Госучреждения в России и СНГ стали жертвами новой волны атак хакерской группы Tomiris

С начала 2025 года на территории России и стран СНГ наблюдается усиление активности кибергруппы Tomiris, специализирующейся на скрытом шпионаже. Об этом говорится в новом исследовании «Лаборатории Касперского», специалисты которой фиксируют масштабную целенаправленную кампанию, ориентированную на госорганы и дипломатические представительства.

По данным аналитиков, злоумышленники используют фишинговые рассылки, в которых прикреплены вредоносные архивы. Основной способ проникновения — запуск исполняемого файла, маскирующегося под официальный документ. Содержание вложений подбирается индивидуально, с учётом специфики адресата. В одном из случаев атака начиналась с письма, в котором предлагалось дать обратную связь по проектам, связанным с развитием регионов России.

Исследование показало, что более 50 % вредоносных писем и документов написаны на русском языке. Это подтверждает, что основной фокус кампании направлен на русскоязычные государственные организации. Остальные атаки адаптированы под национальные особенности других стран СНГ — Туркменистана, Кыргызстана, Таджикистана и Узбекистана.

После проникновения в систему Tomiris использует сложную многоступенчатую архитектуру. На первом этапе задействуются реверс-шеллы, реализованные на разных языках программирования. Далее на устройстве разворачиваются инструменты для управления, в том числе фреймворки AdaptixC2 и Havoc. Для скрытой связи с заражёнными машинами злоумышленники применяют Telegram и Discord как инфраструктуру командных серверов, что позволяет скрыть вредоносный трафик среди привычной пользовательской активности.

Основная задача атаки — незаметная эксфильтрация конфиденциальных данных. Вредоносное ПО нацелено на сбор информации в наиболее распространённых форматах: изображения (.jpg, .jpeg, .png), текстовые и офисные файлы (.txt, .rtf, .pdf, .xlsx, .docx).

По мнению эксперта «Лаборатории Касперского» Олега Купреева, действия Tomiris в 2025 году демонстрируют эволюцию её подхода. Злоумышленники всё активнее применяют средства, позволяющие минимизировать сигналы тревоги и обеспечить длительное присутствие в инфраструктуре жертвы. Одним из способов стало использование вредоносных модулей, разработанных на разных языках программирования, что затрудняет их детектирование. Кроме того, ориентация на легитимные сервисы связи позволяет замаскировать трафик под обычное сетевое поведение.

Группа Tomiris известна специалистам с 2021 года. С момента её обнаружения она фокусируется на атаках против структур государственного уровня, в первую очередь — с целью хищения закрытых документов. С текущим витком активности подтверждается, что кибершпионаж в регионе становится всё более точечным и технически изощрённым.