Se cree que el atacante, conocido como Tomiris, se dirigió al Ministerio de Asuntos Exteriores de Rusia, organizaciones intergubernamentales y agencias gubernamentales con el objetivo de establecer acceso remoto y desplegar herramientas adicionales.
«Estos ataques resaltan un cambio notable en las tácticas de Tomiris, a saber, el uso cada vez mayor de implantes que aprovechan los servicios públicos (como Telegram y Discord) como servidores de comando y control (C2)», dijeron en un análisis los investigadores de Kaspersky Oleg Kupreev y Artem Ushkov. «Este enfoque puede tener como objetivo mezclar tráfico malicioso con actividad de servicio legítima para evitar la detección por parte de herramientas de seguridad».
La firma de ciberseguridad dijo que más del 50% de los correos electrónicos de phishing y archivos señuelo utilizados en la campaña usaban nombres rusos y contenían texto en ruso, lo que indica que los usuarios o entidades de habla rusa eran el foco principal. Los correos electrónicos de phishing también se dirigen a Turkmenistán, Kirguistán, Tayikistán y Uzbekistán, utilizando contenido personalizado escrito en el idioma de cada país.
Los ataques dirigidos a infraestructura política y diplomática de alto valor utilizan una combinación de shells inversos, implantes personalizados y marcos C2 de código abierto como Havoc y AdaptixC2 para facilitar el procesamiento posterior a la explotación.
Los detalles sobre Tomiris surgieron por primera vez en septiembre de 2021, cuando Kaspersky Lab descubrió el funcionamiento interno de una puerta trasera del mismo nombre e identificó un vínculo entre SUNSHUTTLE (también conocido como GoldMax), el malware utilizado por los piratas informáticos rusos APT29 detrás del ataque a la cadena de suministro de SolarWinds, y Kazuar, la puerta trasera de espionaje basada en .NET utilizada por Turla.
A pesar de estas superposiciones, se considera que Tomiris es un actor de amenazas independiente centrado principalmente en la recopilación de inteligencia en Asia Central. En un informe publicado en diciembre de 2024, Microsoft vinculó la puerta trasera de Tomiris con un actor de amenazas con sede en Kazajstán rastreado como Storm-0473.
Informes posteriores de Cisco Talos, Seqrite Labs, Group-IB y BI.ZONE fortalecieron esta hipótesis, con análisis que identificaron superposiciones con grupos llamados Cavalry Werewolf, ShadowSilk, Silent Lynx, SturgeonPhisher y YoroTrooper.
La última actividad documentada por Kaspersky comenzó con un correo electrónico de phishing que contenía un archivo RAR malicioso protegido con contraseña. La contraseña para abrir el archivo se incluye en el cuerpo del correo electrónico. Dentro del archivo hay un archivo ejecutable que pretende ser un documento de Microsoft Word (*.doc.exe). Cuando se inicia, coloca un shell inverso C/C++ que es responsable de recopilar información del sistema y conectarse al servidor C2 para recuperar AdaptixC2.
El shell inverso también realiza cambios en el registro de Windows para garantizar la persistencia de la carga útil descargada. Sólo este año se han detectado tres versiones diferentes del malware.
Alternativamente, se ha descubierto que los archivos RAR propagados por correo electrónico transmiten otras familias de malware, que desencadenan sus propias secuencias de infección.
Un descargador basado en Rust que recopila información del sistema y la envía a un webhook de Discord. Cree archivos de script de Visual Basic Script (VBScript) y PowerShell. Luego use cscript para iniciar VBScript. Esto ejecutará un script de PowerShell y recuperará un archivo ZIP que contiene los archivos ejecutables asociados con Havoc. Un shell inverso basado en Python que utiliza Discord como C2 para recibir comandos, ejecutarlos y extraer los resultados a un servidor. Realizar reconocimientos. También descarga la siguiente etapa de implantes, incluido AdaptixC2 y FileGrabber basado en Python, que recopila archivos que coinciden con jpg, .png, .pdf, .txt, .docx y .doc. Extensión. Una puerta trasera basada en Python llamada Distopia. Se basa en el proyecto de código abierto distopia-c2 y utiliza Discord como C2 para ejecutar comandos de la consola y descargar cargas útiles adicionales. Esto incluye un shell inverso basado en Python que utiliza Telegram para C2 para ejecutar comandos en el host y enviar la salida al servidor.
El arsenal de malware de Tomiris también incluye numerosos implantes y shells inversos escritos en varios lenguajes de programación.
AC# Reverse Shell que usa Telegram para recibir comandos Malware basado en Rust llamado JLORAT que puede ejecutar comandos y tomar capturas de pantalla Shell inverso basado en Rust que usa PowerShell como shell en lugar de «cmd.exe» Shell inverso basado en Go que establece una conexión TCP para ejecutar comandos a través de «cmd.exe» Telegram Un proxy SOCKS inverso escrito en AC# Reverse Shell C++ que establece una conexión TCP para ejecutar comandos a través de AC# Reverse Shell y C++ para ejecutar comandos y copiar cualquier archivo a la ubicación ‘C:\Users\Public\Libraries\’ para ejecutar comandos a través de ‘cmd.exe’. Modifique el proyecto de código abierto Reverse-SOCKS5 para eliminar mensajes de depuración y ocultar la ventana de la consola. Proxy SOCKS inverso escrito en Golang. Modifique el proyecto de código abierto ReverseSocks5 para eliminar mensajes de depuración y ocultar la ventana de la consola.
«La campaña Tomiris 2025 aprovecha módulos de malware multilingües para aumentar la flexibilidad operativa y evadir la detección al parecer menos sospechoso», dijo Kaspersky. «La evolución de las tácticas destaca el enfoque de los actores de amenazas en el sigilo, la persistencia a largo plazo y la orientación estratégica a gobiernos y organizaciones intergubernamentales».
Source link
