- Tomiris APT apunta a organizaciones gubernamentales con implantes de malware multilingüe
- El grupo oculta el tráfico C2 en Telegram/Discord mediante phishing para obtener acceso inicial
- La campaña se centra en la inteligencia a nivel estatal, dirigida a organizaciones en Rusia y Asia Central.
Tomiris, un grupo de hackers de habla rusa de la APT, ha reducido el foco de sus ataques a ministerios gubernamentales, organizaciones intergubernamentales y organizaciones políticamente importantes.
Esto es según un nuevo informe de los investigadores de ciberseguridad Kaspersky, que dice que ha habido una ola de intrusiones desde principios de 2025, donde Tomiris desplegó un gran arsenal de implantes multilingües.
Las herramientas escritas en Go, Rust, Python y PowerShell (entre otros) fueron diseñadas para brindar flexibilidad, ofuscación y dificultar la atribución.
Apuntando a las víctimas rusas y de Asia Central
Tomiris ahora está ocultando su infraestructura de comando y control (C2) en servicios públicos como Telegram o Discord, que, según dijeron, ayuda a ocultar el tráfico malicioso en los flujos normales de mensajes cifrados.
Varios shells inversos, como Tomiris Python, Discord ReverseShell o Tomiris Python Telegram ReverseShell, dependen completamente de estas plataformas para recibir comandos y filtrar datos robados.
El acceso inicial generalmente se logra mediante phishing utilizando reglas escritas en ruso. Una vez que se implementa el malware de primera etapa, los atacantes se esconderán, ejecutarán comandos del sistema e implementarán el malware de segunda etapa. Kaspersky también dijo que marcos como Havoc y AdaptixC2 aparecen en etapas posteriores y se utilizan para la persistencia, el movimiento lateral y la adopción de dispositivos.
Más de la mitad de las estafas de phishing de Tomiris se dirigen a personas u organizaciones de habla rusa, afirmó. El resto se encuentra en países de Asia Central como Turkmenistán, Kirguistán, Tayikistán y Uzbekistán. Kaspersky también enfatiza que no se trata de un crimen oportunista, sino de una campaña basada en la recopilación de inteligencia a nivel estatal.
“La evolución de las tácticas subraya el enfoque de los actores de amenazas en el sigilo, la sostenibilidad a largo plazo y la focalización estratégica en gobiernos y organizaciones intergubernamentales”, concluyó Kaspersky. “El uso de servicios públicos para comunicaciones C2 e implantes multilingües resalta la necesidad de estrategias de detección avanzadas, como análisis de comportamiento e inspección del tráfico de red, para identificar y mitigar eficazmente estas amenazas”.
A través de Noticias de piratas informáticos
El mejor antivirus para cada presupuesto
Siga TechRadar en Google News y agréganos como tu fuente predeterminada para recibir noticias, puntos de vista y opiniones de nuestros expertos en feeds. ¡Asegúrate de presionar el botón Continuar!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para recibir noticias, reseñas, unboxings en forma de video y recibir actualizaciones constantes de nuestra parte WhatsApp también
