El grupo Tomiris intensifica ataques a gobiernos rusos utilizando Telegram y Discord como canales C2

Introducción

El panorama de amenazas persistentes avanzadas (APT) en el espacio postsoviético ha experimentado una evolución significativa en los últimos meses, con el grupo Tomiris protagonizando una serie de ataques dirigidos a organismos gubernamentales, ministerios de asuntos exteriores y organizaciones intergubernamentales de Rusia. Este actor, conocido por su enfoque estratégico y su adaptación táctica, ha comenzado a emplear canales de comunicación basados en servicios públicos ampliamente utilizados, como Telegram y Discord, para establecer y mantener el control sobre sistemas comprometidos. El cambio supone un reto añadido para los equipos de seguridad, ya que dificulta la detección y el bloqueo de la actividad maliciosa.

Contexto del Incidente

Tomiris es un actor de amenazas atribuido a la esfera postsoviética, cuya actividad ha sido rastreada desde al menos 2021. Sus campañas históricas se centraban en la exfiltración de datos sensibles y el espionaje digital, principalmente contra organismos gubernamentales y diplomáticos. Sin embargo, los últimos análisis de inteligencia de amenazas (Threat Intelligence) apuntan a un notable cambio en sus tácticas, técnicas y procedimientos (TTP), priorizando la persistencia y el sigilo a través del uso de servicios legítimos para sus canales de comando y control (C2).

Recientes investigaciones han documentado incidentes en los que Tomiris ha comprometido infraestructuras críticas de varios ministerios rusos y entidades asociadas, desplegando implantes personalizados y herramientas post-explotación para mantener acceso remoto y desplegar cargas útiles adicionales. La atribución se apoya en artefactos de malware, patrones de infraestructura y solapamientos operativos con campañas previas.

Detalles Técnicos

Las campañas recientes de Tomiris se caracterizan por el uso de implantes avanzados diseñados para evadir controles tradicionales de seguridad perimetral y de endpoint. Entre los CVE explotados en la fase inicial de acceso destacan vulnerabilidades en Microsoft Exchange Server (CVE-2021-26855, ProxyLogon) y en Fortinet FortiGate SSL VPN (CVE-2018-13379). El acceso inicial se logra mediante spear phishing dirigido, explotación de servicios expuestos y, en algunos casos, mediante el uso de credenciales previamente sustraídas en fugas de datos.

Una vez dentro, Tomiris despliega backdoors personalizados que emplean Telegram Bot API y Webhooks de Discord como canales de comunicación C2. Esto permite a los operadores enviar comandos, recibir información robada y actualizar implantes sin recurrir a infraestructuras propias, aprovechando la confianza y el tráfico permitido hacia estos servicios en muchas redes corporativas. Las TTP observadas encajan en la matriz MITRE ATT&CK, especialmente en las siguientes técnicas:

– Initial Access: Spearphishing Attachment (T1566.001), Exploit Public-Facing Application (T1190)
– Command and Control: Application Layer Protocol (T1071), Web Service (T1102)
– Persistence: Registry Run Keys/Startup Folder (T1547.001), Scheduled Task/Job (T1053)
– Defense Evasion: Obfuscated Files or Information (T1027), Use Alternate Authentication Material (T1550)

Indicadores de compromiso (IoC) incluyen hashes de los implantes, direcciones IP vinculadas a nodos TOR utilizados en etapas iniciales y patrones específicos en los mensajes enviados a través de Telegram y Discord. Frameworks como Metasploit y Cobalt Strike han sido empleados para movimientos laterales y elevación de privilegios, aunque los implantes C2 son de desarrollo propio.

Impacto y Riesgos

El impacto de estas intrusiones es considerable. Según informes de inteligencia, al menos un 30% de los ministerios rusos ha sido objetivo de intentos de intrusión con éxito parcial o total. Las consecuencias incluyen fuga de información sensible, compromiso de redes internas y posibilidad de efectos cascada en organismos intergubernamentales asociados. Además, el uso de canales C2 basados en servicios legítimos complica la detección y el bloqueo, elevando el riesgo de persistencia a largo plazo.

El daño potencial incluye incumplimientos regulatorios (GDPR, NIS2) en organismos con presencia europea, sanciones económicas y pérdida de confianza institucional. Se estima que los costes derivados de respuesta a incidentes, análisis forense y remediación pueden superar los 2 millones de euros por entidad afectada.

Medidas de Mitigación y Recomendaciones

Los equipos de ciberseguridad deben adoptar un enfoque multicapa para mitigar el riesgo de estos ataques:

– Monitorizar y restringir el uso de servicios públicos como Telegram y Discord en entornos corporativos, estableciendo alertas para patrones de tráfico inusuales.
– Aplicar parches críticos de forma prioritaria, especialmente en servidores Exchange y VPN.
– Implementar listas blancas de aplicaciones y restringir la ejecución de binarios desconocidos.
– Utilizar EDR y soluciones de threat hunting orientadas a la detección de técnicas MITRE ATT&CK asociadas.
– Revisar los logs de autenticación y buscar artefactos relacionados con credenciales comprometidas.
– Mantener actualizados los indicadores de compromiso y compartirlos a través de ISACs y plataformas de threat intelligence.

Opinión de Expertos

Varios analistas SOC y CISOs destacan la sofisticación del uso de canales C2 encubiertos mediante servicios legítimos. “La frontera entre tráfico legítimo y malicioso se difumina peligrosamente; los grupos APT están explotando la confianza en plataformas como Telegram y Discord para pasar desapercibidos”, señala un experto de Kaspersky. Otros advierten que esta táctica podría convertirse en una tendencia frecuente entre actores de amenazas, obligando a los equipos defensivos a replantearse los modelos de monitorización y respuesta.

Implicaciones para Empresas y Usuarios

Para las organizaciones, la adopción masiva de aplicaciones de mensajería en procesos internos supone un riesgo añadido. Las políticas BYOD y el teletrabajo han abierto nuevas superficies de ataque explotadas por actores como Tomiris. Las empresas deben revisar sus políticas de acceso, segmentar redes y reforzar la formación en ciberseguridad de sus empleados. Los usuarios individuales, por su parte, deben extremar la precaución ante mensajes sospechosos y evitar compartir credenciales o información sensible a través de canales no verificados.

Conclusiones

El caso Tomiris ilustra la rápida evolución de las amenazas APT y la necesidad de un enfoque proactivo y adaptativo en ciberdefensa. El uso de canales de C2 basados en aplicaciones populares representa un desafío relevante para la detección y respuesta a incidentes. Solo mediante la actualización continua de controles, la colaboración intersectorial y la capacitación técnica podrá el sector público y privado anticiparse a estos riesgos emergentes.

(Fuente: feeds.feedburner.com)