Новая хакерская APT-группа Telemancon проводит атаки на российскую промышленность

Специалисты F6 сообщили о появлении новой хакерской APT-группы, получившей название Telemancon. Её активность впервые зафиксирована в феврале 2023 года, но подробное изучение инфраструктуры и методов атак стало возможным только в начале 2025 года.

Группировка атакует российские промышленные предприятия, главным образом компании, занимающиеся машиностроением. В арсенале злоумышленников — специально разработанный дроппер TMCDropper и бэкдор TMCShell.

Название Telemancon составлено из трёх элементов: «tele» указывает на использование сервиса telegra.ph для связи с командным сервером, «man» происходит от слова manufactory, что подчёркивает направленность атак на производственные компании, а «con» связано с хранением вредоносного кода в папке %userprofile%\Contacts.

Известно, что одной из целей хакеров стала российская компания, занимающаяся разработкой и производством военной техники. В её адрес отправили архив с файлом, содержащим вредоносный код. Запущенный на устройстве, он активирует дроппер TMCDropper, написанный на C++.

Этот дроппер выполняет несколько задач: проверяет, не запущен ли он в среде анализа или песочнице, устанавливает на устройство бэкдор TMCShell и подменяет вредоносную активность открытием PDF-документа, чтобы скрыть следы атаки.

Исследователи отметили сходство атак Telemancon с активностью группировки Core Werewolf, но найденных совпадений пока недостаточно, поэтому новый кластер выделили в отдельную категорию. Также эксперты обратили внимание, что использование сервиса Telegraph для хранения командного сервера ранее встречалось у хакерской группы Gamaredon.

Известно, что Core Werewolf перенимает методы Gamaredon. Ранее компания F.A.C.C.T. присвоила ей прозвище PseudoGamaredon, а исследователи из Knownsec назвали эту группировку GamaCopy, указывая на подражание Gamaredon.