Seit Anfang 2025 beobachten Experten von Kaspersky eine neue, intensivierte Kampagne der APT-Gruppe Tomiris, die sich vor allem gegen staatliche Einrichtungen in Russland und anderen GUS-Staaten richtet. Im Fokus stehen insbesondere Außenministerien und diplomatische Vertretungen, wobei die Zahl potenziell betroffener Nutzer nach Einschätzung der Forscher im Jahresverlauf bereits über 1000 Personen liegt. Die Kampagne reiht sich in den globalen Trend hochgradig zielgerichteter Cyberespionage-Angriffe ein, die auf langfristige, unbemerkte Präsenz in sensiblen Netzen abzielen.
APT-Gruppe Tomiris: Von ersten Kampagnen zur ausgereiften Spionageplattform
Tomiris trat erstmals etwa 2021 durch Kampagnen gegen Regierungsstellen in der GUS-Region in Erscheinung. Damals stand vor allem die Abschöpfung interner Dokumente und dienstlicher Kommunikation im Vordergrund. Die aktuelle Welle zeigt, dass sich die Gruppe seitdem deutlich professionalisiert hat: Taktiken, Techniken und Prozeduren (TTPs) wurden verfeinert, das Toolset diversifiziert und die Command-and-Control-Infrastruktur (C2) auf flexiblere, schwerer zu blockierende Kanäle umgestellt.
Angriffsvektor: Spear-Phishing mit verschlüsselten Archiven
Der primäre Einstiegspunkt in die Netze der Opfer bleibt Spear-Phishing – also gezielt adressierte Phishing-Mails mit glaubwürdigen Inhalten. Die Angreifer versenden passwortgeschützte Archive, um automatische Scans zu erschweren. In den Archiven befindet sich ein ausführbarer Schädling, der als Dokument getarnt ist. Häufig kommen doppelte Dateierweiterungen wie .doc .exe oder extrem lange Dateinamen zum Einsatz, sodass in der Standardansicht nur der vermeintliche Dokumenttyp sichtbar ist. Öffnet ein Empfänger die Datei in der Erwartung eines Dokuments, wird in Wirklichkeit der Malware-Loader gestartet.
Mehrsprachige Phishing-Kampagnen in Russland und Zentralasien
Über die Hälfte der in der aktuellen Tomiris-Kampagne beobachteten Mails und Köderdokumente ist laut Kaspersky auf Russisch verfasst. Dies deutet klar auf eine prioritäre Ausrichtung auf russischsprachige Behörden und Organisationen hin. Weitere Phishing-Wellen sind für Turkmenistan, Kirgisistan, Tadschikistan und Usbekistan lokalisiert: Inhalte und Betreffzeilen werden in den jeweiligen Landessprachen formuliert und an lokale Themen angepasst. Dieser hohe Grad an Kontextanpassung erhöht die Glaubwürdigkeit und damit die Erfolgswahrscheinlichkeit signifikant – ein Muster, das auch in Analysen anderer Sicherheitsorganisationen wie ENISA in vergleichbaren APT-Fällen hervorgehoben wird.
Toolset von Tomiris: Reverse-Shells und C2-Kommunikation über Telegram und Discord
Nach Ausführung der Schadsoftware wird zumeist eine Reverse-Shell installiert – ein leichter Agent, der von innen nach außen eine Verbindung zum C2-Server aufbaut und auf Befehle wartet. Kaspersky dokumentiert Implementierungen in C/C++, C#, Go, Rust und Python. Diese Sprachvielfalt erschwert die Signaturerkennung und erlaubt es den Angreifern, ihre Werkzeuge an unterschiedliche Betriebssysteme und Sicherheitsumgebungen anzupassen.
Besonders kritisch ist die Nutzung von Telegram und Discord als C2-Kanäle. Der Befehls- und Datenaustausch wird in normalen Messaging-Traffic eingebettet, sodass er sich in legitimer Kommunikation verliert. Sicherheitsberichte – etwa der ENISA Threat Landscape – weisen seit Jahren darauf hin, dass der Missbrauch populärer Cloud- und Kommunikationsdienste als C2-Plattform stetig zunimmt, weil deren Traffic in vielen Organisationen standardmäßig erlaubt ist und nur selten granular überwacht wird.
