El actor de amenazas conocido como Tomiris se ha atribuido a ataques dirigidos a ministerios de Asuntos Exteriores, organizaciones intergubernamentales y entidades gubernamentales en Rusia con el objetivo de establecer acceso remoto y desplegar herramientas adicionales.
«Estos ataques ponen de relieve un cambio notable en las tácticas de Tomiris, concretamente el mayor uso de implantes que aprovechan los servicios públicos (por ejemplo, Telegram y Discord) como servidores de comando y control (C2)», dijeron los investigadores de Kaspersky Oleg Kupreev y Artem Ushkov. dicho en un análisis. «Es probable que este enfoque tenga como objetivo combinar tráfico malicioso con actividad de servicio legítima para evadir la detección por parte de las herramientas de seguridad».
La empresa de ciberseguridad dijo que más del 50% de los correos electrónicos de phishing y archivos señuelo utilizados en la campaña utilizaban nombres rusos y contenían texto en ruso, lo que indica que los usuarios o entidades de habla rusa eran el foco principal. Los correos electrónicos de phishing también se dirigieron a Turkmenistán, Kirguistán, Tayikistán y Uzbekistán utilizando contenido personalizado escrito en sus respectivos idiomas nacionales.
Los ataques dirigidos a infraestructura política y diplomática de alto valor han aprovechado una combinación de shells inversos, implantes personalizados y marcos C2 de código abierto como Havoc y AdaptixC2 para facilitar la post-explotación.
Detalles de Tomiris surgió por primera vez en septiembre de 2021, cuando Kaspersky arrojó luz sobre el funcionamiento interno de una puerta trasera del mismo nombre, señalando sus vínculos con SUNSHUTTLE (también conocido como GoldMax), un malware utilizado por los piratas informáticos rusos APT29 detrás del ataque a la cadena de suministro de SolarWinds, y Kazuar, una puerta trasera de espionaje basada en .NET utilizada por Turla.
A pesar de estas superposiciones, se considera que Tomiris es un actor de amenazas diferente que se centra principalmente en la recopilación de inteligencia en Asia Central. Microsoft, en un informe publicado en diciembre de 2024, conectó la puerta trasera de Tomiris a un actor de amenazas con sede en Kazajstán al que rastrea como Storm-0473.
Informes posteriores de Cisco Talos, Laboratorios Seqrite, Grupo-IBy BI.ZONA han fortalecido esta hipótesis, con los análisis identificando superposiciones con grupos denominados Cavalry Werewolf, ShadowSilk, Lince silenciosoSturgeonPhisher y YoroTrooper.
La última actividad documentada por Kaspersky comienza con correos electrónicos de phishing que contienen archivos RAR maliciosos protegidos con contraseña. La contraseña para abrir el archivo está incluida en el texto del correo electrónico. Dentro del archivo hay un ejecutable que se hace pasar por un documento de Microsoft Word (*.doc.exe) que, cuando se inicia, coloca un shell inverso C/C++ que es responsable de recopilar información del sistema y contactar a un servidor C2 para recuperar AdaptixC2.
El shell inverso también realiza modificaciones en el Registro de Windows para garantizar la persistencia de la carga útil descargada. Sólo este año se han detectado tres versiones diferentes del malware.
Alternativamente, se ha descubierto que los archivos RAR propagados a través de los correos electrónicos envían otras familias de malware, que, a su vez, desencadenan sus propias secuencias de infección.
- Un descargador basado en Rust que recopila información del sistema y la envía a un webhook de Discord; crea archivos de script de Visual Basic Script (VBScript) y PowerShell; e inicia VBScript usando cscript, que ejecuta el script de PowerShell para recuperar un archivo ZIP que contiene un ejecutable asociado con Havoc.
- Un shell inverso basado en Python que usa Discord como C2 para recibir comandos, ejecutarlos y filtrar los resultados al servidor; realiza reconocimientos; y descarga implantes de la siguiente etapa, incluido AdaptixC2 y un FileGrabber basado en Python que recopila archivos que coinciden con jpg, .png, .pdf, .txt, .docx y .doc. extensiones.
- Una puerta trasera basada en Python denominada Distopia que se basa en código abierto distopía-c2 proyecto y usa Discord como C2 para ejecutar comandos de la consola y descargar cargas útiles adicionales, incluido un shell inverso basado en Python que usa Telegram para C2 para ejecutar comandos en el host y enviar la salida al servidor.
El arsenal de malware de Tomiris también comprende varios shells inversos e implantes escritos en diferentes lenguajes de programación:
- AC# shell inverso que emplea Telegram para recibir comandos
- Un malware basado en Rust llamado JLORAT que puede ejecutar comandos y tomar capturas de pantalla
- Un shell inverso basado en Rust que utiliza PowerShell como shell en lugar de «cmd.exe»
- Un shell inverso basado en Go que establece una conexión TCP para ejecutar comandos a través de «cmd.exe»
- Una puerta trasera de PowerShell que utiliza Telegram para ejecutar comandos y descargar un archivo arbitrario en la ubicación «C:\Users\Public\Libraries\»
- AC# shell inverso que utiliza establece una conexión TCP para ejecutar comandos a través de «cmd.exe»
- Un proxy SOCKS inverso escrito en C++ que modifica el código abierto Calcetines inversos5 proyecto para eliminar mensajes de depuración y ocultar la ventana de la consola
- Un proxy SOCKS inverso escrito en Golang que modifica el código abierto Calcetines inversos5 proyecto para eliminar mensajes de depuración y ocultar la ventana de la consola
«La campaña Tomiris 2025 aprovecha módulos de malware en varios idiomas para mejorar la flexibilidad operativa y evadir la detección al parecer menos sospechoso», dijo Kaspersky. «La evolución de las tácticas subraya el enfoque del actor de amenazas en el sigilo, la persistencia a largo plazo y el objetivo estratégico de gobiernos y organizaciones intergubernamentales».
Fuente