O grupo de ameaças Tomiris tem sido responsável por ataques direcionados a ministérios das Relações Exteriores, organizações intergovernamentais e entidades governamentais na Rússia, com o objetivo de estabelecer acesso remoto e implantar ferramentas adicionais.
Pesquisadores da Kaspersky, Oleg Kupreev e Artem Ushkov, destacam que “esses ataques revelam uma mudança significativa na tática do Tomiris, especialmente no uso crescente de implantes que utilizam serviços públicos, como Telegram e Discord, como servidores de command-and-control (C2)”.
Essa estratégia busca misturar o tráfego malicioso com atividades legítimas para evitar a detecção por ferramentas de segurança.
Mais de 50% dos e-mails de spear-phishing e arquivos usados na campanha apresentam nomes russos e texto em russo, indicando que usuários ou entidades falantes do idioma são o principal alvo.
Além disso, ataques semelhantes foram direcionados a países da Ásia Central, como Turcomenistão, Quirguistão, Tajiquistão e Uzbequistão, com conteúdo adaptado aos respectivos idiomas.
Essas ofensivas contra infraestruturas políticas e diplomáticas de alto valor utilizam uma combinação de reverse shells, implantes customizados e frameworks open-source de C2, como Havoc e AdaptixC2, para facilitar a pós-exploração.
O Tomiris foi identificado inicialmente em setembro de 2021, quando a Kaspersky revelou detalhes sobre sua backdoor homônima, destacando conexões com o malware SUNSHUTTLE (também conhecido como GoldMax), usado pelo grupo APT29 russo responsável pelo ataque à cadeia de suprimentos SolarWinds, e o backdoor Kazuar, baseado em .NET e utilizado pelo grupo Turla.
Apesar dessas semelhanças, o Tomiris é considerado um ator distinto, focado principalmente em espionagem na Ásia Central.
Um relatório da Microsoft, publicado em dezembro de 2024, associou o backdoor Tomiris a um grupo de ameaças com base no Cazaquistão, monitorado como Storm-0473.
Análises posteriores da Cisco Talos, Seqrite Labs, Group-IB e BI.ZONE reforçaram essa avaliação, identificando sobreposições com clusters conhecidos como Cavalry Werewolf, ShadowSilk, Silent Lynx, SturgeonPhisher e YoroTrooper.
A atividade mais recente documentada pela Kaspersky começa com e-mails de phishing que contêm arquivos RAR protegidos por senha – a senha para abrir o arquivo está no próprio texto do e-mail.
No arquivo, um executável disfarçado de documento Microsoft Word (*.doc.exe) é entregue e, ao ser executado, instala um reverse shell em C/C++ que coleta informações do sistema e conecta-se a um servidor C2 para baixar o AdaptixC2.
Esse reverse shell também modifica o registro do Windows para garantir persistência do payload instalado.
Três versões diferentes desse malware já foram detectadas somente neste ano.
Além disso, os arquivos RAR propagados por e-mail entregam outras famílias de malware que acionam suas próprias sequências de infecção.
Entre eles, destacam-se:
- Um downloader desenvolvido em Rust que coleta informações do sistema e as envia para um webhook do Discord; cria scripts em Visual Basic (VBScript) e PowerShell; executa o VBScript via cscript, que por sua vez roda o PowerShell para baixar um arquivo ZIP contendo um executável associado ao Havoc.
- Um reverse shell em Python que usa o Discord como C2 para receber comandos, executá-los e exfiltrar resultados; realiza reconhecimento e baixa implantes da próxima etapa, incluindo AdaptixC2 e um FileGrabber em Python que captura arquivos com extensões jpg, png, pdf, txt, docx e doc.
- Um backdoor chamado Distopia, também em Python, baseado no projeto open-source dystopia-c2, que utiliza o Discord como C2 para executar comandos no console e baixar cargas adicionais, incluindo um reverse shell em Python que usa o Telegram como C2 para executar comandos no host e enviar os resultados ao servidor.
O arsenal de malwares do Tomiris inclui diversos reverse shells e implantes desenvolvidos em diferentes linguagens:
- Reverse shell em C# que usa o Telegram para receber comandos.
- Malware em Rust chamado JLORAT, capaz de executar comandos e capturar screenshots.
- Reverse shell em Rust que utiliza PowerShell como shell, em vez do "cmd.exe".
- Reverse shell em Go que estabelece conexão TCP para executar comandos via "cmd.exe".
- Backdoor em PowerShell que usa Telegram para executar comandos e baixar arquivos arbitrários no diretório "C:\Users\Public\Libraries\".
- Reverse shell em C# que estabelece conexão TCP para executar comandos via "cmd.exe".
- Proxy SOCKS reverso em C++ que modifica o projeto open-source Reverse-SOCKS5 para eliminar mensagens de debug e ocultar a janela do console.
- Proxy SOCKS reverso em Golang que altera o projeto open-source ReverseSocks5 com o mesmo objetivo.
Segundo a Kaspersky, “a campanha Tomiris de 2025 utiliza módulos de malware em múltiplas linguagens para aumentar a flexibilidade operacional e evitar a detecção, parecendo menos suspeita”.
Essa evolução tática reflete o foco do grupo em furtividade, persistência de longo prazo e no alvo estratégico de organizações governamentais e intergovernamentais.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...