تقرير كاسبرسكي: مجموعة Tomiris تغيّر استراتيجيتها وتستهدف كيانات حكومية ودولية

كشف تقرير جديد لشركة كاسبرسكي أن مجموعة القرصنة الروسية الناطقة بالروسية Tomiris عدلت استراتيجيتها خلال عام 2025، لتوجه هجماتها نحو الوزارات الحكومية والمنظمات الدولية والمؤسسات ذات الثقل السياسي.

وبحسب التقرير، شهد مطلع العام موجة من الاختراقات اعتمدت فيها المجموعة على ترسانة واسعة من البرمجيات الخبيثة المكتوبة بلغات متعددة، بينها Go وRust وPython وPowerShell، في خطوة تهدف إلى رفع مستويات الإخفاء وإرباك محاولات تتبع الهجمات.

اختراقات عبر خدمات عامة

• أوضحت “كاسبرسكي” أن المجموعة باتت تُخفي خوادم التحكم والسيطرة داخل خدمات عامة مثل تليغرام وديسكورد، ما يسمح بتمرير حركة البيانات الخبيثة داخل رسائل مشفرة تبدو طبيعية.
• تستخدم المجموعة نسخاً متعددة من أدوات التحكم عن بُعد Reverse Shells المكتوبة بلغة بايثون عبر هذه المنصات لتلقي الأوامر وسحب البيانات المسروقة بسلاسة.

أساليب التصيد والتجسس

• تعتمد أغلب عمليات الاختراق على رسائل تصيد مكتوبة باللغة الروسية.
• بعد إصابة الجهاز ببرمجيات المرحلة الأولى، يبدأ المهاجمون بجمع الأوامر وإطلاق برمجيات المرحلة الثانية.
• تظهر لاحقاً أدوات مثل Havoc وAdaptixC2 لضمان الثبات داخل الشبكة والتنقل بين الأجهزة والسيطرة الكاملة على الأنظمة.

نطاق الاستهداف

• أكثر من نصف رسائل التصيد تستهدف أفراداً ومؤسسات روسية.
• باقي الهجمات تتركز في دول آسيا الوسطى مثل تركمانستان، قيرغيزستان، طاجيكستان، وأوزبكستان، ما يعكس طبيعة عمليات تجسس موجهة وليست جرائم إلكترونية عشوائية.

خلاصة التقرير

أكدت “كاسبرسكي” أن تطور تكتيكات Tomiris يركز على العمل بسرية تامة والبقاء داخل الشبكات لفترات طويلة، مع استهداف كيانات حكومية وحساسة بعناية. كما شددت على أن استخدام خدمات عامة للتواصل بين البرمجيات الخبيثة وتنوع لغات البرمجة يفرض على المؤسسات اعتماد تحليل سلوكي ورصد أعمق لحركة الشبكات لاكتشاف هذه الهجمات والحد منها قبل أن تتفاقم.

مجموعة Tomiris تتحول إلى أسلوب تجسس منظم يستهدف مؤسسات سياسية وحكومية، ما يستدعي تقنيات رصد متقدمة لمواجهة التهديد المتصاعد.