O grupo de ameaças conhecido como Tomiris tem sido associado a ataques contra ministérios estrangeiros, organizações intergovernamentais e entidades governamentais na Rússia, com o objetivo de estabelecer acesso remoto e implantar ferramentas adicionais. Pesquisadores da Kaspersky, Oleg Kupreev e Artem Ushkov, destacaram uma mudança nas táticas do Tomiris, que agora utiliza serviços públicos como Telegram e Discord para servidores de comando e controle (C2), buscando camuflar o tráfego malicioso em meio a atividades legítimas.
Mais de 50% dos e-mails de spear-phishing e arquivos isca utilizados na campanha continham nomes e textos em russo, sugerindo que usuários ou entidades de língua russa eram o principal alvo. Além disso, os ataques também miraram Turcomenistão, Quirguistão, Tajiquistão e Uzbequistão, com conteúdos personalizados em seus idiomas nacionais.
O Tomiris foi identificado pela primeira vez em setembro de 2021, quando a Kaspersky revelou detalhes sobre um backdoor com o mesmo nome, ligado ao malware SUNSHUTTLE, usado pelos hackers russos APT29 no ataque à cadeia de suprimentos da SolarWinds. Apesar das semelhanças, o Tomiris é considerado um ator de ameaça distinto, focado principalmente na coleta de inteligência na Ásia Central.
Os ataques recentes começam com e-mails de phishing contendo arquivos RAR maliciosos protegidos por senha, que incluem um executável disfarçado de documento Word. Ao ser executado, este arquivo instala um shell reverso C/C++ que coleta informações do sistema e se conecta a um servidor C2 para baixar o AdaptixC2. Três versões diferentes do malware foram detectadas este ano.
O arsenal do Tomiris inclui shells reversos e implantes em várias linguagens de programação, como C#, Rust e Go, além de backdoors baseados em PowerShell e Python. Essas ferramentas são projetadas para executar comandos, coletar dados e garantir a persistência do malware nos sistemas infectados.
Fonte:https://thehackernews.com/2025/12/tomiris-shifts-to-public-service.html
