Hack Alerta

Tomiris usa Telegram e Discord como C2 em ataques a governos

Por Redação Hack Alerta Publicado em 01/12/2025 05:02 Cyber ataques Tempo de leitura: 3 min

Pesquisas recentes indicam que o grupo Tomiris passou a empregar implantes que usam serviços públicos — como Telegram e Discord — como canais de comando e controle em operações dirigidas a ministérios, organizações intergovernamentais e entidades governamentais na Rússia. As matérias reportam objetivo de estabelecer acesso remoto e implantar ferramentas adicionais, mas não trazem IOCs ou lista de vítimas.

Tomiris tem migrado para implantes que utilizam serviços públicos (como Telegram e Discord) como canal de comando e controle para operações contra alvos governamentais.

Descoberta e escopo

Relatos publicados indicam que o grupo conhecido como Tomiris foi observado em operações cujo alvo principal são ministérios das relações exteriores, organizações intergovernamentais e entidades governamentais na Rússia. O objetivo relatado das intrusões é o estabelecimento de acesso remoto às redes comprometidas, seguido da implantação de ferramentas adicionais.

Abordagem técnica / Vetor e exploração

As comunicações da campanha destacam uma mudança tática: o uso crescente de implantes que alavancam serviços públicos — explicitamente citados Telegram e Discord — para funções de comando e controle (C2). Usar plataformas públicas como canais de C2 permite, segundo as fontes, ocultar a infraestrutura maliciosa atrás de tráfego aparentemente legítimo para esses serviços.

Impacto e alcance / Quem é afetado

As fontes apontam que os alvos são sobretudo organizações governamentais e intergovernamentais; não há, nas matérias consultadas, uma lista pública de vítimas identificadas por nome nem contagens numéricas de sistemas afetados. O impacto descrito é a obtenção de acesso remoto e a possibilidade de instalação de ferramentas adicionais que ampliariam a capacidade do invasor dentro das redes comprometidas.

Limites das informações

As matérias consultadas não trazem indicadores de comprometimento (IOCs) detalhados, amostras de malware, técnicas de entrega iniciais, nem atribuição além do uso do rótulo "Tomiris". Também não há descrição pública do vetor inicial (phishing, exploração direta, credenciais comprometidas etc.) nem cronograma preciso das campanhas. As fontes não detalham mitigação específicas fornecidas por fabricantes ou CERTs.

Implicações operacionais

A exploração de serviços públicos como canais de C2 complica a detecção baseada apenas em bloqueio de domínios ou IPs, já que o tráfego pode se misturar ao uso legítimo dessas plataformas. Para equipes de defesa, isso enfatiza a necessidade de visibilidade sobre padrões de comportamento do tráfego, correlação de eventos e validação de atividades de processos que se comunicam com serviços de terceiros. As fontes, porém, não listam recomendações técnicas formais.

Repercussão e próximos passos

As reportagens destacam a mudança tática como um ponto de atenção para operadores de segurança em governos e organizações que lidam com informação sensível. Como as matérias não apresentam ações coordenadas públicas (advisories) por parte de fornecedores ou CERTs, equipes de segurança devem acompanhar atualizações das fontes e procurar informes oficiais para indicadores e medidas de resposta.

O que falta saber

  • Quais foram os vetores iniciais utilizados para ganho de acesso?
  • Existe uma lista identificada de vítimas com alcance e tempo de comprometimento?
  • Quais IOCs permitem detecção e contenção eficazes?

As fontes citadas não respondem a essas perguntas; novos relatórios ou comunicados oficiais deverão suprir essas lacunas.

Baseado em publicação original de The Hacker News
Tags: #tomiris #telegram #discord #c2 #implants #government #espionage #remote-access #russia
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar