Tomiris emplea implantes que usan servicios públicos (Telegram, Discord) para ocultar comandos y control

Resumen del incidente

El actor de amenaza conocido como Tomiris ha sido vinculado a campañas dirigidas contra ministerios de Asuntos Exteriores, organizaciones intergubernamentales y otras entidades gubernamentales en Rusia con el objetivo de establecer acceso remoto persistente y desplegar herramientas adicionales. Los analistas describen un cambio táctico: Tomiris está incrementando el uso de implantes que aprovechan servicios públicos —por ejemplo, Telegram y Discord— como canales de comando y control (C2) para aumentar su sigilo y resistencia.

«Estos ataques ponen de relieve un cambio notable en las tácticas de Tomiris, concretamente el uso creciente de implantes que aprovechan servicios públicos (por ejemplo, Telegram y Discord) como…»

Contexto y por qué importa

El abuso de servicios públicos y aplicaciones legítimas como canales de C2 es una tendencia creciente en campañas de ciberespionaje y cibercrimen. Utilizar plataformas ampliamente desplegadas (mensajería instantánea, redes sociales, servicios en la nube) ofrece varias ventajas a los atacantes: traficar dentro de volúmenes de datos normales para evitar detección, aprovechar infraestructuras robustas y globales para la resiliencia del C2, y dificultar el bloqueo sin causar impacto a usuarios legítimos.

Para organizaciones gubernamentales y cuerpos diplomáticos, las consecuencias son especialmente graves: la pérdida de confidencialidad de comunicaciones, acceso a información sensible y la posibilidad de movimientos laterales hacia redes sometidas a políticas de seguridad estrictas. La elección de servicios públicos como Telegram o Discord no sólo facilita la sigilosidad técnica, sino que también complica las decisiones de respuesta a causa del valor legítimo que estas plataformas tienen para la comunicación diaria.

Análisis técnico y comentarios para profesionales

Desde la perspectiva operativa, el uso de plataformas públicas como C2 suele implicar algunas características técnicas recurrentes:

• Encapsulado del tráfico C2 dentro de protocolos y APIs públicas (HTTP/HTTPS, WebSocket), a menudo con cifrado TLS estándar.
• Uso de cuentas y bots en las plataformas (por ejemplo, bots de Telegram o aplicaciones integradas en Discord) como canal de intercambio de comandos y exfiltración.
• Persistencia local mediante técnicas convencionales (servicios, tareas programadas, DLL hijacking) combinadas con comunicaciones que imitan patrones humanos o picos de uso legítimo.
• Fases escalonadas: establecer un implante liviano que emplea la API pública para recuperar módulos adicionales o instrucciones, facilitando así la entrega de cargas posteriores sin exponer grandes binarios en una sola transferencia.

Para los equipos de seguridad, estas características implican ajustes detección y respuesta. La mera presencia de tráfico hacia Telegram o Discord no es indicativa de compromiso; lo crítico es detectar anomalías en el patrón o en el contexto de ejecución (por ejemplo, procesos del sistema que interactúan con APIs de mensajería, o tráfico que contiene cargas codificadas dentro de mensajes aparentemente inofensivos).

Casos comparables y tendencias industriales

El fenómeno de «living off the land» y abuso de infraestructuras legítimas es ampliamente documentado por la industria de la ciberseguridad. Diversos actores han empleado servicios populares para C2 y exfiltración porque dichos servicios ofrecen alta disponibilidad y difícil bloqueo sin afectar usuarios legítimos.

En términos generales, los informes públicos de los últimos años han mostrado un aumento en el uso de servicios en la nube, redes sociales y plataformas de mensajería como canales auxiliares por parte de atacantes avanzados y grupos delictivos. Esta práctica no es exclusiva de una única familia de malware o grupo APT y ha sido observada en múltiples campañas dirigidas a sectores gubernamentales, industriales y académicos.

