Новата вълна кибератаки, насочена към високопоставени политически цели, разкрива активността на групата Tomiris, действаща вече няколко години. Според доклад на Kaspersky, през 2025 г. нападателите са усвоили по-сложни техники за прикриване, използвайки легитимни публични платформи като Telegram и Discord за контрол върху заразени компютри.

Методи на атака

1. Фишинг имейли

Атаката започва чрез фалшиви имейли, имитиращи официална кореспонденция, често свързана с икономическо развитие или сътрудничество.

• Имейлите съдържат архиви с парола (zip файлове), като паролата е включена в текста, например „min@2025“.

• Вътре файловете изглеждат като Word документи, но всъщност съдържат зловреден софтуер.

При отваряне на архива, системата на жертвата се заразява с първоначален Rust Downloader, който инсталира допълнителни импланти.

2. Многоезични импланти

Tomiris използва разнообразни програмни езици за своите инструменти – C/C++, Rust, Go и Python.
Това усложнява откриването от стандартни антивирусни решения, тъй като няма еднозначен модел на поведение.

3. Скрито управление чрез легитимни платформи

Групата вече не използва съмнителни частни сървъри. Вместо това, комуникацията със заразените машини преминава през:

• Discord – инструмент на Rust изпраща системна информация и списъци с файлове към частен канал.

• Telegram – други импланти използват ботове за получаване на команди и изпращане на откраднати данни.

Тъй като много организации разрешават Discord и Telegram за служебни цели, зловредният трафик се смесва с легитимния, което затруднява засичането.

Разширяване на атаката

След първоначалната инфекция, нападателите извършват проверка на стойността на жертвата. Ако целта е значима, се инсталира по-мощен софтуер.

Сред инструментите са две отворени рамки с пълен контрол: Havoc и AdaptixC2, които позволяват:

• кражба на чувствителни документи (PDF, изображения)

• запис на активността на екрана

• разширено проникване в мрежите на правителствени институции

Регионална фокусираност

Анализът показва, че над 50% от фишинг имейлите използват руски имена и текст, което подчертава основния интерес към рускоговорящи организации.

Други засегнати държави са Туркменистан, Киргизстан, Таджикистан и Узбекистан, като атаките са локализирани чрез адаптиран език и съдържание.

Скритост и дългосрочно шпиониране

Tomiris демонстрира стратегическо внимание към стелт операции и продължителен шпионаж. Честата смяна на програмните езици и използването на доверени приложения като прикритие поддържа групата като постоянна заплаха за дипломатическата и държавната сигурност в региона.

Организациите се призовават да наблюдават мрежовия трафик, дори към легитимни приложения като Telegram, за да засекат ранни признаци на компрометиране.