De bedreigingsacteur bekend als Tomiris wordt toegeschreven aan aanvallen gericht op ministeries van Buitenlandse Zaken, intergouvernementele organisaties en overheidsinstanties in Rusland met als doel toegang op afstand tot stand te brengen en aanvullende instrumenten in te zetten.
“Deze aanvallen benadrukken een opmerkelijke verschuiving in de tactiek van Tomiris, namelijk het toegenomen gebruik van implantaten die publieke diensten (zoals Telegram en Discord) gebruiken als command-and-control (C2)-servers”, aldus Kaspersky-onderzoekers Oleg Kupreev en Artem Ushkov in een analyse. “Deze aanpak is waarschijnlijk bedoeld om kwaadaardig verkeer te combineren met legitieme serviceactiviteiten om detectie door beveiligingstools te omzeilen.”
Het cyberbeveiligingsbedrijf zei dat meer dan 50% van de spearphishing-e-mails en lokbestanden die in de campagne werden gebruikt Russische namen gebruikten en Russische tekst bevatten, wat aangeeft dat Russischsprekende gebruikers of entiteiten de primaire focus waren. De spearphishing-e-mails waren ook gericht op Turkmenistan, Kirgizië, Tadzjikistan en Oezbekistan, waarbij gebruik werd gemaakt van op maat gemaakte inhoud die in hun respectieve nationale talen was geschreven.
De aanvallen gericht op hoogwaardige politieke en diplomatieke infrastructuur hebben gebruik gemaakt van een combinatie van reverse shells, aangepaste implantaten en open-source C2-frameworks zoals Havoc en AdaptixC2 om post-exploitatie te vergemakkelijken.
Details over Tomiris kwamen voor het eerst aan het licht in september 2021 toen Kaspersky licht wierp op de innerlijke werking van een achterdeur met dezelfde naam, en de banden ervan met SUNSHUTTLE (ook bekend als GoldMax), een malware die werd gebruikt door de Russische APT29-hackers achter de SolarWinds supply chain-aanval, en Kazuar, een op .NET gebaseerde spionage-achterdeur die door Turla werd gebruikt.
Ondanks deze overlappingen wordt Tomiris gezien als een andere dreigingsactoren die zich vooral richt op het verzamelen van inlichtingen in Centraal-Azië. Microsoft heeft in een in december 2024 gepubliceerd rapport de achterdeur van Tomiris verbonden met een in Kazachstan gevestigde bedreigingsacteur die hij volgt als Storm-0473.
Latere rapporten van Cisco Talos, Seqrite Labs, Group-IB en BI.ZONE hebben deze hypothese versterkt, waarbij de analyses overlappingen hebben geïdentificeerd met clusters die worden aangeduid als Cavalry Werewolf, ShadowSilk, Silent Lynx, SturgeonPhisher en YoroTrooper.
De nieuwste door Kaspersky gedocumenteerde activiteit begint met phishing-e-mails die kwaadaardige, met een wachtwoord beveiligde RAR-bestanden bevatten. Het wachtwoord om het archief te openen staat in de tekst van de e-mail. In het bestand bevindt zich een uitvoerbaar bestand dat zich voordoet als een Microsoft Word-document (*.doc.exe) dat, wanneer het wordt gestart, een omgekeerde C/C++-shell laat vallen die verantwoordelijk is voor het verzamelen van systeeminformatie en het contact maken met een C2-server om AdaptixC2 op te halen.
De omgekeerde shell brengt ook wijzigingen in het Windows-register aan om de persistentie van de gedownloade payload te garanderen. Alleen al dit jaar zijn er drie verschillende versies van de malware gedetecteerd.
Als alternatief is gebleken dat de via de e-mails verspreide RAR-archieven andere malwarefamilies afleveren, die op hun beurt hun eigen infectiesequenties veroorzaken –
- Een op Rust gebaseerde downloader die systeeminformatie verzamelt en naar een Discord-webhook stuurt; creëert Visual Basic Script (VBScript) en PowerShell-scriptbestanden; en start het VBScript met behulp van cscript, dat het PowerShell-script uitvoert om een ZIP-bestand op te halen met een uitvoerbaar bestand dat is gekoppeld aan Havoc.
- Een op Python gebaseerde reverse shell die Discord als C2 gebruikt om opdrachten te ontvangen, uit te voeren en de resultaten terug naar de server te exfiltreren; voert verkenningen uit; en downloadt implantaten van de volgende fase, waaronder AdaptixC2 en een op Python gebaseerde FileGrabber die bestanden verzamelt die overeenkomen met jpg, .png, .pdf, .txt, .docx en .doc. extensies.
- Een op Python gebaseerde achterdeur genaamd Distopia die is gebaseerd op het open-source dystopia-c2-project en Discord gebruikt als C2 om console-opdrachten uit te voeren en extra payloads te downloaden, inclusief een op Python gebaseerde reverse shell die Telegram voor C2 gebruikt om opdrachten op de host uit te voeren en de uitvoer terug naar de server te sturen.
Het malwarearsenaal van Tomiris omvat ook een aantal reverse shells en implantaten geschreven in verschillende programmeertalen –
- AC# reverse shell die Telegram gebruikt om opdrachten te ontvangen
- Een op Rust gebaseerde malware genaamd JLORAT die opdrachten kan uitvoeren en schermafbeeldingen kan maken
- Een op Rust gebaseerde omgekeerde shell die PowerShell als shell gebruikt in plaats van “cmd.exe”
- Een op Go gebaseerde omgekeerde shell die een TCP-verbinding tot stand brengt om opdrachten uit te voeren via “cmd.exe”
- Een PowerShell-achterdeur die Telegram gebruikt om opdrachten uit te voeren en een willekeurig bestand te downloaden naar de locatie “C:UsersPublicLibraries”
- AC# reverse shell die een TCP-verbinding tot stand brengt om opdrachten uit te voeren via “cmd.exe”
- Een omgekeerde SOCKS-proxy geschreven in C ++ die het open-source Reverse-SOCKS5-project wijzigt om foutopsporingsberichten te verwijderen en het consolevenster te verbergen
- Een omgekeerde SOCKS-proxy geschreven in Golang die het open-source ReverseSocks5-project wijzigt om foutopsporingsberichten te verwijderen en het consolevenster te verbergen
“De Tomiris 2025-campagne maakt gebruik van meertalige malwaremodules om de operationele flexibiliteit te vergroten en detectie te omzeilen door minder verdacht over te komen”, aldus Kaspersky. “De evolutie in de tactieken onderstreept de focus van de dreigingsactoren op stealth, doorzettingsvermogen op de lange termijn en de strategische targeting van regeringen en intergouvernementele organisaties.”
