در سال ۲۰۲۵، تهدیدات سایبری پیچیده‌تر و زیرکانه‌تر از همیشه شده‌اند. یکی از اخبار مهم دنیای امنیت، گزارش تازه درباره فعالیت گروه Tomiris است. گروهی که با استفاده از روش‌های نوین تلاش می‌کند باج‌افزار و بدافزار را به زیرساخت‌های حساس دولتی و دیپلماتیک نفوذ دهد. در این مقاله از Hellodigi قصد داریم نگاهی دقیق به این گزارش بیندازیم: چه تغییراتی در روش Tomiris رخ داده، چگونه نفوذ می‌کند و چرا نهادهای امنیتی باید نسبت به آن هشدار دهند.

Tomiris چیست؟

Tomiris  یک گروه تهدید سایبری با ماهیت جاسوسی (Cyber-Espionage APT) است که نخستین‌بار در سال ۲۰۲۱ توسط آزمایشگاه تحقیقات Kaspersky شناسایی شد. این گروه به دلیل استفاده از بدافزارهای چندزبانه (Polyglot Malware)، تکنیک‌های مخفی‌کاری پیشرفته و تمرکز شدید بر نهادهای دولتی و دیپلماتیک شهرت یافته است.

برخلاف بسیاری از گروه‌های APT که رفتار آن‌ها الگوهای ثابت‌تری دارد، Tomiris به شکل غیرمعمولی انعطاف‌پذیر عمل می‌کند: هر کمپین از ابزارها، زبان‌های برنامه‌نویسی و کانال‌های ارتباطی متفاوتی استفاده می‌کند که تحلیل آن را برای تیم‌های امنیتی پیچیده‌تر می‌سازد.

در اولین گزارش‌ها، برخی شباهت‌های فنی بین ابزارهای Tomiris و زنجیره SUNSHUTTLE (نسبت داده شده به APT29) دیده شد، اما تحلیل‌های بعدی including Microsoft Threat Intelligence و Kaspersky نشان داد که Tomiris یک بازیگر مستقل با رویکرد عملیاتی کاملاً مشخص است:
تمرکز اصلی آن نفوذ هدفمند، جمع‌آوری اطلاعات، دسترسی بلندمدت و عملیات استتاری علیه دولت‌ها و زیرساخت‌های با ارزش است.

نقشه عملیاتی Tomiris نیز نشان می‌دهد که این گروه در منطقه آسیای مرکزی، کشورهای روس‌زبان، و نهادهای مرتبط با سیاست خارجی بیشترین فعالیت را دارد. با این حال، ساختار حملات آن نشان می‌دهد که قابلیت توسعه عملیات علیه هر کشور یا سازمانی را دارد که در زنجیره ارزش سیاسی، امنیتی یا دیپلماتیک قرار می‌گیرد.

تغییر در تاکتیک‌ها: استفاده از سرویس‌های عمومی برای C2

بزرگ‌ترین تحول Tomiris در سال ۲۰۲۵ رخ داده است. طبق تحلیل Kaspersky این گروه به جای استفاده از سرورهای خصوصی یا زیرساخت‌‌های مخصوص برای command-and-control (C2)، اکنون از سرویس‌های عمومی و شناخته‌شده مانند Telegram و Discord استفاده می‌کند.

هدف از این تغییر، استتار فعالیت‌های مخرب در میان ترافیک قانونی سرویس‌های عمومی است. چیزی که تشخیص آن را برای ابزارهای امنیتی بسیار دشوارتر می‌کند. به گفته کارشناسان، این تکنیک امکان می‌دهد که فعالیت مهاجمین شبیه به رفتاری روزمره کاربران عادی دیده شود و احتمال شناسایی کاهش یابد.

زنجیره حمله Tomiris  و ابزارهای مورد استفاده

روش معمول نفوذ گروه Tomiris به شرح زیر است:

1. ارسال ایمیل spear-phishing به اهداف دولتی/دیپلماتیک با نام‌ها و زبان‌های روسی یا زبان کشورهای آسیای مرکزی (مثل ترکمنستان، قرقیزستان، تاجیکستان و ازبکستان).
2. در ایمیل فایل RAR رمزگذاری‌شده قرار دارد. رمز معمولاً در همان ایمیل ذکر شده است.
3. داخل RAR یک فایل اجرایی است که با پسوند .doc.exe جعل شده. به شکلی که مانند یک سند Word به نظر برسد. اجرای این فایل، یک reverse shell به زبان C/C++ روی سیستم قربانی ایجاد می‌کند. این shell اطلاعات سیستم را جمع‌آوری کرده، رجیستری ویندوز را برای پایداری (persistence) تغییر می‌دهد و سپس به سرور C2 متصل می‌شود تا payload بعدی (مثل AdaptixC2) را دانلود کند.
4. در موارد دیگر، بدافزارهای دیگر، به شکل downloader به زبان Rust، یا backdoor به زبان Python اجرا می‌شوند که از طریق پیام‌رسان‌هایی چون Discord یا Telegram با مهاجم ارتباط برقرار می‌کنند. مثلاً فایل‌های VBS و PowerShell مترادف اجرا می‌شوند، payload بعدی دانلود می‌شود، یا یک backdoor موسوم به Distopia (مبتنی بر پروژه open-source dystopia-c2) نصب می‌گردد.
5. فهرست زبان‌ها و تکنولوژی‌های مورد استفاده بسیار متنوع است: C#, Go, Rust, Python, C/C++, PowerShell که همین تنوع باعث می‌شود شناسایی براساس امضا (signature) بسیار سخت شود.

