Il gruppo di cybercriminali noto come Tomiris ha recentemente intensificato le sue attività contro ministeri degli affari esteri, organizzazioni intergovernative ed enti governativi in Russia e in altre nazioni dell’Asia centrale come Turkmenistan, Kirghizistan, Tagikistan e Uzbekistan. L’obiettivo principale è ottenere accesso remoto ai sistemi compromessi e distribuire strumenti malevoli aggiuntivi, focalizzandosi soprattutto sulla raccolta di informazioni sensibili.

Uso innovativo di servizi pubblici per il comando e controllo

Un aspetto innovativo nelle ultime campagne di Tomiris è l’utilizzo di servizi pubblici come Telegram e Discord per il comando e controllo (C2), una tattica che permette di confondere il traffico malevolo con quello legittimo e di eludere i sistemi di sicurezza tradizionali. Più della metà delle email di spear-phishing e dei file esca utilizzati sono in lingua russa, segno che gli attacchi sono mirati principalmente a utenti e organizzazioni russofone, anche se le campagne vengono adattate ai contesti linguistici locali dei diversi Paesi presi di mira.

Tecniche e strumenti impiegati da Tomiris

Le tecniche impiegate da Tomiris includono reverse shell, impianti personalizzati e framework C2 open-source come Havoc e AdaptixC2. L’infezione inizia tramite email di phishing che contengono archivi RAR protetti da password; la password è fornita nel testo dell’email stessa. All’interno dell’archivio si trova un file eseguibile mascherato da documento Word, che, una volta avviato, installa una reverse shell sviluppata in C/C++ e scarica ulteriori moduli malevoli.

Varianti di malware e metodi di persistenza

Durante il 2025 sono state individuate almeno tre varianti diverse di questa reverse shell, tutte progettate per garantire la persistenza della minaccia nel sistema tramite modifiche al registro di Windows. In alcuni casi, le email veicolano downloader scritti in Rust che raccolgono informazioni di sistema e comunicano tramite webhook Discord, oppure backdoor in Python che utilizzano sia Discord che Telegram per ricevere comandi ed esfiltrare dati, tra cui documenti, immagini e file PDF.

Arsenale multilingue e strategie di occultamento

Tomiris dispone di un arsenale di malware multilingue: reverse shell in C#, Rust e Go, proxy SOCKS inversi personalizzati, backdoor PowerShell e moduli in Python. Alcuni di questi strumenti sfruttano progetti open-source, modificati per nascondere messaggi di debug e rendere ancora più difficile il rilevamento.

Sofisticazione e sfide per la difesa

L’evoluzione delle tattiche di Tomiris sottolinea la crescente sofisticazione delle minacce cyber attuali, con un’attenzione particolare all’occultamento e alla persistenza a lungo termine negli ambienti governativi. L’adozione di moduli malware in più linguaggi e l’impiego di canali C2 basati su servizi pubblici rappresentano una sfida significativa per le strategie di difesa delle organizzazioni.