Desde comienzos de 2025, investigadores de Laboratorio Kaspersky han identificado una nueva ola de ataques dirigidos de la APT Tomiris contra organismos estatales en Rusia y pa铆ses de la Comunidad de Estados Independientes (CEI). La campa帽a se centra en ministerios de Asuntos Exteriores y representaciones diplom谩ticas, con un impacto estimado de m谩s de 1000 usuarios comprometidos en un a帽o.
Qui茅n es Tomiris: evoluci贸n de un actor de ciberespionaje gubernamental
La actividad de Tomiris se document贸 por primera vez en 2021, asociada a operaciones de ciberespionaje contra instituciones p煤blicas en el espacio postsovi茅tico. Sus primeras campa帽as se orientaban principalmente al robo de documentos internos y correos de trabajo. La ofensiva observada en 2025 muestra una clara evoluci贸n de t谩cticas, t茅cnicas y procedimientos (TTPs): mayor sigilo, diversificaci贸n de herramientas y uso de una infraestructura de mando y control (C2) m谩s distribuida y resiliente.
Vector de intrusi贸n: phishing con archivos comprimidos y ejecutables disfrazados
El punto de entrada sigue siendo el phishing dirigido mediante correos con archivos comprimidos protegidos por contrase帽a. Esta protecci贸n dificulta que las pasarelas de correo analicen el contenido en busca de malware. Dentro del archivo se incluye un ejecutable camuflado como documento ofim谩tico.
Tomiris recurre a dos t茅cnicas habituales para enga帽ar al usuario: el uso de doble extensi贸n (por ejemplo, .doc .exe) y nombres de archivo excesivamente largos que ocultan la extensi贸n real al visualizar el contenido del archivo comprimido. El usuario espera abrir un documento y, en realidad, ejecuta el malware que inicia la cadena de compromiso.
Campa帽as multiling眉es dirigidas a Rusia y Asia Central
M谩s de la mitad de los correos y archivos se帽uelo detectados en esta campa帽a de 2025 est谩n redactados en ruso, lo que confirma el foco en organismos gubernamentales rus贸fonos. El resto de los mensajes se localizan para Turkmenist谩n, Kirguist谩n, Tayikist谩n y Uzbekist谩n, empleando los idiomas nacionales y referencias a contextos pol铆ticos y administrativos locales. Esta adaptaci贸n ling眉铆stica aumenta de forma significativa la tasa de apertura de los adjuntos y, por tanto, la eficacia del ataque.
Herramientas de Tomiris: reverse shells y C2 sobre Telegram y Discord
Al ejecutar el archivo malicioso, en la mayor铆a de los casos se despliega un reverse shell: un peque帽o agente que establece una conexi贸n saliente desde el equipo comprometido hacia la infraestructura de los atacantes y espera 贸rdenes. Este tipo de herramienta permite control remoto, ejecuci贸n de comandos y descarga de m贸dulos adicionales.
Los analistas han observado implementaciones de estos agentes en C/C++, C#, Go, Rust y Python. La variedad de lenguajes complica la detecci贸n basada en firmas y facilita que Tomiris adapte sus binarios a distintos sistemas y controles de seguridad.
Una parte significativa de los implantes utiliza Telegram y Discord como canales C2. El tr谩fico malicioso se mezcla con el uso leg铆timo de estos servicios de mensajer铆a, lo que dificulta su identificaci贸n mediante monitorizaci贸n de red. Esta t谩ctica, cada vez m谩s frecuente entre grupos APT, aprovecha que las conexiones hacia plataformas populares suelen estar permitidas y rara vez se bloquean por completo en entornos corporativos y gubernamentales.
Uso de AdaptixC2, Havoc y proxys SOCKS inversos para moverse en la red
En fases posteriores del ataque, Tomiris despliega frameworks de post-explotaci贸n como AdaptixC2 y Havoc. Estas plataformas ofrecen a los atacantes una consola centralizada para mantener la persistencia, ejecutar comandos, desplegar nuevos implantes y gestionar m煤ltiples m谩quinas comprometidas al mismo tiempo.
Para el movimiento lateral dentro de la red de la v铆ctima, el grupo recurre a proxys SOCKS inversos basados en proyectos de c贸digo abierto alojados en GitHub. Estos t煤neles encubren el acceso a recursos internos, permitiendo a los operadores explorar servidores y estaciones de trabajo internas como si estuvieran dentro de la propia red de la organizaci贸n.
Robo de informaci贸n: documentos sensibles y archivos gr谩ficos
El objetivo principal de la campa帽a es el robo de informaci贸n confidencial. En los sistemas infectados, los implantes buscan archivos con extensiones como .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx, .docx. La inclusi贸n de formatos gr谩ficos sugiere un inter茅s espec铆fico por escaneos de documentos oficiales, fotograf铆as de informaci贸n sensible o capturas de pantalla.
Entre las herramientas destacadas se encuentra Tomiris Rust Downloader, que no exfiltra directamente los archivos, sino que env铆a a Discord listas de rutas de ficheros de inter茅s. De este modo se reduce el volumen de tr谩fico sospechoso y los operadores pueden elegir manualmente qu茅 documentos extraer. Por su parte, Tomiris Python FileGrabber recopila los archivos seleccionados en archivos ZIP y los env铆a al servidor de mando y control mediante peticiones HTTP POST, imitando el tr谩fico web normal para evitar alarmas.
Tendencias clave y fortalezas operativas de la APT Tomiris
Seg煤n el an谩lisis de Kaspersky, la campa帽a actual muestra una orientaci贸n clara hacia el acceso persistente y de largo plazo en redes gubernamentales. El uso combinado de m煤ltiples lenguajes de programaci贸n, servicios p煤blicos como Telegram y Discord para C2 y herramientas tanto propias como de c贸digo abierto refleja una estrategia madura de mezclar tr谩fico malicioso con actividad leg铆tima y dificultar la correlaci贸n de eventos en soluciones de monitorizaci贸n y SIEM.
C贸mo defenderse de los ataques APT Tomiris: medidas t茅cnicas y organizativas
Las entidades del sector p煤blico y las grandes organizaciones de Rusia y la CEI deber铆an reforzar su postura de seguridad en varios frentes. Es recomendable restringir la ejecuci贸n de archivos desde adjuntos comprimidos, desactivar la opci贸n de ocultar extensiones de archivos en los exploradores de Windows y desplegar programas de formaci贸n en concienciaci贸n frente al phishing dirigido para todo el personal, con especial foco en departamentos diplom谩ticos y de alto perfil.
Adicionalmente, conviene regular el uso de Telegram y Discord en estaciones de trabajo y servidores, as铆 como monitorizar conexiones inusuales hacia estos servicios, vol煤menes de datos an贸malos y comportamientos fuera del horario habitual. La adopci贸n de soluciones EDR/XDR, la segmentaci贸n estricta de la red, la aplicaci贸n del principio de m铆nimo privilegio, el parcheo continuo de sistemas y la implementaci贸n de autenticaci贸n multifactor (MFA) son elementos cr铆ticos para reducir la superficie de ataque de grupos APT.
La revisi贸n peri贸dica de herramientas de c贸digo abierto empleadas en la organizaci贸n, el registro centralizado de logs y ejercicios regulares de simulaci贸n de ataques permiten detectar antes campa帽as de ciberespionaje como las de Tomiris. Invertir en visibilidad, detecci贸n temprana y capacitaci贸n constante es la mejor respuesta ante un escenario en el que los actores de amenazas estatales contin煤an ampliando y sofisticando sus capacidades.
