El panorama de las ciberamenazas continúa evolucionando y el grupo de hackers conocido como Tomiris ha dado un paso audaz en su estrategia. Según informes recientes de investigadores de seguridad, este actor de amenazas vinculado a operaciones de habla rusa ha modificado su modus operandi para atacar entidades gubernamentales y diplomáticas.
¿Cuál es la novedad?
Históricamente, los atacantes utilizaban servidores propios para controlar sus virus (lo que llamamos infraestructura de Comando y Control o C2). Sin embargo, Tomiris ha decidido esconderse a plena vista.
La nueva campaña detectada a finales de 2025 revela que el grupo está utilizando servicios públicos legítimos, específicamente Telegram y Discord, como sus centros de comando.
¿Cómo funciona el ataque?
En lugar de ver una conexión sospechosa hacia un servidor desconocido en Rusia o en la “Dark Web”, los sistemas de seguridad de las víctimas ven tráfico hacia discord.como api.telegram.org. Dado que muchas empresas permiten el uso de estas aplicaciones, el tráfico malicioso pasa desapercibido, mezclándose con el ruido normal de la red.
Herramientas clave detectadas:
- Distopia: Una puerta trasera (backdoor) basada en Python que utiliza canales de Discord para recibir instrucciones y ejecutar comandos en la máquina de la víctima.
- Implantes en Telegram: Scripts que usan la API de Telegram para enviar archivos robados (como documentos .docx, .pdf y .png) directamente al chat de los atacantes.
- FileGrabber: Un módulo diseñado exclusivamente para buscar y robar información sensible de manera rápida.
Además de estas herramientas personalizadas, Tomiris ha comenzado a integrar marcos de trabajo de código abierto como Havoc y AdaptixC2, lo que demuestra una mayor sofisticación y flexibilidad operativa.
¿Por qué es esto peligroso?
El uso de servicios legítimos para C2 (Comando y Control) es una pesadilla para los equipos de defensa (Blue Teams). Bloquear Telegram o Discord no siempre es viable en entornos modernos, y distinguir entre un mensaje de chat legítimo y una instrucción de malware cifrada es extremadamente difícil.
Recomendaciones
- Inspección SSL/TLS: Es vital desencriptar el tráfico de red para inspeccionar el contenido que va hacia servicios como Discord o Telegram. Sin esto, sois ciegos a lo que viaja por esos túneles seguros.
- Restricción de APIs: Si tu empresa no necesita que los empleados crean “bots” de Telegram, bloquea el acceso a api.telegram.orgnivel de firewall, permitiendo solo el uso de la aplicación web o móvil estándar si es necesario.
- Monitoreo de Procesos (EDR): Vigila procesos inusuales (especialmente scripts de Python o ejecutables desconocidos) que intentan iniciar conexiones de red hacia dominios de servicios públicos.
