В феврале 2025 года в ходе ежедневного мониторинга угроз аналитики компании F6 обнаружили ранее неизвестную прогосударственную группировку, которой было присвоено имя Telemancon.
Во время исследования инфраструктуры специалисты Threat Intelligence F6 установили, что самая ранняя активность группы датируется февралем 2023 года. Выявленные атаки, судя по содержимому документов-приманок, были направлены на российские организации в сфере промышленности. В частности, были зафиксированы две рассылки в адрес компаний из сферы машиностроения. Группа использует в атаках самописный дроппер и бэкдор, которым были даны имена соответственно TMCDropper и TMCShell.
Название APT-группы было выбрано на основе следующих уникальных для нее черт:
«tele» — поскольку используемое ВПО TMCShell подключается к сервису https://telegra.ph для получения адресов C2;
«man» — от слова «manufactory», поскольку основными целями являются промышленные организации;
«con» — поскольку нагрузка во всех раскрытых на текущий день атаках сохраняется в папку %userprofile%\Contacts.
В новом блоге эксперты Threat Intelligence компании F6 подробно разбирают обнаруженные рассылки, вредоносные программы группы и раскрывают техники и процедуры атакующих.