این ترکیب از روش‌ها spear phishing، بدافزار چندزبانه، C2 مخفی در سرویس‌های عمومی و فریم‌ورک‌های post-exploitation همگی نشان‌دهنده سطح بالای مهارت و آمادگی Tomiris در عملیات­‌های پیشرفته ‌ APT-likeاست.

اهداف و دامنه حملات

🎯 قربانیان اصلی این کمپین، «زیرساخت‌های سیاسی و دیپلماتیک با ارزش» هستند: وزارت‌خانه‌ها، سازمان‌های بین‌دولتی و نهادهای دولتی

🎯 برخلاف بسیاری از گروه‌های سایبری که باج‌افزار یا حملات مالی انجام می‌دهند، تمرکز Tomiris بیشتر بر جاسوسی، جمع‌آوری اطلاعات و حفظ دسترسی بلندمدت (persistent access) است.

🎯 توجه ویژه Tomiris به زبان روسی و زبان کشورهای آسیای مرکزی (در ایمیل‌ها و محتوای فیشینگ) نشان می‌دهد که شاید هدف اصلی آنها، نهادهای دولتی یا دیپلماتیک در همان مناطق باشد اما قابلیت اجرای حملات مشابه به دیگر کشورها نیز وجود دارد.

اهمیت و خطرات این تغییر روش برای امنیت سایبری

1. استتار بالا : استفاده از سرویس‌های عمومی شناخته‌شده باعث می‌شود ترافیک مخرب به‌راحتی با ترافیک عادی تداخل داده شود و امنیت شبکه و ابزارهای تشخیص معمول ممکن است آن را نادیده بگیرند.
2. تنوع و انعطاف ابزارها : استفاده از زبان‌ها و روش‌های مختلف (C, Rust, Go, Python، PowerShell و …) تشخیص مبتنی بر امضا را بی‌اثر می‌کند.
3. تمرکز بر اهداف حساس : چون قربانیان دولت و دیپلماسی هستند، داده‌هایی که ممکن است لو رود می‌توانند پیامدهای سیاسی گسترده‌ای داشته باشند. این یعنی تأثیر بلندمدت و خطر جدی برای امنیت ملی.
4. دشواری دفاع : سازمان‌هایی که دسترسی به Telegram یا Discord دارند، اگر محدودیت دقیق egress یا فیلترهای مناسب نداشته باشند، ممکن است به راحتی آلوده شوند. ابزارهای معمولی حفاظت (مثل firewall ساده) ممکن است کافی نباشند.

توصیه‌هایی برای محافظت در برابر Tomiris

با توجه به تاکتیک‌های جدید Tomiris، این اقدامات کلیدی به نهادها و سازمان‌ها پیشنهاد می‌شود:

✔️ محدود کردن یا کنترل دقیق دسترسی به سرویس‌های عمومی مثل Telegram و Discord در شبکه سازمانی (به ویژه در بخش‌هایی که اطلاعات حساس نگه می‌دارند).

✔️ استفاده از ابزارهای پیشرفته‌تر Endpoint Detection & Response (EDR) و تحلیل رفتار (Behavioral Analysis) به جای صرفاً ابزارهای مبتنی بر امضا.

✔️ تقویت سیاست‌های امنیت ایمیل: فعال کردن فیلتر ضد فیشینگ، هشدار بر روی فایل‌های آرشیو رمزگذاری‌شده، و آموزش کاربران برای شک به ایمیل‌های مشکوک حتی اگر از منابع شناخته شده به نظر برسند.

✔️ جداسازی شبکه‌های حساس (نهادهای سیاسی، دیپلماتیک) از شبکه عمومی، اعمال سیاست‌های سختگیرانه و مانیتورینگ دقیق ترافیک خروجی (خصوصاً اتصال به سرورهای پیام‌رسان).

✔️ به‌روزرسانی مداوم سیستم‌ها و نرم‌افزارها، و بررسی سیستم برای هرگونه بدافزار یا رفتار غیرمعمول (مثلاً اتصال غیرعادی به Telegram / Discord، فایل اجرا شده با نام مستعار .doc.exe)

نتیجه‌گیری

گزارش جدید درباره Tomiris زنگ خطری جدی برای بازیگران دولتی، دیپلماتیک و سازمان‌های بین‌المللی است: وقتی یک گروه مهاجم با استفاده از سرویس‌های عمومی و زیرساخت قانونی، ابزارهای جاسوسی و نفوذ را پنهان می‌کند، دفاع سنتی مبتنی بر توقّع رفتار مشکوک به‌شدت ناکارآمد می‌شود.
تغییر تاکتیک یعنی حرکت از سرورهای خصوصی به پیام‌رسان‌های عمومی مثل Telegram و Discord نمونه‌ای واضح از چگونگی تطور تهدیدات سایبری در دوره کنونی است.
بنابراین سازمان‌ها باید رویکرد امنیتی خود را بازنگری کنند: به ابزارهای پیشرفته‌تر مجهز شوند، آموزش دهند، و سیاست‌های امنتی‌شان را بر پایه واقعیت‌های جدید بازطراحی کنند.