Tomiris黑客组织揭示全球攻击新工具与技巧

一项新的网络攻击浪潮被发现，目标直指俄罗斯和中亚地区的政府官员和外交官。该组织活跃多年，以针对高价值政治目标而闻名。最新调查显示，他们现在使用更先进的方法来隐藏踪迹，包括利用Telegram和Discord等流行应用来控制受感染的计算机。

根据卡巴斯基的一份新报告，被称为Tomiris的威胁行为者在2025年初发起了一场复杂的攻击活动，揭示了其操作方法的重大转变。

攻击如何运作

攻击通常从一封钓鱼邮件开始。这些邮件被设计成看起来像官方信件，经常模仿关于经济发展或合作协议的政府信函。邮件中包含一个受密码保护的压缩文件（“zip”文件）以及邮件正文中的密码，例如“min@2025”。

当受害者打开压缩包并点击里面的文件时（该文件通常看起来是Word文档，但实际上是一个恶意程序），他们的计算机就会被感染。

一旦进入系统，Tomiris会使用各种新的“植入物”（恶意软件工具）。与往年相比，一个显著的变化是该组织使用多种编程语言开发了这些工具，包括C/C++、Rust、Go和Python。这种多样性使得标准防病毒软件很难检测到固定模式。

最危险的新策略之一是黑客与受感染机器的通信方式。Tomiris现在不再使用可疑的私人服务器，而是利用合法的公共服务：

由于许多组织出于工作目的允许访问Discord和Telegram的流量，这种恶意活动就与正常的网络流量混合在一起，使得安全团队很难发现。

初始感染后，黑客会对计算机进行快速检查。如果目标有价值，他们会下载功能更强大的软件。报告指出了两个开源框架——Havoc和AdaptixC2，攻击者利用这些框架可以完全控制系统。

之后，他们可以窃取敏感文件（针对PDF和图片等文件）、记录屏幕活动，并进一步深入政府网络以窥探其他计算机。

此次攻击活动高度聚焦。超过50%的钓鱼邮件使用俄语姓名和文本，表明其主要关注俄语实体。其他目标包括土库曼斯坦、吉尔吉斯斯坦、塔吉克斯坦和乌兹别克斯坦的用户，邮件内容也针对当地语言进行了定制。

安全专家警告称，Tomiris专注于隐蔽和长期间谍活动。通过不断更换编程语言并隐藏在受信任的应用背后，他们仍然是该地区外交和政府安全的一个持续威胁。敦促各组织仔细审查网络流量，即使是对Telegram等受信任的应用，也要捕捉这些细微的入侵迹象。