سرايا - كشف تقرير جديد لشركة كاسبرسكي أن مجموعة القرصنة الروسية الناطقة بالروسية Tomiris عدلت استراتيجيتها خلال 2025، لتوجه هجماتها نحو الوزارات الحكومية والمنظمات الدولية والمؤسسات ذات الثقل السياسي.
وبحسب التقرير، شهد مطلع العام موجة من الاختراقات اعتمدت فيها المجموعة على ترسانة واسعة من البرمجيات الخبيثة المكتوبة بلغات متعددة، بينها Go وRust وPython وPowerShell، في خطوة تهدف إلى رفع مستويات الإخفاء وإرباك محاولات تتبع الهجمات.
اختراقات تختبئ داخل "تليغرام" و"ديسكورد" وتقول "كاسبرسكي" إن Tomiris باتت تُخفي خوادم التحكم والسيطرة الخاصة بها داخل خدمات عامة مثل "تليغرام" و"ديسكورد"، ما يسمح بتمرير حركة البيانات الخبيثة داخل تدفقات رسائل مشفرة تبدو طبيعية.
وتستخدم المجموعة نسخاً متعددة من أدوات التحكم عن بُعد Reverse Shells المكتوبة بلغة بايثون، سواء عبر "تيليغرام" أو "ديسكورد"، لتلقي الأوامر وسحب البيانات المسروقة بمنتهى السلاسة.
اصطياد الضحايا عبر رسائل تصيد مكتوبة بالروسية وتتم أغلب عمليات الاختراق عبر رسائل تصيد احترافية تُكتب باللغة الروسية. وبعد إصابة الجهاز ببرمجيات المرحلة الأولى، يتجسس المهاجمون، يجمعون الأوامر، ثم يطلقون برمجيات المرحلة الثانية.
ويضيف التقرير أن أدوات مثل Havoc وAdaptixC2 تظهر لاحقاً لضمان الثبات داخل الشبكة، والتنقل بين الأجهزة، والسيطرة الكاملة على الأنظمة.
وتستهدف أكثر من نصف رسائل التصيد أفراداً ومؤسسات روسية، بينما تتركز باقي الهجمات في دول آسيا الوسطى مثل تركمانستان وقيرغيزستان وطاجيكستان وأوزبكستان، ما يعكس أنشطة موجهة لا تحمل طابع الجريمة الإلكترونية العشوائية، بل عمليات تجسس على مستوى الدول.
تهديد متصاعد يستدعي تقنيات رصد متقدمة وخَلص تقرير "كاسبرسكي" إلى أن تطور تكتيكات Tomiris يؤكد تركيزها على العمل بسرية تامة والبقاء داخل الشبكات لفترات طويلة، إلى جانب استهداف كيانات حكومية وحساسة بعناية.
كما شدد على أن استخدام خدمات عامة للتواصل بين البرمجيات الخبيثة، إلى جانب تنوع اللغات المستخدمة في تطويرها، يفرض على المؤسسات اعتماد تحليل سلوكي ورصد أعمق لحركة الشبكات لاكتشاف هذه الهجمات والحد منها قبل أن تتفاقم.
وبحسب التقرير، شهد مطلع العام موجة من الاختراقات اعتمدت فيها المجموعة على ترسانة واسعة من البرمجيات الخبيثة المكتوبة بلغات متعددة، بينها Go وRust وPython وPowerShell، في خطوة تهدف إلى رفع مستويات الإخفاء وإرباك محاولات تتبع الهجمات.
اختراقات تختبئ داخل "تليغرام" و"ديسكورد" وتقول "كاسبرسكي" إن Tomiris باتت تُخفي خوادم التحكم والسيطرة الخاصة بها داخل خدمات عامة مثل "تليغرام" و"ديسكورد"، ما يسمح بتمرير حركة البيانات الخبيثة داخل تدفقات رسائل مشفرة تبدو طبيعية.
وتستخدم المجموعة نسخاً متعددة من أدوات التحكم عن بُعد Reverse Shells المكتوبة بلغة بايثون، سواء عبر "تيليغرام" أو "ديسكورد"، لتلقي الأوامر وسحب البيانات المسروقة بمنتهى السلاسة.
اصطياد الضحايا عبر رسائل تصيد مكتوبة بالروسية وتتم أغلب عمليات الاختراق عبر رسائل تصيد احترافية تُكتب باللغة الروسية. وبعد إصابة الجهاز ببرمجيات المرحلة الأولى، يتجسس المهاجمون، يجمعون الأوامر، ثم يطلقون برمجيات المرحلة الثانية.
ويضيف التقرير أن أدوات مثل Havoc وAdaptixC2 تظهر لاحقاً لضمان الثبات داخل الشبكة، والتنقل بين الأجهزة، والسيطرة الكاملة على الأنظمة.
وتستهدف أكثر من نصف رسائل التصيد أفراداً ومؤسسات روسية، بينما تتركز باقي الهجمات في دول آسيا الوسطى مثل تركمانستان وقيرغيزستان وطاجيكستان وأوزبكستان، ما يعكس أنشطة موجهة لا تحمل طابع الجريمة الإلكترونية العشوائية، بل عمليات تجسس على مستوى الدول.
تهديد متصاعد يستدعي تقنيات رصد متقدمة وخَلص تقرير "كاسبرسكي" إلى أن تطور تكتيكات Tomiris يؤكد تركيزها على العمل بسرية تامة والبقاء داخل الشبكات لفترات طويلة، إلى جانب استهداف كيانات حكومية وحساسة بعناية.
كما شدد على أن استخدام خدمات عامة للتواصل بين البرمجيات الخبيثة، إلى جانب تنوع اللغات المستخدمة في تطويرها، يفرض على المؤسسات اعتماد تحليل سلوكي ورصد أعمق لحركة الشبكات لاكتشاف هذه الهجمات والحد منها قبل أن تتفاقم.
شارك المقال:
الرجاء الانتظار ...
التعليقات