A Tomiris néven ismert, orosz nyelvű APT hackercsoport egy új jelentés szerint szűkítette célpontjainak körét, és egyre inkább kormányzati minisztériumokra, nemzetközi szervezetekre, valamint politikai szempontból kiemelt intézményekre fókuszál. A Kaspersky kibervédelmi kutatói arról számoltak be, hogy 2025 eleje óta több behatolási hullámot észleltek, melyek során a csoport soknyelvű, többek között Go-ban, Rustban, Pythonban és PowerShellben írt kártékony eszközöket vetett be, megnehezítve ezzel a felderítést és a pontos attribúciót.
A Tomiris egyre gyakrabban rejtőzik legitim kommunikációs platformokon, például a Telegramon és a Discordon, hogy rosszindulatú adatforgalmát a normál, titkosított üzenetváltások közé olvassza. Több visszafordított parancshéj - köztük a Tomiris Python, a Discord ReverseShell és a Telegram-alapú változat - teljes mértékben ezeket a szolgáltatásokat használja a parancsok fogadására és az adatlopásra. A hozzáférés jellemzően orosz nyelvű adathalász üzeneteken keresztül történik, majd az elsődleges kártevő telepítése után a támadók további programokat futtatnak, illetve második szakaszos malware-t juttatnak a rendszerbe. Későbbi fázisokban olyan keretrendszerek jelennek meg, mint a Havoc vagy az AdaptixC2, amelyek tartós jelenlétet és teljes eszközátvételt tesznek lehetővé.
A jelentés szerint a csoport adathalász csapdáinak több mint fele orosz nyelvű intézményeket vagy magánszemélyeket céloz, míg a többi főleg közép-ázsiai országokban - például Türkmenisztánban, Kirgizisztánban, Tádzsikisztánban és Üzbegisztánban - jelenik meg. A Kaspersky hangsúlyozza, hogy nem alkalmi bűncselekményekről van szó, hanem állami hírszerzést támogató, hosszú távú műveletekről. A kutatók szerint a Tomiris taktikáinak fejlődése jól mutatja a csoport rejtőzködésre és tartós jelenlétre törekvő stratégiáját, valamint azt, hogy továbbra is kiemelten veszélyezteti a kormányzati és nemzetközi intézményeket.
