El grupo Tomiris APT, de qué manera está vinculado a Turla y en qué difieren sus operaciones.
Tomiris APT es un grupo de ciberdelincuentes de origen ruso, se caracteriza por utilizar una amplia variedad de implantes de malware desarrollados a un ritmo rápido y en todos los lenguajes de programación imaginables. Recientemente, se descubrió que Tomiris despliega malware que anteriormente estaba vinculado a Turla, otro conocido grupo APT.
Turla, también conocido como Snake, Oso Venenoso u Ourobouros, es una reconocida amenaza asociada al gobierno ruso. Durante los últimos años ha usado vulnerabilidades de día cero, software legítimo y otros métodos para desplegar puertas traseras en sistemas de ejércitos y gobiernos, entidades diplomáticas y organizaciones tecnológicas e investigativas.
La compañía Kaspersky hizo su primera descripción pública de Tomiris en septiembre de 2021, tras investigar un secuestro de DNS contra una organización gubernamental de la Comunidad de Estados Independientes (CEI). En ese momento, los investigadores habían notado similitudes sin confirmar con el incidente SolarWinds.
Después siguieron rastreando a Tomiris como un actor independiente para varias campañas nuevas entre 2021 y 2023, y la telemetría de Kaspersky permitió revelar el conjunto de herramientas del grupo y su posible conexión con Turla.
Tomiris enfoca sus amenazas específicamente hacia entidades gubernamentales y diplomáticas de la Comunidad de Estados Independientes (CEI) con el propósito de robar documentos internos. Se descubrieron víctimas ocasionales en otras regiones, como Oriente Próximo o el Sudeste Asiático, que resultan ser representaciones extranjeras de países dentro de la CEI, demostrando así el estrecho foco de Tomiris.
Tomiris persigue a sus víctimas utilizando una amplia variedad de vectores de ataque: correos electrónicos de spear-phishing con contenido malicioso adjunto (archivos protegidos por contraseña, documentos maliciosos, LNKs convertidos en armas), secuestro de DNS, explotación de vulnerabilidades (específicamente ProxyLogon), presuntas descargas drive-by y otros métodos «creativos».
Campañas recientes
Lo que hace especiales a las operaciones más recientes de Tomiris es que, con un nivel de confianza medio-alto, aprovecharon el malware KopiLuwak y TunnusSched que anteriormente estaban conectados a Turla. A pesar de compartir este conjunto de herramientas, la última investigación de Kaspersky explica que Turla y Tomiris son actores separados que hacen intercambios de técnicas.
Tomiris es, sin duda, de habla rusa, pero sus objetivos y operaciones son significativamente diferentes de lo que se ha observado en Turla. Además, su enfoque general hacia la intrusión y su escaso interés por el sigilo no coinciden con las técnicas documentadas de Turla.
Aun así, los investigadores de Kaspersky creen que compartir herramientas podría ser indicativo de una posible colaboración entre Tomiris y Turla cuyo alcance es difícil de determinar. Dependiendo del momento en el que comenzó Tomiris a usar KopiLuwak, puede ser necesario volver a examinar una variedad de campañas y herramientas previamente relacionadas con Turla.
Fuente: