Desde comienzos de 2025, investigadores de Laboratorio Kaspersky han identificado una nueva ola de ataques dirigidos de la APT Tomiris contra organismos estatales en Rusia y países de la Comunidad de Estados Independientes (CEI). La campaña se centra en ministerios de Asuntos Exteriores y representaciones diplomáticas, con un impacto estimado de más de 1000 usuarios comprometidos en un año.
Quién es Tomiris: evolución de un actor de ciberespionaje gubernamental
La actividad de Tomiris se documentó por primera vez en 2021, asociada a operaciones de ciberespionaje contra instituciones públicas en el espacio postsoviético. Sus primeras campañas se orientaban principalmente al robo de documentos internos y correos de trabajo. La ofensiva observada en 2025 muestra una clara evolución de tácticas, técnicas y procedimientos (TTPs): mayor sigilo, diversificación de herramientas y uso de una infraestructura de mando y control (C2) más distribuida y resiliente.
Vector de intrusión: phishing con archivos comprimidos y ejecutables disfrazados
El punto de entrada sigue siendo el phishing dirigido mediante correos con archivos comprimidos protegidos por contraseña. Esta protección dificulta que las pasarelas de correo analicen el contenido en busca de malware. Dentro del archivo se incluye un ejecutable camuflado como documento ofimático.
Tomiris recurre a dos técnicas habituales para engañar al usuario: el uso de doble extensión (por ejemplo, .doc .exe) y nombres de archivo excesivamente largos que ocultan la extensión real al visualizar el contenido del archivo comprimido. El usuario espera abrir un documento y, en realidad, ejecuta el malware que inicia la cadena de compromiso.
Campañas multilingües dirigidas a Rusia y Asia Central
Más de la mitad de los correos y archivos señuelo detectados en esta campaña de 2025 están redactados en ruso, lo que confirma el foco en organismos gubernamentales rusófonos. El resto de los mensajes se localizan para Turkmenistán, Kirguistán, Tayikistán y Uzbekistán, empleando los idiomas nacionales y referencias a contextos políticos y administrativos locales. Esta adaptación lingüística aumenta de forma significativa la tasa de apertura de los adjuntos y, por tanto, la eficacia del ataque.
Herramientas de Tomiris: reverse shells y C2 sobre Telegram y Discord
Al ejecutar el archivo malicioso, en la mayoría de los casos se despliega un reverse shell: un pequeño agente que establece una conexión saliente desde el equipo comprometido hacia la infraestructura de los atacantes y espera órdenes. Este tipo de herramienta permite control remoto, ejecución de comandos y descarga de módulos adicionales.
Los analistas han observado implementaciones de estos agentes en C/C++, C#, Go, Rust y Python. La variedad de lenguajes complica la detección basada en firmas y facilita que Tomiris adapte sus binarios a distintos sistemas y controles de seguridad.
Una parte significativa de los implantes utiliza Telegram y Discord como canales C2. El tráfico malicioso se mezcla con el uso legítimo de estos servicios de mensajería, lo que dificulta su identificación mediante monitorización de red. Esta táctica, cada vez más frecuente entre grupos APT, aprovecha que las conexiones hacia plataformas populares suelen estar permitidas y rara vez se bloquean por completo en entornos corporativos y gubernamentales.
Uso de AdaptixC2, Havoc y proxys SOCKS inversos para moverse en la red
En fases posteriores del ataque, Tomiris despliega frameworks de post-explotación como AdaptixC2 y Havoc. Estas plataformas ofrecen a los atacantes una consola centralizada para mantener la persistencia, ejecutar comandos, desplegar nuevos implantes y gestionar múltiples máquinas comprometidas al mismo tiempo.
Para el movimiento lateral dentro de la red de la víctima, el grupo recurre a proxys SOCKS inversos basados en proyectos de código abierto alojados en GitHub. Estos túneles encubren el acceso a recursos internos, permitiendo a los operadores explorar servidores y estaciones de trabajo internas como si estuvieran dentro de la propia red de la organización.
Robo de información: documentos sensibles y archivos gráficos
El objetivo principal de la campaña es el robo de información confidencial. En los sistemas infectados, los implantes buscan archivos con extensiones como .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx, .docx. La inclusión de formatos gráficos sugiere un interés específico por escaneos de documentos oficiales, fotografías de información sensible o capturas de pantalla.
Entre las herramientas destacadas se encuentra Tomiris Rust Downloader, que no exfiltra directamente los archivos, sino que envía a Discord listas de rutas de ficheros de interés. De este modo se reduce el volumen de tráfico sospechoso y los operadores pueden elegir manualmente qué documentos extraer. Por su parte, Tomiris Python FileGrabber recopila los archivos seleccionados en archivos ZIP y los envía al servidor de mando y control mediante peticiones HTTP POST, imitando el tráfico web normal para evitar alarmas.
Tendencias clave y fortalezas operativas de la APT Tomiris
Según el análisis de Kaspersky, la campaña actual muestra una orientación clara hacia el acceso persistente y de largo plazo en redes gubernamentales. El uso combinado de múltiples lenguajes de programación, servicios públicos como Telegram y Discord para C2 y herramientas tanto propias como de código abierto refleja una estrategia madura de mezclar tráfico malicioso con actividad legítima y dificultar la correlación de eventos en soluciones de monitorización y SIEM.
Cómo defenderse de los ataques APT Tomiris: medidas técnicas y organizativas
Las entidades del sector público y las grandes organizaciones de Rusia y la CEI deberían reforzar su postura de seguridad en varios frentes. Es recomendable restringir la ejecución de archivos desde adjuntos comprimidos, desactivar la opción de ocultar extensiones de archivos en los exploradores de Windows y desplegar programas de formación en concienciación frente al phishing dirigido para todo el personal, con especial foco en departamentos diplomáticos y de alto perfil.
Adicionalmente, conviene regular el uso de Telegram y Discord en estaciones de trabajo y servidores, así como monitorizar conexiones inusuales hacia estos servicios, volúmenes de datos anómalos y comportamientos fuera del horario habitual. La adopción de soluciones EDR/XDR, la segmentación estricta de la red, la aplicación del principio de mínimo privilegio, el parcheo continuo de sistemas y la implementación de autenticación multifactor (MFA) son elementos críticos para reducir la superficie de ataque de grupos APT.
La revisión periódica de herramientas de código abierto empleadas en la organización, el registro centralizado de logs y ejercicios regulares de simulación de ataques permiten detectar antes campañas de ciberespionaje como las de Tomiris. Invertir en visibilidad, detección temprana y capacitación constante es la mejor respuesta ante un escenario en el que los actores de amenazas estatales continúan ampliando y sofisticando sus capacidades.
