Специалисты «Лаборатории Касперского» обнаружили активную кампанию цифрового шпионажа, которую с января 2025 года ведет хакерское объединение Tomiris. Под удар попали в первую очередь государственные и дипломатические организации на территории России и стран СНГ. Для получения первоначального доступа злоумышленники рассылают персонализированные фишинговые сообщения, содержащие опасные архивы.
Как сообщили CNews в «Лаборатории Касперского», группировка Tomiris нацелена на дипломатические ведомства и иные госструктуры в России и Содружестве Независимых Государств. В ноябре 2025 года с её активностью столкнулись свыше тысячи пользователей.
По информации исследователей, для проникновения хакеры используют целенаправленные фишинговые рассылки с вредоносными вложениями. Исполняемые файлы маскируются под официальные документы, содержание которых тщательно адаптируется под конкретное учреждение и государство. В числе зафиксированных уловок — письма с предложением оставить отзыв о «Проектах развития российских регионов». При запуске такого файла происходит заражение системы.
Фишинг — это метод мошенничества, при котором злоумышленник побуждает жертву совершить действие, открывающее доступ к ИТ-системам устройства, учётным данным или личной информации. Притворяясь доверенным лицом или организацией, преступник может легко внедрить вредоносное программное обеспечение или проникнуть в корпоративную ИТ-инфраструктуру.
Проведённый экспертами по кибербезопасности анализ показал, что в ходе операций злоумышленников более половины целевых фишинговых писем и файлов-приманок были составлены на русском языке. Это указывает, что основными жертвами должны были стать русскоязычные пользователи, что подтверждает ориентацию атак на соответствующие организации. Остальные сообщения были переведены для Туркменистана, Кыргызстана, Таджикистана и Узбекистана с использованием национальных языков.
Впервые о деятельности Tomiris эксперты «Лаборатории Касперского» сообщили в 2021 году. Ранее группировка также концентрировалась на атаках на государственные структуры в СНГ, главной целью которых являлась кража внутренних документов.
Для закрепления в скомпрометированных системах APT-группа Tomiris применяет различные типы вредоносных имплантов. На первом этапе внедряются обратные оболочки (реверс-шеллы), созданные на разных языках программирования. Впоследствии развёртываются дополнительные инструменты, такие как фреймворки AdaptixC2 и Havoc.
Иногда в качестве C2-серверов используются популярные ИТ-сервисы, такие как Telegram и Discord. По мнению эксперта по кибербезопасности «Лаборатории Касперского» Олега Купреева, высказанному в интервью CNews, злоумышленники, вероятно, стремятся замаскировать вредоносный трафик под обычную активность на этих платформах в 2025 году.
Данное вредоносное программное обеспечение нацелено на обнаружение и кражу конфиденциальных данных, в первую очередь файлов с расширениями .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx и .docx.
Перед передачей важных сведений всегда полагайтесь на бдительность. При получении письма, будто бы отправленного банком или известной фирмой, ни в коем случае не нажимайте на содержащиеся в нём ссылки. Следует самостоятельно открыть браузер и ввести официальный адрес сайта в адресную строку — это гарантирует переход на подлинный ресурс.
Сотрудникам не следует поддаваться панике из-за угрожающих сообщений. Ни один солидный банк, страховая или иная уважаемая компания не станет запрашивать пароли, реквизиты карт или иную учётную информацию по электронной почте. В случае получения фишингового письма его нужно немедленно удалить и самостоятельно связаться с организацией по официальному телефону, указанному в договоре, на карте или сайте.
Не открывайте вложения из подозрительных писем или сообщений от незнакомых отправителей, особенно файлы форматов Word, Excel, PowerPoint или PDF.
Избегайте переходов по ссылкам в письмах, так как это может привести к загрузке вредоносного кода. Будьте осторожны с письмами от поставщиков или других сторон. Не переходите по содержащимся в них ссылкам. Вместо этого вручную введите адрес сайта партнёра в браузере и проверьте его официальные процедуры запроса информации.
Регулярно обновляйте программное обеспечение и операционную систему. ИТ-продукты для Windows часто подвергаются фишинговым и иным кибератакам, поэтому важно обеспечивать их надёжную защиту и своевременное обновление. Особенное внимание стоит уделить, если в организации используются версии ОС старше Windows 11.
Решения «Лаборатории Касперского» обеспечивают защиту от данной угрозы и детектируют её с помощью следующих вердиктов:
HEUR:Backdoor.Win64.RShell.gen;
HEUR:Backdoor.MSIL.RShell.gen;
HEUR:Backdoor.Win64.Telebot.gen;
HEUR:Backdoor.Python.Telebot.gen;
HEUR:Trojan.Win32.RProxy.gen;
HEUR:Trojan.Win32.TJLORT.a;
HEUR:Backdoor.Win64.AdaptixC2.a.
