# RomCom RAT > [!high] Trojan de acesso remoto customizado desenvolvido pelo grupo russo Tropical Scorpius (Nebulous Mantis) para espionagem contra infraestrutura crítica, governo e organizações vinculadas à OTAN, com histórico de exploração de zero-days em Windows, Firefox e WinRAR. ## Descrição RomCom RAT é um trojan de acesso remoto customizado que emergiu em maio de 2022 como ferramenta exclusiva do grupo de ameaça Tropical Scorpius, também rastreado como UNC2596, UAC-0132, STORM-0978, COLDDRAW e, mais recentemente, Nebulous Mantis. Trata-se de um ator de língua russa operando com motivações geopolíticas e financeiras simultâneas, combinando campanhas de espionagem direcionadas a organizações governamentais e de defesa com operações de ransomware Cuba para monetização paralela. O RomCom é um backdoor sofisticado com protocolo de C2 proprietário e técnicas avançadas de evasão. Suas capacidades centrais incluem execução de comandos arbitrários e implantação de payloads adicionais, facilitação de movimento lateral em redes comprometidas, exfiltração de dados sensíveis e estabelecimento de persistência resiliente por meio da evolução contínua de sua infraestrutura. O grupo utiliza provedores de hosting bulletproof como AEZA e LuxHost para hospedar servidores C2, dificultando takedowns por autoridades. A infraestrutura C2 é gerenciada por um subgrupo operacional rastreado como LARVA-290. O grupo demonstra capacidade recorrente de explorar vulnerabilidades zero-day: CVE-2020-1472 (ZeroLogon) para escalonamento de privilégios via Kerberos, além de falhas não divulgadas em Microsoft Windows, Mozilla Firefox e WinRAR em diferentes campanhas. A ferramenta KerberCache é usada para manipulação de tokens Kerberos (T1134.003). Drivers de kernel customizados são implantados para neutralizar produtos de segurança instalados nas vítimas. A cadeia de ataque utiliza táticas LOTL com Impacket para movimento lateral, frequentemente combinado com o Meterpreter Reverse Shell para acesso interativo. A distribuição ocorre principalmente via spear-phishing com links ou anexos armados, criação de websites falsos convincentes e trojanização de software legítimo - prática documentada com ferramentas de gestão de TI e software industrial. O RomCom foi implantado em campanhas direcionadas a agências governamentais ucranianas, organizações militares e políticos pró-Ucrânia na Europa, além de entidades privadas vinculadas à infraestrutura crítica da OTAN. ## Técnicas Utilizadas - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - delivery via links maliciosos em e-mails de spear-phishing - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - documentos armados como vetor alternativo de entrega - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de zero-days e vulnerabilidades conhecidas - [[t1134-003-make-and-impersonate-token|T1134.003 - Make and Impersonate Token]] - manipulação de tokens Kerberos via KerberCache - [[t1547-boot-or-logon-autostart-execution|T1547 - Boot or Logon Autostart Execution]] - persistência via mecanismos de inicialização do sistema - [[t1021-remote-services|T1021 - Remote Services]] - movimento lateral via Impacket e remote services - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - exfiltração via protocolo C2 customizado e criptografado - [[t1562-impair-defenses|T1562 - Impair Defenses]] - drivers de kernel customizados para neutralizar produtos de segurança ## Grupos que Usam - [[tropical-scorpius|Tropical Scorpius]] (UNC2596 / Nebulous Mantis / STORM-0978) - desenvolvedor e operador principal do RomCom RAT, com dupla missão de espionagem e ransomware Cuba - Outros grupos APT têm adotado variantes ou técnicas do RomCom conforme sua disponibilidade como ferramenta commodity ## Detecção **Monitoramento de spear-phishing e trojanização:** Alertas para downloads de software legítimo de fontes não oficiais são críticos dada a técnica de trojanização do grupo. Verificação de hash e assinatura digital de instaladores de software, especialmente de ferramentas de gestão de TI e software industrial, antes da execução em ambientes corporativos. **Detecção de infraestrutura C2:** Monitorar conexões a provedores de hosting bulletproof conhecidos (AEZA, LuxHost). O protocolo C2 customizado do RomCom requer análise comportamental de tráfego - detectar padrões de beacon incomuns em conexões HTTPS a destinos não catalogados no inventário de ativos corporativos. **Indicadores de movimento lateral:** Detectar uso de Impacket em contextos de produção (especialmente fora de atividades de pentest autorizadas). Conexões Meterpreter Reverse Shell via HTTP/HTTPS a partir de servidores internos são altamente indicativas de comprometimento avançado. Monitorar acesso ao Hancitor loader que frequentemente precede instalações de RomCom. **Proteção de Kerberos:** Alertas para uso da ferramenta KerberCache e manipulação de tokens Kerberos via técnicas de Access Token Manipulation (T1134). Implementar monitoramento de eventos de auditoria de Kerberos no Active Directory, especialmente TGT requests em horários incomuns. ## Relevância LATAM/Brasil O RomCom e o grupo Tropical Scorpius operam predominantemente contra alvos vinculados à OTAN, governos europeus e Ucrânia, sem campanhas documentadas específicas para o Brasil. No entanto, o padrão de expansão observado em grupos russo-falantes motivados financeiramente - como o uso paralelo de ransomware Cuba para monetização - sugere potencial interesse em organizações brasileiras de infraestrutura crítica e [[government|governo]]. Empresas brasileiras com operações na Europa ou contratos com entidades governamentais de países membros da OTAN devem considerar o RomCom em seus modelos de ameaça. A [[lgpd|LGPD]] exige notificação de incidentes de comprometimento de dados pessoais - cenário possível dada a capacidade de exfiltração do RomCom. ## Referências - [Malpedia - RomCom RAT](https://malpedia.caad.fkie.fraunhofer.de/details/win.romcom_rat) - [Unit 42 - Cuba Ransomware / Tropical Scorpius](https://unit42.paloaltonetworks.com/cuba-ransomware-tropical-scorpius/) - [Industrial Cyber - Nebulous Mantis Targets NATO Infrastructure](https://industrialcyber.co/ransomware/russian-linked-nebulous-mantis-targets-nato-critical-infrastructure-with-romcom-rat/) - [FortiGuard - RomCom Threat Actor Profile](https://fortiguard.fortinet.com/threat-actor/6388/romcom) - [FBI/CISA - Cuba Ransomware Advisory](https://www.ic3.gov/CSA/2022/221201-2.pdf) - [AttackIQ - RomCom Report](https://www.attackiq.com/wp-content/uploads/2025/09/romcom-report.pdf)