Nobelium APT presenta el troyano de puerta trasera Tomiris

El troyano Tomiris Backdoor es una nueva amenaza que parece estar siendo utilizada por uno o más grupos de amenazas persistentes avanzadas (APT). Aunque existen similitudes significativas entre el troyano Tomiris Backdoor y el malware que ha utilizado Nobelium APT, los investigadores señalan que otras APT también podrían estar involucradas. Por ejemplo, los objetivos del troyano Tomiris Backdoor se superponen con los perfiles de las víctimas que anteriormente eran objetivos de Turla APT.

Recientemente, Nobelium APT volvió a ser noticia después de su campaña de ataque SolarWinds. Esta vez, estaban usando el nuevo FoggyWeb Malware. Sin embargo, parece que el troyano Tomiris Backdoor es un proyecto completamente nuevo que, a diferencia de FoggyWeb, también se comparte con otras APT. Partes significativas del código y las funciones de Tomiris parecen ser similares a las que se encuentran en GoldMax Malware, que estaba activo en 2020.

A juzgar por las características de Tomiris Backdoor Trojan, es probable que se utilice como una carga útil secundaria que proporcione a los atacantes más control sobre los sistemas que infectan. Al igual que GoldMax, este malware también está escrito en el idioma Go. Este lenguaje de programación ha atraído cada vez más la atención de los ciberdelincuentes debido a su gran compatibilidad y al hecho de que ciertas características de seguridad aún no son tan efectivas contra los programas Go.

El troyano Tomiris Backdoor también gana persistencia mediante la creación de tareas programadas. Después de identificar a más de 100 víctimas del troyano Tomiris Backdoor, los investigadores informan que muchas de las víctimas también tenían Kazuar Backdoor activo en su red. Aún no está claro si esto es una coincidencia o si los piratas informáticos Nobelium y Kazuar están trabajando codo con codo. La actividad de este troyano de puerta trasera se remonta a enero de 2021, pero su desarrollo probablemente terminó antes.