کمیته رکن چهارم– گروه تهدیدگر Tomiris اخیراً با بهرهگیری از ابزارهای چندزبانه و سرورهای فرمان مبتنی بر خدمات عمومی مانند تلگرام و دیسکورد، کمپین تازهای را علیه نهادهای دولتی در روسیه، ترکمنستان، قرقیزستان، تاجیکستان و ازبکستان راهاندازی کرده است. این کمپین بر پنهانکاری و تطبیق ترافیک مخرب با سرویسهای متداول متمرکز است.
به گزارش کمیته رکن چهارم، این حملات با ارسال ایمیلهای فیشینگ حاوی فایلهای RAR رمزگذاریشده آغاز میشود که پس از اجرا، شِل معکوس ایجاد کرده و به سرور فرمان متصل میشود تا بدافزارهایی مانند AdaptixC2 و FileGrabber را دریافت و اجرا کند. کدها با زبانهای Python، Rust، C# و Go نوشته شدهاند و برخی از آنها با PowerShell برای افزایش پایداری تعامل دارند.
این کمپین از شِلهایی استفاده میکند که بهصورت معکوس از دیسکورد یا تلگرام دستور دریافت کرده، فایلها را سرقت میکنند، اسکرینشات میگیرند و به مهاجم امکان کنترل از راه دور را میدهند. مجموعه ابزارهای این گروه شامل پراکسیهای معکوس و ایمپلنتهای پنهانکارانه نیز هست که عملکردشان با پروژههای متنباز تطبیق داده شده است.
تحلیلها نشان میدهد تمرکز Tomiris بر جمعآوری اطلاعات در نهادهای دولتی و دیپلماتیک است. ابزارهای این کمپین در سال ۲۰۲۵ از نظر فنی پیشرفتهتر و از نظر شناسایی دشوارتر شدهاند و تلاش دارند با تداوم حضور در سیستم، عملیات بلندمدت اطلاعاتی را اجرا کنند.