AdaptixC2, Havoc und verdeckte laterale Bewegung
In späteren Angriffsphasen setzt Tomiris zusätzlich auf etablierte Angriffs-Frameworks wie AdaptixC2 und Havoc. Diese Werkzeuge bieten komfortable Oberflächen für Remote Access, Privilegienausweitung, Persistenz und das Nachladen weiterer Module. Für die laterale Bewegung im Netzwerk kommen Reverse-SOCKS-Proxys zum Einsatz, die auf frei verfügbaren GitHub-Projekten basieren. Darüber bauen die Angreifer verborgene Tunnel zu internen Systemen auf – ein klassisches Muster im Sinne des MITRE ATT&CK-Frameworks für die Phase „Lateral Movement“.
Spionageziele: Dokumentendiebstahl und selektive Exfiltration
Die auf kompromittierten Systemen installierten Implantate durchsuchen gezielt Dokumente und Mediendateien mit Erweiterungen wie .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx, .docx. Neben klassischen Textdokumenten geraten so auch Bilddateien in den Fokus, die häufig Scans von Ausweisen, Verträgen oder anderen vertraulichen Unterlagen enthalten.
Ein spezielles Modul – von den Forschern als Tomiris Rust Downloader bezeichnet – übermittelt zunächst nur Dateipfade sensibler Dokumente an einen Discord-Kanal, ohne diese sofort zu exfiltrieren. Dadurch bleibt der Datenabfluss unauffällig und menschliche Operatoren können manuell priorisieren, welche Dateien sie später tatsächlich herunterladen. Ein weiteres Werkzeug, der Tomiris Python FileGrabber, bündelt ausgewählte Dateien in ZIP-Archiven und sendet sie per HTTP-POST an die C2-Infrastruktur – getarnt als regulärer Web-Traffic.
Bewertung der Bedrohung: Langfristige, schwer erkennbare Präsenz
Die aktuelle Tomiris-Kampagne illustriert eine zentrale Entwicklung im Bereich APT-Cyberangriffe: Angreifer setzen auf lange Verweildauer, hohe Tarnung und modulare Werkzeuge. Mehrere Programmiersprachen, die Nutzung legitimer Dienste wie Telegram und Discord sowie die Kombination aus eigenentwickelten und Open-Source-Tools erschweren klassische Signatur- und Blacklist-Ansätze deutlich. Organisationen sind daher zunehmend auf verhaltensbasierte Erkennung, Threat Hunting und kontinuierliche Log-Analyse angewiesen.
Schutz vor Tomiris und ähnlichen APT-Kampagnen: Technische und organisatorische Maßnahmen
Behörden und große Unternehmen in Russland und der GUS sollten ihre Sicherheitsarchitektur gezielt gegen derartige Spear-Phishing- und C2-Taktiken härten. Dazu gehört, die Ausführung von Dateien aus Archivanhängen einzuschränken, die Anzeige von Dateierweiterungen im Dateimanager zu erzwingen und Mitarbeitende regelmäßig im Erkennen zielgerichteter Phishing-Versuche zu schulen – inklusive des Umgangs mit passwortgeschützten Archiven.
Auf technischer Ebene empfehlen sich moderne EDR-/XDR-Lösungen, konsequente Netzsegmentierung, das Prinzip Least Privilege, umfassende Protokollierung und zentrales Log-Management sowie der gezielte Abgleich von Netzwerkverbindungen zu Diensten wie Telegram und Discord mit etablierten Kommunikationsmustern. Ergänzend erhöhen regelmäßige Updates von Betriebssystemen und Sicherheitsprodukten, Mehr-Faktor-Authentifizierung und ein strukturierter Umgang mit Open-Source-Tools im Unternehmen die Widerstandsfähigkeit gegen APT-Gruppen wie Tomiris deutlich.
Angesichts der fortschreitenden Professionalisierung von Cyberespionage ist es für staatliche und kritische Organisationen unerlässlich, Sicherheitsüberwachung, Incident Response und Threat Intelligence nicht als einmalige Projekte, sondern als dauerhaften Prozess zu begreifen. Wer seine Prozesse, Technik und Mitarbeitenden kontinuierlich auf neue Angriffsformen vorbereitet, hat deutlich bessere Chancen, Aktivitäten von Gruppen wie Tomiris frühzeitig zu erkennen, zu isolieren und den Schaden zu begrenzen.
