Il gruppo di cybercriminali noto come Tomiris è stato recentemente attribuito ad attacchi informatici rivolti a ministeri degli esteri, organizzazioni intergovernative e enti governativi in Russia e nell’area dell’Asia centrale. L’obiettivo di queste campagne è l’accesso remoto ai sistemi bersaglio e il successivo impianto di ulteriori strumenti malevoli. Ciò che distingue Tomiris è l’evoluzione delle sue tattiche, in particolare l’impiego sempre più frequente di malware che sfruttano servizi pubblici come Telegram e Discord per il controllo dei sistemi compromessi tramite server di comando e controllo (C2). Questa strategia consente agli attaccanti di camuffare il traffico malevolo come comunicazione legittima, rendendo più difficile la rilevazione da parte delle soluzioni di sicurezza informatica.
Secondo le analisi, oltre la metà delle email di spear phishing e dei documenti trappola utilizzati da Tomiris contiene nomi e testi in russo, a dimostrazione di come gli attacchi siano mirati principalmente a utenti e istituzioni di lingua russa. Tuttavia, sono stati presi di mira anche Paesi come Turkmenistan, Kirghizistan, Tagikistan e Uzbekistan, con contenuti personalizzati nelle rispettive lingue. Gli attacchi si concentrano su infrastrutture diplomatiche e politiche di alto valore e sfruttano una combinazione di shell reverse, impianti personalizzati e framework C2 open source come Havoc e AdaptixC2 per portare a termine le fasi di post-exploitation.
Il vettore iniziale è rappresentato da email di phishing contenenti archivi RAR protetti da password, con il codice per l’apertura incluso nel messaggio. All’interno dell’archivio si trova un eseguibile camuffato da documento Word che, una volta avviato, installa una shell reverse C/C++ in grado di raccogliere informazioni sul sistema e contattare il server di comando e controllo per scaricare altri payload. Sono state individuate diverse varianti di malware, tra cui downloader in Rust che utilizzano webhook Discord e script PowerShell, backdoor Python che sfruttano Discord e Telegram per il controllo remoto e il furto di file, oltre a proxy SOCKS sviluppati a partire da progetti open source e modificati per nascondere la presenza dell’attacco.
Il set di strumenti di Tomiris comprende moduli malware in diversi linguaggi, tra cui C#, Rust, Go e PowerShell, che permettono una grande flessibilità operativa e una maggiore capacità di elusione delle difese. L’impiego di servizi pubblici come Telegram e Discord per le comunicazioni C2 rappresenta una tendenza in crescita, particolarmente efficace per obiettivi governativi che puntano su infrastrutture diplomatiche e sensibili.
