El actor de amenazas nombrado Tomiris Se han atribuido a ataques a ministerios de Asuntos Exteriores, organizaciones intergubernamentales y agencias gubernamentales en Rusia con el objetivo de establecer acceso remoto y utilizar herramientas adicionales.
“Estos ataques resaltan un cambio notable en las tácticas de Tomiris, a saber, el uso cada vez mayor de implantes que utilizan servicios públicos (por ejemplo, Telegram y Discord) como servidores de comando y control (C2)”, dijeron en un análisis los investigadores de Kaspersky Oleg Kupreev y Artem Ushkov. “Es probable que este enfoque tenga como objetivo mezclar tráfico malicioso con actividad de servicio legítima para evadir la detección por parte de las herramientas de seguridad”.
La empresa de ciberseguridad dijo que más del 50% de los correos electrónicos de phishing y archivos engañosos utilizados en la campaña utilizaban nombres rusos y contenían texto en ruso, lo que sugiere que el foco eran usuarios u organizaciones de habla rusa. Los correos electrónicos de phishing también se dirigieron a Turkmenistán, Kirguistán, Tayikistán y Uzbekistán y utilizaron contenido personalizado en sus respectivos idiomas locales.
Los ataques a infraestructura política y diplomática de alto valor utilizaron una combinación de shells inversos, implantes personalizados y marcos C2 de código abierto como Havoc y AdaptixC2 para facilitar la reutilización.
Los detalles sobre Tomiris salieron a la luz por primera vez en septiembre de 2021, cuando Kaspersky arrojó luz sobre el funcionamiento interno de una puerta trasera del mismo nombre y reveló sus conexiones con SUNSHUTTLE (también conocido como GoldMax), un malware utilizado por los piratas informáticos rusos APT29 detrás del ataque a la cadena de suministro de SolarWinds, y Kazuar, una puerta trasera de espionaje basada en .NET utilizada por Turla.
A pesar de estas superposiciones, Tomiris es considerado un actor de amenazas diferente, centrado principalmente en la recopilación de inteligencia en Asia Central. Microsoft, en un informe publicado en diciembre de 2024, vinculó la puerta trasera de Tomiris con un actor de amenazas con sede en Kazajstán al que rastrea como Storm-0473.
Informes posteriores de Cisco Talos, Seqrite Labs, Group-IB y BI.ZONE han fortalecido esta hipótesis, con análisis que identifican superposiciones con grupos denominados Cavalry Werewolf, ShadowSilk, Silent Lynx, SturgeonPhisher y YoroTrooper.
La última actividad documentada por Kaspersky comienza con correos electrónicos de phishing que contienen archivos RAR maliciosos protegidos con contraseña. La contraseña para abrir el archivo se incluye en el cuerpo del correo electrónico. Dentro del archivo hay un ejecutable que se disfraza de un documento de Microsoft Word (*.doc.exe) y al iniciarlo coloca un shell inverso C/C++ responsable de recopilar información del sistema y contactar a un servidor C2 para recuperar AdaptixC2.
El shell inverso también realiza cambios en el registro de Windows para garantizar la persistencia de la carga útil descargada. Sólo este año se han descubierto tres versiones diferentes del malware.
Alternativamente, se ha descubierto que los archivos RAR distribuidos a través de correos electrónicos transmiten otras familias de malware, que a su vez desencadenan sus propias secuencias de infección.
- Un descargador basado en Rust que recopila información del sistema y la envía a un webhook de Discord; crea archivos de script de Visual Basic Script (VBScript) y PowerShell; e inicia VBScript con cscript que ejecuta el script de PowerShell para obtener un archivo zip que contiene un ejecutable vinculado a Havoc.
- Un shell inverso basado en Python que usa Discord como C2 para recibir comandos, ejecutarlos y filtrar los resultados al servidor; realiza reconocimientos; y descarga implantes de siguiente nivel, incluido AdaptixC2 y un FileGrabber basado en Python que recopila archivos correspondientes a los formatos jpg, .png, .pdf, .txt, .docx y .doc. Extensiones.
- Una puerta trasera basada en Python llamada Distopia, basada en el proyecto de código abierto distopia-c2, que usa Discord como C2 para ejecutar comandos de la consola y descargar cargas útiles adicionales, incluido un shell inverso basado en Python que usa Telegram para C2 para ejecutar comandos en el host y enviar la salida al servidor.
El arsenal de malware de Tomiris también incluye una serie de implantes y shells inversos escritos en varios lenguajes de programación.
- AC# shell inverso que usa Telegram para recibir comandos
- Un malware basado en Rust llamado JLORAT que puede ejecutar comandos y tomar capturas de pantalla
- Un shell inverso basado en Rust que utiliza PowerShell como shell en lugar de cmd.exe.
- Un shell inverso basado en Go que establece una conexión TCP para ejecutar comandos a través de cmd.exe.
- Una puerta trasera de PowerShell que utiliza Telegram para ejecutar comandos y descargar cualquier archivo a la ubicación “C:\Users\Public\Libraries\”.
- AC# shell inverso que establece una conexión TCP para ejecutar comandos a través de cmd.exe.
- Un proxy SOCKS inverso escrito en C++ que modifica el proyecto SOCKS5 inverso de código abierto para eliminar mensajes de depuración y ocultar la ventana de la consola.
- Un proxy SOCKS inverso escrito en Golang que modifica el proyecto de código abierto ReverseSocks5 para eliminar mensajes de depuración y ocultar la ventana de la consola.
“La campaña Tomiris 2025 aprovecha módulos de malware multilingües para aumentar la flexibilidad operativa y evadir la detección al parecer menos sospechoso”, dijo Kaspersky. “La evolución de las tácticas subraya el enfoque del actor de amenazas en el sigilo, la persistencia a largo plazo y la alineación estratégica con gobiernos y organizaciones intergubernamentales”.
About The Author
