El actor de amenazas conocido como Tomiris se ha atribuido a ataques contra ministerios de relaciones exteriores, organizaciones intergubernamentales y entidades gubernamentales en Rusia con el objetivo de establecer el acceso remoto y desplegar herramientas adicionales.
«Estos ataques ponen de relieve un cambio notable en las tácticas de Tomiris, a saber, el aumento del uso de implantes que aprovechan los servicios públicos (por ejemplo, Telegram y Discord) como servidores de comando y control (C2)», dijeron los investigadores de Kaspersky Oleg Kupreev y Artem Ushkov dijo en un análisis. «Es probable que este enfoque tenga como objetivo combinar el tráfico malintencionado con la actividad de servicio legítima para evitar que las herramientas de seguridad lo detecten».
La empresa de ciberseguridad dijo que más del 50% de los correos electrónicos y archivos señuelo de suplantación de identidad utilizados en la campaña utilizaban nombres rusos y contenían texto en ruso, lo que indica que los usuarios o entidades de habla rusa eran el objetivo principal. Los correos electrónicos de suplantación de identidad también se dirigieron a Turkmenistán, Kirguistán, Tayikistán y Uzbekistán, utilizando contenido personalizado escrito en sus respectivos idiomas nacionales.
Los ataques dirigidos a infraestructuras políticas y diplomáticas de alto valor han aprovechado una combinación de capas inversas, implantes personalizados y marcos C2 de código abierto, como Havoc y AdaptixC2, para facilitar la posexplotación.
Detalles de Tomiris surgió por primera vez en septiembre de 2021, cuando Kaspersky arrojó luz sobre el funcionamiento interno de una puerta trasera del mismo nombre y señaló sus vínculos con SUNSHUTTLE (también conocido como GoldMax), un malware utilizado por los piratas informáticos rusos APT29 detrás del ataque a la cadena de suministro de SolarWinds, y Kazuar, una puerta trasera de espionaje basada en .NET utilizada por Turla.
A pesar de estas superposiciones, se considera que Tomiris es un actor de amenazas diferente que se centra principalmente en la recopilación de información de inteligencia en Asia Central. Microsoft, en un informe publicado en diciembre de 2024, conectó la puerta trasera de Tomiris con un actor de amenazas con sede en Kazajstán al que rastrea como Storm-0473.
Informes posteriores de Cisco Talos , Laboratorios Seqrite , Grupo-IB , y BI.ZONE han reforzado esta hipótesis, ya que los análisis identifican superposiciones con grupos denominados Cavalry Werewolf, ShadowSilk, Lince silencioso , Sturgeon Phisher y YoroTrooper.
La actividad más reciente documentada por Kaspersky comienza con correos electrónicos de suplantación de identidad que contienen archivos RAR maliciosos protegidos con contraseña. La contraseña para abrir el archivo se incluye en el texto del correo electrónico. En el archivo hay un ejecutable que se hace pasar por un documento de Microsoft Word (*.doc.exe) y que, al ejecutarlo, elimina una capa inversa de C/C++ que se encarga de recopilar la información del sistema y contactar con un servidor C2 para obtener AdapTixC2.
La consola inversa también realiza modificaciones en el registro de Windows para garantizar la persistencia de la carga útil descargada. Solo este año se han detectado tres versiones diferentes del malware.
Alternativamente, se ha descubierto que los archivos RAR que se propagan a través de los correos electrónicos envían otras familias de malware que, a su vez, activan sus propias secuencias de infección -
- Un descargador basado en Rust que recopila información del sistema y la envía a un webhook de Discord; crea archivos de script de Visual Basic (VBScript) y PowerShell; y lanza VBScript mediante cscript, que ejecuta el script de PowerShell para obtener un archivo ZIP que contiene un ejecutable asociado a Havoc.
- Un shell inverso basado en Python que usa Discord como C2 para recibir comandos, ejecutarlos y devolver los resultados al servidor; realiza reconocimientos y descarga los implantes de la siguiente etapa, incluidos AdaptixC2 y un FileGrabber basado en Python que recopila archivos que coinciden con las extensiones jpg, .png, .pdf, .txt, .docx y .doc.
- Un backdoor basado en Python llamado Distopia que se basa en el código abierto distopía-c2 proyecta y usa Discord como C2 para ejecutar comandos de consola y descargar cargas útiles adicionales, incluida una consola inversa basada en Python que usa Telegram para C2 para ejecutar comandos en el host y enviar la salida al servidor.
El arsenal de malware de Tomiris también incluye una serie de capas e implantes inversos escritos en diferentes lenguajes de programación -
- Un shell inverso de C# que emplea Telegram para recibir comandos
- Un malware basado en Rust llamado JLORAT que puede ejecutar comandos y tomar capturas de pantalla
- Un shell inverso basado en Rust que usa PowerShell como shell en lugar de "cmd.exe»
- Un shell inverso basado en Go que establece una conexión TCP para ejecutar comandos a través de "cmd.exe»
- Un backdoor de PowerShell que usa Telegram para ejecutar comandos y descargar un archivo arbitrario a la ubicación "C:\Users\Public\Libraries\»
- Un shell inverso de C# que utiliza establece una conexión TCP para ejecutar comandos a través de "cmd.exe»
- Un proxy SOCKS inverso escrito en C++ que modifica el código abierto Calcetines inversos 5 proyecto para eliminar los mensajes de depuración y ocultar la ventana de la consola
- Un proxy SOCKS inverso escrito en Golang que modifica el código abierto Calcetines inversos 5 proyecto para eliminar los mensajes de depuración y ocultar la ventana de la consola
«La campaña Tomiris 2025 aprovecha los módulos de malware en varios idiomas para mejorar la flexibilidad operativa y evitar la detección al parecer menos sospechosa», afirma Kaspersky. «La evolución de las tácticas pone de manifiesto que los actores de la amenaza se centran en el sigilo, la persistencia a largo plazo y en atacar estratégicamente a las organizaciones gubernamentales e intergubernamentales».