Злоумышленники используют мессенджеры для управления вредоносными модулями в атаках на госструктуры

Новые техники и переход к публичным C2-сервисам

Кибершпионская группа APT-группа Tomiris использует импланты (вредоносные модули) для получения удаленного доступа к зараженной системе и управления ею. Команды к таким модулям передаются через популярные мессенджеры — Telegram и Discord: злоумышленники создают внутри мессенджеров собственных ботов или специальные URL-адреса, через которые и происходит обмен. Поскольку трафик проходит по тем же каналам, что и обычная активность Telegram и Discord, он выглядит легитимным и труднее выявляется. Как отмечается в материале «Лаборатории Касперского», такой подход помогает злоумышленникам сохранять скрытый доступ к инфраструктуре в течение длительного времени.

Большинство цепочек заражения начинается с реверс-шеллов — небольших инструментов удаленного доступа, которые соединяются с сервером злоумышленников и дают им возможность вручную управлять зараженной системой. Такие модули в данной кампании написаны на Go, Rust, C/C#/C++ или Python. После получения первоначального доступа через реверс-шелл в систему загружаются Havoc и AdaptixC2 — постэксплуатационные фреймворки, используемые злоумышленниками для дальнейшего развития атаки: выполнения команд, развертывания новых компонентов, закрепления в системе и перемещения по сети.

Фишинговые архивы как основной вектор входа

Заражение запускается с фишингового письма с вложенным архивом, часто защищенным паролем. Внутри располагаются исполняемые файлы, иногда замаскированные под документы за счет двойного расширения .doc … .exe. В отчете указано, что под одинаковыми именами могут скрываться разные импланты, что усложняет расследование и создает разнородные сценарии атаки.

Реверс-шеллы на разных языках: гибкость и универсальность

На ранних этапах атаки Tomiris опирается на реверс-шеллы — небольшие импланты, которые открывают удаленный доступ к зараженной системе и позволяют операторам работать внутри нее вручную. Через такие инструменты злоумышленники собирают базовую информацию об окружении, проверяют права учетной записи, изучают сеть, а затем загружают модули следующего уровня, включая AdaptixC2 и Havoc.

Использование реверс-шеллов, написанных на разных языках (Go, Rust, C/C#, Python), дает группе широкий выбор подходов к обходу защитных механизмов. В отчете отмечается, что разные варианты практически не имеют встроенной автоматизации — они служат «точками входа» и требуют действий оператора, что делает поведение таких модулей более вариативным и труднее предсказуемым.

C/C++ ReverseShell. Модуль собирает системные сведения, а затем загружает AdaptixC2 через curl, bitsadmin, PowerShell или certutil. Сам по себе он не закрепляется в системе и не распространяется автоматически, что делает ключевым моментом успешную загрузку компонента следующего этапа.

Rust Downloader и Rust ReverseShell. Rust-загрузчик отправляет данные о системе и списки файлов в Discord через multipart-запросы. Дополнительно он создает цепочку VBS- и PowerShell-скриптов, которые в цикле пытаются загрузить ZIP-архив с полезными нагрузками. В ряде случаев внутри архива обнаруживались файлы, связанные с Havoc.

Python Discord/Telegram ReverseShell. Эти модули используют API Discord или Telegram как канал управления. Они выполняют команды операторов, выгружают результаты и загружают дополнительные импланты, включая файл-граббер и AdaptixC2.

Другие варианты. В фишинговых архивах обнаружены реверс-шеллы на Go и C#, а также PowerShell-бэкдор, взаимодействующий с Telegram. На серверах злоумышленников выявлены обратные SOCKS-прокси на Go и C++, построенные на базе публичных GitHub-проектов.

Модули для сбора файлов и дальнейшей эксплуатации.

Для кражи файлов применяется Python FileGrabber — небольшой вредоносный модуль, который ищет на компьютере документы и изображения, собирает их в ZIP-архив и отправляет оператору через обычный HTTP POST-запрос. Из поиска исключаются системные папки, поэтому в выборку попадают только пользовательские файлы, а «служебный» контент не загромождает пакет.

Кроме того, используется Distopia Backdoor — бэкдор на Python, то есть инструмент, который предоставляет злоумышленникам удаленный доступ к системе. Через него можно выполнять консольные команды, просматривать и загружать файлы, а также разворачивать дополнительные вредоносные модули. В отчете отмечается, что именно через этот бэкдор злоумышленники устанавливали Telegram ReverseShell — еще один инструмент удаленного доступа, который принимает команды через Telegram.

География целей и инфраструктура управления

Большая часть фишинговых приманок содержит русские названия и текст, что указывает на приоритетную ориентацию атак на русскоязычные организации. Остальные файлы адаптированы для стран Центральной Азии — Кыргызстана, Узбекистана, Туркмении и Таджикистана.
В инфраструктуре управления обнаружены десятки точек связи в мессенджерах — в том числе Telegram-боты и созданные злоумышленниками адреса, через которые передавались команды и загружались модули последующих этапов. Эти элементы, как указано в материале «Лаборатории Касперского», формируют распределенную схему управления и усложняют отслеживание активности.

Атрибуция: совпадения с прежними инструментами Tomiris

Характерные признаки — длинные имена файлов, множество пробелов перед .exe, архивы с паролями формата xyz@2025 — совпадают с ранее описанными кампаниями JLORAT. Анализ доменов и серверов загрузки также указывает на единый набор операторов, что позволяет уверенно связывать инструменты с группой Tomiris.

Как новые подходы Tomiris влияют на безопасность организаций

Выявленные техники показывают, что группа делает ставку на скрытность и долгосрочное присутствие в инфраструктуре. Использование модулей на разных языках программирования и передача команд через популярные мессенджеры затрудняют сетевое обнаружение и обход поведенческих правил. В отчете Securelist отмечается, что такой подход повышает шансы злоумышленников удерживать доступ в системах госорганов и межправительственных структур, поскольку обычные сигнатурные методы контроля трафика и файлов в подобных условиях работают хуже.

Более подробная информация приведена в отчете «Лаборатории Касперского».