Uma nova campanha de ciberespionagem está utilizando JavaScript malicioso injetado em sites legítimos comprometidos para instalar spyware avançado em vítimas corporativas. O ataque começa com um alerta falso de atualização de navegador, típico da ferramenta SocGholish, usada como vetor inicial para enganar o usuário. Ao clicar no pop-up, o código malicioso é executado e, em poucos minutos, instala o Mythic Agent, um spyware capaz de acessar remotamente o sistema, coletar dados sensíveis e permanecer oculto em redes corporativas.
É a primeira vez que o grupo RomCom, responsável pela operação, combina o uso do SocGholish com esse agente malicioso, elevando a complexidade da cadeia de infecção. O alvo inicial foi uma empresa de engenharia civil nos Estados Unidos, possivelmente associada a projetos ligados à Ucrânia. Relatórios indicam que o ataque tem ligação com serviços de inteligência militar da Rússia, o que reforça o caráter geopolítico da ação. Embora a infecção tenha sido detectada e contida antes da ativação completa do spyware, o incidente demonstra como técnicas clássicas de engenharia social continuam sendo eficazes.
O uso de uma interface confiável e uma atualização falsa torna o golpe difícil de identificar para muitos usuários. O RomCom, conhecido por ataques com motivação política, agora incorpora métodos mais automatizados para espalhar malware, deixando de depender exclusivamente de e-mails direcionados e ampliando o alcance por meio de páginas web comprometidas.
