На початку 2025 року дослідники «Лабораторії Касперського» зафіксували нову хвилю цільових кібератак APT-групи Tomiris, спрямованих на державні установи в Росії та країнах СНД. Під головним ударом опинилися міністерства закордонних справ та дипломатичні представництва, а загальна кількість постраждалих користувачів за рік, за оцінками експертів, перевищила 1000 осіб.
Еволюція APT Tomiris: від перших кампаній до стійкої присутності в мережі
Активність Tomiris уперше детально описували ще у 2021 році як кампанії кібершпигунства проти держструктур СНД. Тоді основною метою було непомітне викрадення внутрішніх документів, службового листування та іншої конфіденційної інформації.
У 2025 році група демонструє чітку еволюцію: ускладнюються техніки приховування, розширюється набір інструментів, а інфраструктура управління стає гнучкішою та більш розподіленою. Це типові ознаки APT-операцій (Advanced Persistent Threat), де зловмисники роблять ставку не на разову атаку, а на довгострокову, малопомітну присутність у мережі жертви.
Сценарій атаки: фішингові листи та небезпечні «документи»
Початковим вектором компрометації залишаються таргетовані фішингові листи із вкладеними запароленими архівами. Усередині архіву жертві підсовують виконуваний файл, замаскований під офіційний документ.
Використовуються два основних прийоми маскування: подвійне розширення виду .doc .exe або надмірно довге ім’я файлу, яке приховує справжнє розширення при перегляді вмісту архіву. Користувач, очікуючи побачити текстовий документ, запускає EXE-файл і фактично сам ініціює зараження системи.
Мультимовний фішинг проти Росії та Центральної Азії
Більше ніж половина шкідливих листів та файлів-приманок у кампанії 2025 року, за оцінкою експертів, містили вміст російською мовою. Це вказує на пріоритетне націлення на російськомовні державні органи та пов’язані з ними структури.
Решта розсилок була локалізована під державні органи Туркменістану, Киргизстану, Таджикистану та Узбекистану. Фішингові повідомлення готувалися на відповідних національних мовах і адаптувалися під місцевий діловий контекст, що істотно підвищує довіру до листа та ймовірність відкриття вкладення.
Інструментарій Tomiris: реверс-шели та C2 через Telegram і Discord
Після запуску шкідливого файлу на зараженій системі в більшості випадків розгортається реверс-шелл — невеликий агент, який сам ініціює з’єднання з інфраструктурою операторів і очікує на подальші команди. Такі агенти реалізовані на C/C++, C#, Go, Rust та Python, що ускладнює детектування за статичними сигнатурами та дозволяє зловмисникам підбирати оптимальний інструмент під кожне оточення.
Частина імплантів використовує Telegram та Discord як канали управління (C2). Шкідливий трафік маскується під звичайну активність популярних месенджерів, а з’єднання з їхніми серверами зазвичай вважаються легітимними й рідко повністю блокуються. Такий підхід, типовий для сучасних APT-кампаній, суттєво ускладнює виявлення атаки на рівні мережевого моніторингу.
AdaptixC2, Havoc та приховане бокове переміщення
На подальших етапах зловмисники розгортають додатковий інструментарій для закріплення в інфраструктурі та поглибленого доступу до внутрішніх ресурсів. Дослідники відзначають активне використання фреймворків AdaptixC2 та Havoc, які надають операторам зручний інтерфейс керування, можливість розгортати нові модулі, виконувати команди та проводити розвідку мережі.
Для бокового переміщення (lateral movement) застосовуються зворотні SOCKS-проксі на основі відкритих проєктів з GitHub. Через такі тунелі Tomiris отримує прихований доступ до внутрішніх сервісів і вузлів, які зазвичай недоступні з Інтернету.
Викрадення документів та відбір пріоритетних цілей
Головне завдання встановлених імплантів — виявлення та підготовка до ексфільтрації конфіденційних файлів. На заражених пристроях активно скануються документи з розширеннями .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx, .docx. Це свідчить про інтерес не лише до текстових звітів і службових записок, а й до графічних матеріалів, які можуть містити скани офіційних документів або фото чутливих даних.
Один з інструментів групи, позначений як Tomiris Rust Downloader, не завантажує самі файли, а передає до Discord лише списки шляхів до знайдених документів. Така тактика зменшує обсяг підозрілого трафіку та дозволяє операторам вручну обирати пріоритетні цілі для подальшого викрадення. Інший модуль — Tomiris Python FileGrabber — збирає виявлені файли в ZIP-архіви та відправляє їх на сервер управління через HTTP POST-запити, імітуючи звичайні веб-звернення.
Ключові тенденції: довгострокове кібершпигунство та маскування під легітимний трафік
За оцінкою фахівців, поточна кампанія демонструє еволюцію тактик Tomiris у бік довгострокової прихованої присутності в мережах жертв. На це вказує використання імплантів на різних мовах програмування, опора на публічні сервіси на кшталт Telegram і Discord в якості C2, а також комбінування власних і відкритих інструментів. Такий підхід дозволяє змішувати шкідливий трафік з легітимною активністю і ускладнює роботу засобів моніторингу.
Як захиститися від атак Tomiris: практичні рекомендації
Організаціям державного сектора і великим компаніям в регіоні Росії і СНД доцільно посилити захист за декількома напрямками. Важливо обмежити виконання файлів з вкладень архівів, впровадити навчання співробітників розпізнаванню таргетованого фішингу і заборонити приховування розширень файлів в провіднику. Додатково варто налаштувати контроль використання месенджерів Telegram і Discord на робочих станціях і серверах, а також моніторити аномальні мережеві з’єднання з їх серверами
Рекомендується використовувати сучасні рішення класу EDR/XDR, застосовувати сегментацію мережі та принцип мінімально необхідних привілеїв, а також регулярно проводити аудит публічно доступних проектів та інструментів, які можуть бути використані зловмисниками. Актуальне оновлення систем безпеки та операційних систем, впровадження багатофакторної аутентифікації та централізований лог-менеджмент значно підвищують шанси вчасно виявити активність APT-груп, подібних до Tomiris, і мінімізувати збитки від їхніх операцій.
