A RomCom RAT olyan adathalász támadást hajtott végre, amelyben a közelgő vilniusi NATO csúcstalálkozót, valamint egy Ukrajnát külföldön támogató szervezetet célzott meg.
A BlackBerry Threat Research and Intelligence csapata 2023. július 4-én két magyar IP címről küldött rosszindulatú dokumentumot is talált.
A RomCom a közelmúltban kibertámadásokat indított olyan ukrajnai politikusok ellen, akik szorosan együttműködnek a nyugati országokkal, valamint egy amerikai székhelyű egészségügyi szervezet ellen, amely részt vesz a háború sújtotta országból menekülők megsegítésében. A csoport spearphishing technikát használt ahhoz, hogy az áldozatokat kártékony oldalakra irányítsa át. A célpontok között katonai szervezetek, élelmiszer láncok és informatikai vállalatok is szerepelnek.
A dokumentumok megnyitása után egy távoli szerverről payloadok töltődnek le, amelyek a Follina (CVE-2022-30190), az MSDT (Microsoft Support Diagnostic Tool) szoftverét érintő, mára javított biztonsági hibát használják ki a távoli kódfuttatás eléréséhez. A folyamat végén a RomCom RAT telepítésre kerül, amely célja, hogy információkat gyűjtsön a veszélyeztetett rendszerekről.
