Исследователи выявили новую прогосударственную группировку Telemancon, связанную со спецслужбами. Группа использует уникальные тактики с целями в промышленности, применяя ВПО TMCShell, подключающееся к telegra.ph для получения C2-адресов. Основные цели включают промышленные организации, в частности в машиностроении. Атаки начались в феврале 2023 года и включали использование дропперов на языках C++ и C#, а также бэкдора TMCShell.
Бэкдор маскируется без традиционной защиты, подключаясь к легитимным сервисам для скрытия C2-адресов. В дополнение присутствует сложная цепочка действий с расшифровкой и запуском модулей для маскировки и внедрения. Эксперты F6 подтверждают схожесть с деятельностью группы Core Werewolf, известной под именем «PseudoGamaredon», однако сохраняются вопросы об окончательной атрибуции. Действия Telemancon демонстрируют высокий уровень профессионализма и корректную организацию атак.
