新たなRomComキャンペーンは、SocGholishの偽アップデート誘導を利用し、ウクライナと取引のある米企業に対してMythic Agentツールを配布しています。
ウクライナ支援プロジェクトに関わる米企業が、ロシア系のRomComグループに標的にされており、偽のソフトウェアアップデートを使って被害者のシステムにMythic Agentを投下しています。
2025年9月、Arctic Wolf Labsは、そのようなプロジェクトに関与したとされる米国のエンジニアリング企業に対するキャンペーンを検知しました。攻撃は一見無害な「ブラウザをアップデートしてください」というポップアップから始まり、典型的な SocGholishアップデート型マルウェアでした。
「通常のSocGholish感染チェーンが実行された後、約10分でRomComの標的型Mythic Agentローダーがシステムに配布されました」とArctic Wolfの研究者はブログ投稿で述べています。「SocGholishによってRomComのペイロードが配布されたのは、これが初めてのことです。」
Arctic Wolfは、多くのインジケーターや標的パターンが、RomComの活動をロシア最大の情報機関内の「世界的な組織を標的とした攻撃的なコンピュータネットワーク作戦を主に担当する」GRU第29155部隊と一致させていると指摘しています。
研究者は、実際の被害が出る前に侵入が阻止されたと付け加えました。
SocGholishとRomComの出会い
これまでSocGholishは、主にランサムウェア配布者や金銭目的のサイバー犯罪者と関連付けられてきました。その特徴は、侵害された正規サイト上で「偽アップデート」誘導を表示し、ユーザーにブラウザやソフトウェアのアップデートを促すことです。しかし今回はランサムウェアのペイロードではなく、高度な事後侵害ツールであるMythic Agentが運ばれていました。
Mythic Agentは、Mythic C2フレームワーク上に構築された高度なインプラントであり、攻撃者にコマンド実行、偵察、ファイルの持ち出し、横移動、追加プラグインのロードなど強力なリモートアクセス機能を提供します。
「Mythic C2は、Python 3で書かれた協調型・マルチプラットフォームのレッドチーム用フレームワークです」と研究者は説明しています。「サイバーセキュリティ専門家が侵害されたシステム上のエージェントを管理・制御するために使いますが、他の多くのレッドチーム用セキュリティツールと同様、脅威アクターによって悪用されることも少なくありません。」
研究者は、この融合によって、SocGholishによる低ハードルな初期侵入と、Mythic Agentによる高インパクトなスパイ活動ツールが効果的に組み合わさっていると指摘しています。この手法は、RomComが防御の堅い環境に侵入するハードルを大きく下げています。
ウクライナ支援に焦点を当てた標的プロファイル
レポートから得られる2つ目の重要な洞察は、被害者の選定に関するものです。標的となった企業は防衛請負業者や政府機関ではなく、米国の土木工学会社でした。その唯一注目すべき関連性は、過去にウクライナ関連都市の案件に関与したことでした。
Arctic Wolfによると、このインシデントは、ウクライナと間接的にでもつながりのある組織を標的とするRomComの広範なパターンに合致しています。研究者は、同グループがトロイの木馬化したインストーラーの配布から、より規律ある選択的な作戦へと着実に進化してきたこと、またGRU第29155部隊との疑わしい関係が、ウクライナ関連組織が引き続き注目される理由を説明すると述べています。Arctic Wolfは、侵害の兆候として悪意のあるドメイン名、IPアドレス、自律システム番号のリストを共有しました。
「Arctic Wolf Labsが特定した2つのRomCom関連Mythic C2に関連する5つの新しいドメインが発見されました」と研究者は述べています。「最終的に攻撃は失敗に終わりました。なぜなら、RomComのローダーがArctic WolfのAurora Endpoint Defenseによって検知され、この脅威グループによる標的組織の侵害が防がれたからです。」
Arctic Wolfは、同様の脅威への対策として、信頼できないスクリプトの実行をブロックすること、厳格なアップデートポリシーを徹底すること、ブラウザ内で表示される「アップデート」プロンプトはすべて疑わしいものとして扱うことを推奨しています。また、エンドポイントの継続的な監視と脅威インテリジェンス主導の検知によって、SocGholish型の偽アップデートが深刻化する前に発見する必要性も強調しています。
