تغییر استراتژی Tomiris: استفاده از زیرساخت‌های عمومی برای حملات مخفیانه C2

عامل تهدید معروف به Tomiris به حملاتی که وزارتخانه‌های خارجه، سازمان‌های بین دولتی و نهادهای دولتی در روسیه را با هدف ایجاد دسترسی از راه دور و استقرار ابزارهای اضافی هدف قرار می‌دهند، نسبت داده شده است.

محققان کسپرسکی، در تحلیلی گفتند: «این حملات نشان‌دهنده تغییر قابل توجه در تاکتیک‌های Tomiris است، یعنی افزایش استفاده از ایمپلنت‌هایی که از سرویس‌های عمومی (مانند تلگرام و دیسکورد) به عنوان سرورهای فرمان و کنترل (C2) استفاده می‌کنند. این رویکرد احتمالاً با هدف ترکیب ترافیک مخرب با فعالیت سرویس‌های مشروع برای جلوگیری از شناسایی توسط ابزارهای امنیتی انجام می‌شود.» بیش از ۵۰٪ از ایمیل‌های فیشینگ هدفمند و فایل‌های جعلی مورد استفاده در این کمپین از نام‌های روسی استفاده کرده و حاوی متن روسی بوده‌اند، که نشان می‌دهد کاربران یا نهادهای روسی زبان تمرکز اصلی بوده‌اند. ایمیل‌های فیشینگ هدفمند همچنین ترکمنستان، قرقیزستان، تاجیکستان و ازبکستان را با استفاده از محتوای سفارشی نوشته شده به زبان‌های ملی مربوطه هدف قرار داده‌اند. این حملات که زیرساخت‌های سیاسی و دیپلماتیک با ارزش بالا را هدف قرار داده‌اند، از ترکیبی از شِل‌های معکوس، ایمپلنت‌های سفارشی و چارچوب‌های منبع باز C2 مانند Havoc و AdaptixC2 جهت تسهیل پس از اکسپلویت، پایداری بیشتر و دسترسی از راه دور به سیستم‌های هدف استفاده کرده‌اند.

جزئیات Tomiris برای اولین بار در سپتامبر ۲۰۲۱ منتشر شد، زمانی که کسپرسکی عملکرد داخلی یک درب‌پشتی با همین نام را تصریح کرد و پیوندهای آن را با SUNSHUTTLE (معروف به GoldMax)، بدافزار مورد استفاده هکرهای روسی APT29 مرتبط با حمله زنجیره تأمین SolarWinds و درب‌پشتی جاسوسی Kazuar مبتنی بر NET. مورد استفاده Turla، فاش کرد. با وجود این همپوشانی‌ها، Tomiris به عنوان عامل تهدید متفاوت ارزیابی می‌شود که عمدتاً بر جمع‌آوری اطلاعات در آسیای مرکزی تمرکز دارد. مایکروسافت، در گزارشی که در دسامبر 2024 منتشر شد، درب پشتی Tomiris را به عامل تهدید مستقر در قزاقستان با نام Storm-0473، مرتبط دانست. گزارش‌های بعدی از Cisco Talos، Seqrite Labs، Group-IB و BI.ZONE این فرضیه را تقویت کرده‌اند، زیرا تجزیه و تحلیل‌ها، همپوشانی‌هایی را با گروه‌های Cavalry Werewolf، ShadowSilk، Silent Lynx، SturgeonPhisher و YoroTrooper شناسایی کرده‌اند. کمپین Tomiris 2025 از ماژول‌های بدافزار چندزبانه برای افزایش انعطاف‌پذیری عملیاتی و جلوگیری از شناسایی با کمتر مشکوک به نظر رسیدن استفاده می‌کند. تکامل در تاکتیک‌ها، تمرکز عامل تهدید را بر مخفی‌کاری، ماندگاری طولانی‌مدت و هدف قرار دادن استراتژیک سازمان‌های دولتی و بین دولتی برجسته می‌کند.

https://securelist.com/tomiris-new-tools/118143/
https://thehackernews.com/2025/12/tomiris-shifts-to-public-service.html