Los investigadores de ciberseguridad han revelado detalles de un ciberataque dirigido contra una importante empresa inmobiliaria con sede en EE. UU. que implicó el uso de un incipiente marco de mando y control (C2) y trabajo en equipo rojo conocido como Tuoni .
«La campaña aprovechó el emergente marco Tuoni C2, una herramienta de comando y control (C2) relativamente nueva (con licencia gratuita) que ofrece cargas útiles sigilosas en la memoria», dijo Shmuel Uzan, investigador de Morphisec dijo en un informe compartido con The Hacker News.
Tuoni se anuncia como un marco C2 avanzado diseñado para profesionales de la seguridad, que facilita las operaciones de pruebas de penetración, la participación de los equipos rojos y las evaluaciones de seguridad. Una «edición comunitaria» del software es disponible gratuitamente para descargar desde GitHub. Se lanzó por primera vez a principios de 2024.
El ataque, según Morphisec, se desarrolló a mediados de octubre de 2025, y es probable que el actor de amenazas desconocido aprovechara la ingeniería social a través de Suplantación de identidad de Microsoft Teams para el acceso inicial. Se sospecha que los atacantes probablemente se hicieron pasar por vendedores o colegas de confianza para engañar a un empleado de la empresa para que ejecutara un comando de PowerShell.
El comando, por su parte, descarga un segundo script de PowerShell desde un servidor externo («kupaoquan [.] com»), que, a su vez, emplea trucos esteganográficos para ocultar la carga útil de la siguiente etapa dentro de una imagen de mapa de bits (BMP). El objetivo principal de la carga útil integrada es extraer el código de shell y ejecutarlo directamente en la memoria.
Esto da como resultado la ejecución de "TuoniAgent.dll», que corresponde a un agente que opera dentro de la máquina objetivo y se conecta a un servidor C2 (en este caso, «kupaoquan [.] com»), lo que permite el control remoto.
«Si bien Tuoni en sí mismo es un marco C2 sofisticado pero tradicional, el mecanismo de entrega mostró signos de ayuda de la IA en la generación de código, como lo demuestran los comentarios guionados y la estructura modular del cargador inicial», añade Morphisec.
El ataque, aunque en última instancia no tuvo éxito, demuestra el abuso continuo de las herramientas de creación de equipos rojos con fines maliciosos. En septiembre de 2025, Check Point detallada el uso de una herramienta basada en inteligencia artificial (IA) llamada HexStrike AI para acelerar y simplificar rápidamente la explotación de las vulnerabilidades.