Descoberta e escopo
A investigação cobriu operações que começaram no início de 2025. Os incidentes documentados tiveram como alvos ministérios de relações exteriores, organizações intergovernamentais e outras entidades governamentais — setores de alto valor político e diplomático. A Kaspersky rastreou desde o phishing inicial até o uso de frameworks de pós-exploração em estágios sucessivos.
Vetor e infraestrutura observados
O acesso inicial se deu, repetidamente, por e-mails de spear-phishing contendo arquivos compactados com senha (a senha frequentemente incluída no corpo da mensagem). Arquivos executáveis dentro dos arquivos foram entregues com táticas de engano — ícones de documento, nomes longos com extensões ocultas e duplas extensões.
Implantes e técnicas
- Variedade de reverse shells escritos em Go, Rust, C/C#, C++, e Python, com funções de reconhecimento e download de payloads subsequentes.
- Uso de public services (Telegram e Discord) como canais de C2, com trojans que comunicam-se via tokens e webhooks para receber comandos e exfiltrar dados.
- Uso observada de frameworks de pós-exploração open-source como Havoc e AdaptixC2 após a fase inicial de acesso.
Casos e capacidades
Entre os componentes descritos estão:
- Tomiris Rust Downloader — coleta informações do sistema e lista caminhos de arquivos, enviando apenas caminhos via webhook do Discord;
- Python Discord/Telegram ReverseShells — trojans que executam comandos remotos e reportam resultados via estes serviços;
- FileGrabbers e backdoors (Distopia) baseados em projetos open-source que permitem upload/download e execução remota.
Impacto e alvo
A Kaspersky indica foco geográfico e linguístico: mais de 50% dos e-mails de spear-phishing observados continham nomes e textos em russo, sugerindo prioridade sobre alvos russófonos; o restante das iscas foi localizado para Turcomenistão, Quirguistão, Tajiquistão e Uzbequistão. O objetivo operacional primário documentado é estabelecimento de acesso remoto e implantação de frameworks para movimentação e persistência.
Limites e indicadores
A Kaspersky publica hashes, domínios, endereços IP e webhooks observados no conjunto de amostras. O relatório destaca padrões repetidos — senhas embutidas em e-mails no formato "xyz@2025" e nomes de arquivo longos com espaços antes da extensão — e observa que amostras distintas por vezes foram distribuídas sob o mesmo nome de arquivo.
Recomendações implícitas
Embora o relatório seja técnico e focado em IOC, as implicações para detecção são claras: é necessário monitoramento comportamental (em vez de confiar só em assinaturas), inspeção de tráfego para serviços públicos usados como canais de C2 e revisão de controles de ingestão de e-mails (bloqueio/exame de anexos com senhas e processos de verificação de executáveis).
Conclusão
A evolução tática do Tomiris mostrada no relatório — multi-linguagens, uso de serviços públicos como C2 e emprego de frameworks open-source para pós-exploração — reforça a necessidade de estratégias de defesa em camadas e de detecção que correlacione telemetria endpoint, rede e e-mail.