Istraživači iz kompanije Proofpoint prate zajedničke strategije i infrastrukturu dviju značajnih grupa koje se bave razvojem malicioznog softvera, TA829 i UNK_GreenSec. Ove grupe su nedavno uočene kako koordinisano djeluju u svojim kampanjama širom svijeta, pri čemu obe koriste alat pod nazivom TransferLoader. TA829 je aktivna od 2021. godine i poznata je po tome što svoje žrtve često cilja putem e-poruka koje sadrže makro naredbe, a koje su namijenjene krađi povjerljivih podataka, uključujući kredencijale za pristup platformama kao što su Microsoft Outlook i VPN usluge.
S druge strane, UNK_GreenSec, koja se pojavila ranije 2025. godine, fokusira se na širenje malicioznog softvera RomCom RAT putem phishing kampanja. Ova grupa posebno koristi uobičajene softverske proizvode kako bi zavarala korisnike, na primjer, nudeći lažna ažuriranja za popularne alate ili distribucijom inficiranih instalacionih paketa. Ono što je posebno zabrinjavajuće jeste njihova sposobnost da iskoriste legitimne softverske proizvode u cilju postizanja svojih malicioznih ciljeva, što otežava njihovo otkrivanje i neutralizaciju.
Obe grupe pokazuju značajnu fleksibilnost i prilagodljivost u svojim napadima. TA829 je nedavno unaprijedila svoje metode, koristeći TransferLoader za isporuku potencijalno opasnog malicioznog softvera, čime proširuje svoje mogućnosti za ugrožavanje ciljanih sistema. UNK_GreenSec, koristeći sličnu infrastrukturu i tehnike distribucije, efikasno širi RomCom RAT, alat koji omogućava napadačima daljinski pristup i kontrolu nad kompromitovanim sistemima.
Posebno interesantno je zapažanje da TA829 koristi TransferLoader kako bi instalirala i druge maliciozne programe na ugrožene sisteme. Ovo ukazuje na strateško planiranje i potencijalnu saradnju ili dijeljenje resursa između različitih hakera u sajber kriminalu. Proofpoint je skrenuo pažnju na ove aktivnosti putem svojih objava na platformi X (ranije poznatoj kao Twitter) i na vlastitom blogu, naglašavajući hitnost da organizacije i pojedinci preduzmu odgovarajuće sigurnosne mjere.
Primjer metodologije napada koji koriste obe grupe uključuje kreiranje uvjerljivih phishing e-poruka koje često sadrže linkove ili priloge. Ove poruke su pažljivo dizajnirane da izgledaju kao legitimne komunikacije od poznatih kompanija ili poznanika. Korisnici se potom navode da kliknu na linkove koji vode do lažnih web stranica, gdje se od njih traži unos osjetljivih podataka poput korisničkih imena i lozinki, ili da preuzmu inficirane datoteke koje automatski instaliraju maliciozni softver na njihov uređaj.
Jedan od načina na koji prevaranti mame žrtve jeste iskorištavanje hitnosti ili straha. Na primjer, poruke mogu tvrditi da postoji problem s korisničkim nalogom ili da je potrebna hitna akcija kako bi se izbjegle negativne posljedice. U drugim slučajevima, nudi se nešto privlačno, poput besplatnog softvera ili povoljne ponude, što kod korisnika stvara osjećaj da bi mogli propustiti nešto vrijedno ako ne postupe brzo.
Ova upozorenja su ključna jer se sajber napadači kontinuirano razvijaju i usavršavaju svoje tehnike. Razumijevanje zajedničkih taktika i infrastrukture koje koriste grupe kao što su TA829 i UNK_GreenSec pomaže u ranom otkrivanju i prevenciji potencijalnih šteta. Stoga, ažuriranje sigurnosnog softvera, edukacija korisnika o prepoznavanju phishing pokušaja i primjena principa najmanjih ovlašćenja predstavljaju temelj efikasne odbrane u današnjem digitalnom okruženju.
