Tomiris использует Telegram и Discord как командные серверы при атаках на дипломатические службы в России и странах СНГ

Группа Tomiris в начале 2025 года развернула новую волну кибершпионажа против высокостатусных политических и дипломатических структур. По данным "Лаборатории Касперского", атаки нацелены на министерства иностранных дел, государственные и межправительственные организации в России и странах СНГ, всего с деятельностью группы могли столкнуться более тысячи пользователей.

Первоначальный доступ злоумышленники получают через целевые фишинговые письма с архивами. Чаще всего вложение защищено паролем, указанным в тексте письма, а внутри находится исполняемый файл. Для маскировки ему дают вид "офисного документа": меняют значок, используют длинные имена и двойное расширение вроде ".doc .exe". При стандартном просмотре архива расширение не видно, пользователю кажется, что перед ним обычный документ. Тематика приманок привязана к работе госструктур, например обсуждение проектов по развитию российских регионов или протоколов межгосударственных встреч.

Больше половины обнаруженных писем и файлов-приманок в текущей кампании оформлены на русском языке, из чего следует, что основной целью остаются русскоязычные пользователи и организации. Остальные письма адаптированы под Туркменистан, Кыргызстан, Таджикистан и Узбекистан, где используются соответствующие национальные языки. Имена файлов часто имитируют бюрократический документооборот, вроде "аппарат правительства российской федерации по вопросу..." или "план-протокол встречи о сотрудничестве представителей".

После запуска вложенного файла начинается развертывание имплантов первого этапа. В большинстве проанализированных инцидентов это реверс-шеллы, которые подключаются к командному серверу и предоставляют оператору удаленную консоль. Такие модули Tomiris пишет сразу на нескольких языках программирования, включая C и C++, C#, Go, Rust и Python. Функциональность у них минимальная: сбор базовой информации о системе и сети, выполнение команд и загрузка полезной нагрузки следующего этапа. Самостоятельно они по сети не распространяются и в систему не внедряются, пока оператор вручную не закрепит второй этап.

Следующий шаг цепочки заражения это установка постэксплуатационных фреймворков AdaptixC2 и Havoc. Для их загрузки злоумышленники активно пользуются легитимными системными утилитами Windows, такими как bitsadmin, curl, PowerShell и certutil. После проверки, что нужный файл оказался в целевой папке и не был удален защитным ПО, оператор прописывает его в автозапуск через раздел реестра Run. Так Tomiris получает устойчивый долгосрочный доступ к системе и может разворачивать дополнительные инструменты по мере необходимости.

Отдельный блок в отчете "Лаборатории Касперского" посвящен новым имплантам. Rust Downloader, ранее не описанный модуль, собирает сведения о системе, сканирует диски в поисках файлов с расширениями .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx и .docx, а затем отправляет на сервер операторов список путей к найденным данным. Для связи используется вебхуки Discord, при этом передаются только метаданные, а не содержимое файлов. После этого загрузчик с помощью цепочки VBS и PowerShell-скриптов периодически пытается скачать ZIP-архив с сервера Tomiris, распаковать его во временную папку и запустить все содержащиеся в нем исполняемые файлы. В наблюдаемых случаях внутри архива находились компоненты фреймворка Havoc.

Часть инструментов Tomiris построена вокруг популярных мессенджеров. Python Discord ReverseShell использует библиотеку discord и общедоступную инфраструктуру сервиса Discord в качестве командного канала, получая текстовые команды и возвращая результаты их выполнения. Через него операторы могут подгружать другие модули, в частности файл-стилер Tomiris Python FileGrabber, который собирает документы и изображения и отправляет их на командный сервер в виде ZIP-архива, и бэкдор Tomiris Python Distopia Backdoor, основанный на открытом проекте dystopia-c2 и поддерживающий набор типичных функций удаленного управления системой. Отдельная линия инструментов завязана на Telegram: Python и C# ReverseShell, а также PowerShell-бэкдор используют токены и chat_id ботов для приема команд и передачи данных через API Telegram.

Исследователи отмечают, что в 2025 году Tomiris все чаще опирается на импланты, использующие Telegram и Discord в роли командных серверов. Такой подход позволяет маскировать вредоносный трафик под обычное взаимодействие с популярными сервисами, что усложняет его анализ и фильтрацию на уровне сети. Параллельно группа продолжает использовать и более старые инструменты, например JLORAT, который известен с 2022 года, умеет выполнять команды, собирать файлы и делать скриншоты, а также остается характерная манера распространять разные модули под одинаковыми длинными именами файлов в зашифрованных архивах с однотипными паролями.

Для перемещения по внутренней сети и сокрытия активности Tomiris задействует обратные SOCKS-прокси. В арсенале группы обнаружены модули ReverseSocks на C++ и Go, практически полностью скопированные из открытых GitHub-проектов. Они позволяют проксировать трафик сканеров уязвимостей и других инструментов через уже скомпрометированные узлы, что помогает развивать атаку, оставаясь внутри инфраструктуры жертвы.

"Лаборатория Касперского" подчеркивает, что в кампании 2025 года Tomiris активно комбинирует модули на разных языках программирования и опирается на общедоступные сервисы для управления, чтобы повысить устойчивость инфраструктуры и снизить вероятность детектирования. Основная цель операторов получение устойчивого удаленного доступа к системам госструктур и кража конфиденциальных документов. При этом в ряде случаев аналитикам удалось проследить всю цепочку событий от момента открытия фишингового вложения до установки фреймворков AdaptixC2 и Havoc.