Descubierta nueva APT Telemancon dirigida contra industria y defensa

CyberSecureFox 🦊

Descubierta nueva APT Telemancon dirigida contra industria y defensa

por

Investigadores de ciberseguridad han identificado una nueva amenaza persistente avanzada (APT) denominada Telemancon, que desde febrero de 2023 viene realizando ataques dirigidos contra el sector industrial y de defensa. Esta campaña maliciosa destaca por su sofisticado arsenal técnico y sus avanzadas técnicas de ocultamiento.

Análisis técnico del malware utilizado

El grupo utiliza un conjunto de herramientas especialmente diseñadas, que incluyen el dropper TMCDropper y el backdoor TMCShell. La distribución inicial se realiza mediante campañas de phishing que contienen archivos comprimidos maliciosos. El dropper, originalmente desarrollado en C++ y posteriormente migrado a C#, actúa como vector inicial de la infección.

Características avanzadas de TMCShell

El backdoor TMCShell implementa técnicas sofisticadas de comunicación y evasión. Una característica notable es su uso del servicio telegra.ph para obtener dinámicamente las direcciones de los servidores de comando y control (C2). El malware emplea un algoritmo único que genera URLs basadas en la fecha actual, complementado con firmas digitales y verificación de certificados para prevenir hijacking.

Capacidades operativas del backdoor

Una vez establecida la conexión con el servidor C2 a través del puerto 2022, TMCShell puede ejecutar múltiples funciones de reconocimiento y control, incluyendo:
– Recopilación de información sobre usuarios y configuraciones de red
– Enumeración de grupos de seguridad
Ejecución remota de scripts PowerShell
– Transmisión de datos exfiltrados al servidor C2

Similitudes con otros actores APT

Los análisis revelan paralelismos significativos entre Telemancon y grupos como Core Werewolf y Gamaredon, particularmente en la selección de objetivos y técnicas de ocultamiento de infraestructura C2. Sin embargo, los expertos señalan que la evidencia actual es insuficiente para establecer una vinculación directa.

La aparición de Telemancon representa una amenaza significativa para la seguridad industrial que requiere acciones inmediatas. Se recomienda implementar una estrategia de defensa en profundidad que incluya: monitorización avanzada de red, sistemas actualizados de detección y prevención de intrusiones, formación continua del personal en seguridad y una robusta política de gestión de accesos. La protección contra estas amenazas emergentes demanda un enfoque proactivo y una constante actualización de las medidas de seguridad.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

cybersecurefox.com

© 2025 INFO

PRIVACY POLICY terms of service