدی بریتانیا است. گروه RomCom، که احتمالاً با منافع دولتی روسیه مرتبط است، از روش‌های پیچیده‌ای برای نفوذ به شبکه‌ها استفاده می‌کند. این موضوع اهمیت تقویت زیرساخت‌های امنیتی و هوشیاری در برابر تهدیدات سایبری را برجسته می‌کند.