Riesgos, implicaciones y recomendaciones prácticas

Riesgos principales:

• Detección más difícil: tráfico C2 mezclado con tráfico legítimo incrementa la posibilidad de paso por alto de mecanismos clásicos basados en listas de bloqueo.
• Respuesta compleja: bloquear a nivel de dominio o IP puede afectar servicios legítimos y generar costes políticos o operacionales, especialmente para organismos públicos.
• Persistencia y escalada: implantes “ligeros” que pivotan a cargas adicionales pueden facilitar la instalación de capacidades de movimiento lateral y exfiltración sostenida.

Recomendaciones técnicas y operativas para equipos de seguridad:

• Visibilidad y telemetría: aumentar la observabilidad sobre el uso de APIs de mensajería y plataformas públicas. Registrar y correlacionar llamadas API inusuales, tokens reutilizados o patrones de mensajería automatizada.
• Detección basada en comportamiento: priorizar detecciones por anomalía de procesos (p. ej., procesos no interactivos realizando conexiones TLS a endpoints de mensajería), abuso de cuentas de servicio y patrones de transferencia de datos atípicos.
• Control de egress: implementar políticas de salida coherentes (allowlist en lugar de blocklist cuando sea posible), y aplicar inspección SSL/TLS selectiva donde la normativa lo permita para identificar tráfico encapsulado malicioso.
• Mecanismos de filtrado y respuesta: usar análisis de DNS y correlación de dominios, además de sistemas de detección de comandos ocultos en payloads (mensajes que contienen datos codificados o partes de archivos).
• Endurecimiento del endpoint: aplicar principios de mínimo privilegio, habilitar protección contra ejecución no autorizada, y utilizar EDR con capacidades de respuesta en tiempo real; monitorear anomalías en creación de servicios, tareas programadas y modificaciones al registro.
• Plan de respuesta: contar con playbooks específicos para incidentes donde se abuse de servicios públicos (evaluar impacto en comunicaciones legítimas antes de bloquear, y coordinar con stakeholders legales y de comunicaciones).
• Seguridad de cuentas y tokens: auditar tokens y credenciales usados en integraciones con terceros; revocar y rotar claves sospechosas; habilitar autenticación fuerte para cuentas administrativas de las plataformas.

Guía práctica de hunting para SOC

Consultas y señales de caza (hunting) que pueden ayudar a priorizar investigaciones:

• Procesos inusuales (p. ej., servicios del sistema o procesos con firmas no habituales) que realizan conexiones HTTPS/WS a endpoints relacionados con plataformas de mensajería.
• Actividad de red fuera de horario normal hacia dominios de plataformas de mensajería acompañada de tráfico cifrado con patrones de tamaño repetitivo (posible exfiltración fragmentada).
• Creación o uso inusual de cuentas de bots o integraciones en Discord/Telegram desde direcciones IP internas no asociadas con administradores.
• Transferencias de archivos o mensajes con datos codificados (base64, blobs binarios) enviados a cuentas externas mediante APIs públicas.
• Alertas de EDR sobre procesos que escriben código a disco, inyectan en otros procesos o modifican mecanismos de inicio (servicios, tareas programadas, Run keys).

Correlacionar estas señales con inteligencia de amenazas, registros de autenticación y actividad en sistemas críticos permitirá priorizar respuesta y contenimiento.

Conclusión

El desplazamiento de Tomiris hacia implantes que usan servicios públicos como Telegram y Discord refleja una tendencia operativa que complica la detección y respuesta: los atacantes explotan infraestructuras legítimas para ocultar C2 y garantizar resiliencia. Para defenderse, las organizaciones deben combinar visibilidad mejorada, detección basada en comportamiento, controles de egress bien diseñados y playbooks de respuesta que equilibren la interrupción de la actividad maliciosa con el mantenimiento de servicios legítimos. La cooperación entre equipos técnicos, legales y de comunicaciones es clave cuando se consideran medidas que afecten servicios usados por usuarios finales.

Source: thehackernews.com