كشف تقرير أمني حديث عن عودة نشاط مجموعة قراصنة تُعرف باسم “توميريس” (Tomiris)، والتي صنفت كتهديد مستمر متقدم (APT)، بشن حملة هجمات إلكترونية متطورة تستهدف بشكل أساسي وزارات خارجية وجهات حكومية حول العالم. وقد لوحظ بأن هذه الحملات بدأت تتخذ شكلاً منظماً منذ بداية عام 2025.
بدأت المجموعة في الآونة الأخيرة بتغيير استراتيجياتها التشغيلية للتركيز بشكل أكبر على البنية التحتية الدبلوماسية ذات القيمة العالية. وتمكنت “توميريس” من تعزيز قدراتها على تجاوز الإجراءات الأمنية التقليدية، مع الحفاظ على بصمة منخفضة داخل الشبكات المخترقة.
حملات “توميريس” الإلكترونية وتكتيكاتها المحدثة
تعتمد الهجمات عادةً على رسائل تصيد احتيالي (spear-phishing) دقيقة، تتضمن ملفات مضغوطه محمية بكلمات مرور. وغالباً ما يقوم المهاجمون بإخفاء الملفات التنفيذية الضارة، وذلك باستخدام امتدادات مزدوجة أو خداع الضحايا عبر أيقونات مستندات أوفيس، مما يضمن عدم اكتشاف مسار الإصابة الأولي.
من اللافت أن كلمات المرور المستخدمة لتلك الملفات المضغوطة غالباً ما تتبع نمطاً يمكن توقعه، مثل “min@2025”. ورغم بساطة هذا الإجراء، إلا أنه نجح في تجاوز أدوات المسح الآلي للبريد الإلكتروني.
بمجرد تنشيط هذه الملفات، تبدأ سلسلة من الأحداث التي تهدف إلى ترسيخ وجود المجموعة داخل النظام ونشر أدوات وبرامج خلفية ضارة إضافية. وفي هذا السياق، لاحظ محللون أمنيون في Securelist أن “توميريس” بدأت تستخدم خدمات عامة مثل Telegram و Discord لتسهيل الاتصالات بين وحدات القيادة والتحكم (C2).
هذا التطور التكتيكي يسمح لحركة المرور الضارة بالاندماج بسلاسة مع نشاط الشبكة الشرعي، مما يزيد من صعوبة اكتشافها والتصدي لها من قبل فرق الأمن. ومن جهة أخرى، بدأت المجموعة في نشر أطر عمل مفتوحة المصدر خاصة بمرحلة ما بعد الاستغلال، مثل Havoc و AdaptixC2. وهذا يشير إلى تحول نحو سلاسل هجوم أكثر مرونة وقابلية للتكيف.
وقد أكد المحللون أن هذا المزيج من الأدوات المخصصة والمفتوحة المصدر يجعل عملية تحديد هوية المهاجمين وتخفيف آثار هجماتهم تحدياً كبيراً للمدافعين.
آلية التنزيل باستخدام لغة Rust
أحد المكونات البارزة في هذه الحملة هو ما يبدو أنه أداة جديدة وغير موثقة سابقاً، وهي “Tomiris Rust Downloader”. على عكس أدوات استخراج البيانات التقليدية، تقوم هذه الأداة بعمليات استطلاع موجهة عبر فحص محركات الأقراص بحثاً عن أنواع معينة من الملفات الحساسة، مثل ملفات PDF و DOCX و XLSX.
من المثير للاهتمام أنها لا تقوم بسرقة هذه الملفات على الفور. بدلاً من ذلك، تقوم بتجميع قائمة بمسارات الملفات وإرسال هذه البيانات إلى واجهة برمجية (Discord webhook) عبر طلب POST متعدد الأجزاء. تستخدم البرمجية الضارة حقلاً يسمى “payload_json” لمعلومات النظام، وحقلاً آخر يسمى “file” لقائمة المسارات، مما يضمن تنسيقاً منظماً لاستخراج البيانات.
تمت برمجة البرمجية الضارة لتجنب الكشف من خلال تجاهل مجلدات محددة، مثل “Program Files” و “Windows” و “AppData”. بعد إرسال قائمة الملفات بنجاح، يقوم برنامج التنزيل بإنشاء نص برمجي بلغة Visual Basic (script.vbs) يقوم بتنفيذ نص برمجي آخر بلغة PowerShell (script.ps1).
يحتوي هذا النص البرمجي على حلقة تحاول استرداد حمولة ثانوية، غالباً ما تكون ملفاً مضغوطاً يحتوي على ملفات تنفيذية إضافية، كل دقيقة. هذا النهج الدقيق في الاستطلاع والتسليم المرحلي يسلط الضوء على نية المجموعة البقاء غير مكتشفة مع تحديد منهجي للبيانات ذات القيمة العالية للاستخراج والاستغلال المستقبلي.