Tomiris Hacker Group revela novas ferramentas e técnicas para ataques globais

Tomiris Hacker Group revela novas ferramentas e técnicas para ataques globais

Foi descoberta uma nova onda de ataques cibernéticos contra funcionários governamentais e diplomatas em toda a Rússia e na Ásia Central.

O grupo, que atua há vários anos, é conhecido por se concentrar em alvos políticos de alto valor.

Esta última investigação mostra que agora eles estão usando métodos mais avançados para ocultar seus rastros, incluindo aplicativos populares como Telegram e Discord para controlar computadores infectados.

De acordo com um novo relatório da Kasperskyo ator de ameaça conhecido como Tomiris lançou uma campanha sofisticada no início de 2025, revelando uma mudança significativa nos seus métodos operacionais.

Como funcionam os ataques

Os ataques normalmente começam com um e-mail de phishing. Estes e-mails são concebidos para parecerem oficiais, muitas vezes imitando correspondência governamental sobre desenvolvimento económico ou acordos de cooperação.

Exemplo de e-mail de phishing

Os e-mails contêm um arquivo protegido por senha (um arquivo “zip”) e uma senha no texto, como “min@2025”.

Quando uma vítima abre o arquivo e clica no arquivo contido nele, que muitas vezes parece ser um documento do Word, mas na verdade é um programa malicioso, seu computador é infectado.

Uma vez dentro do sistema, o Tomiris usa uma variedade de novos “implantes” (ferramentas de software maliciosas). Em uma mudança notável em relação aos anos anteriores, o grupo desenvolveu essas ferramentas usando múltiplas linguagens de programação, incluindo C/C++, Rust, Go e Pitão.

Essa variedade torna muito mais difícil para o software antivírus padrão detectar um padrão.

Escondendo-se à vista de todos

Uma das novas táticas mais perigosas é a forma como os hackers se comunicam com as máquinas infectadas. Em vez de usar servidores privados suspeitos, a Tomiris agora usa serviços públicos legítimos:

  • Discórdia:Uma ferramenta, escrita na linguagem de programação Rust, envia informações do sistema e listas de arquivos para um servidor privado. Discórdia canal.
  • Telegrama:Outras ferramentas usam bots do Telegram para receber comandos de hackers e enviar de volta dados roubados.

Como muitas organizações permitem o tráfego para o Discord e o Telegram para fins de trabalho, essa atividade maliciosa se mistura ao tráfego normal da rede, tornando muito difícil a detecção pelas equipes de segurança.

Após a infecção inicial, os hackers realizam uma verificação rápida no computador. Se o alvo for valioso, eles baixam um software mais poderoso.

O relatório identifica duas estruturas de código aberto, Havoc e AdaptixC2, que permitem aos invasores assumir o controle total do sistema.

A partir daí, eles podem roubar documentos confidenciais (direcionando arquivos como PDFs e imagens), registrar atividades na tela e se aprofundar na rede governamental para espionar outros computadores.

A campanha é altamente focada. Mais de 50% dos e-mails de phishing usou nomes e textos russos, indicando um foco principal em entidades de língua russa.

Outros alvos incluíam usuários no Turcomenistão, Quirguistão, Tadjiquistão e Uzbequistão, com e-mails adaptados aos seus idiomas locais.

Especialistas em segurança alertam que Tomiris está se concentrando em espionagem furtiva e de longo prazo. Ao mudarem constantemente as suas linguagens de programação e esconderem-se atrás de aplicações confiáveis, continuam a ser uma ameaça persistente à segurança diplomática e governamental da região.

As organizações são incentivadas a examinar minuciosamente o tráfego de rede, mesmo para aplicativos confiáveis ​​como o Telegram, para detectar esses sinais sutis de comprometimento.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.