O grupo de cibercriminosos conhecido como Tomiris tem sido associado a uma série de ataques direcionados a ministérios estrangeiros, organizações intergovernamentais e entidades governamentais na Rússia, com o objetivo de estabelecer acesso remoto e implantar ferramentas adicionais. A Kaspersky destaca uma mudança nas táticas do grupo, que agora utiliza serviços públicos como Telegram e Discord como servidores de comando e controle (C2), misturando tráfego malicioso com atividades legítimas para evitar a detecção. Mais de 50% dos e-mails de spear-phishing utilizados na campanha continham nomes e textos em russo, indicando que o foco principal são usuários de língua russa, além de alvos em países da Ásia Central. Os ataques utilizam uma combinação de shells reversos, implantes personalizados e frameworks de C2 de código aberto, como Havoc e AdaptixC2. A evolução das táticas do Tomiris enfatiza a importância da furtividade e da persistência a longo prazo, visando especificamente organizações governamentais e intergovernamentais. A Kaspersky alerta que a campanha de 2025 do Tomiris utiliza módulos de malware multilíngues para aumentar a flexibilidade operacional e evitar detecções.
Fonte: https://thehackernews.com/2025/12/tomiris-shifts-to-public-service.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
01/12/2025 • Risco: ALTO
MALWARE
Grupo Tomiris intensifica ataques a entidades governamentais
RESUMO EXECUTIVO
A campanha do Tomiris representa uma ameaça significativa para a segurança cibernética, com táticas que podem ser aplicadas a diversas organizações. A utilização de serviços de comunicação populares como C2 aumenta a complexidade da detecção e resposta a incidentes, exigindo atenção especial dos líderes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos associados à recuperação de dados e mitigação de danos.
Operacional
Comprometimento de infraestrutura política e diplomática.
Setores vulneráveis
['Governo', 'Diplomacia', 'Setor público']
📊 INDICADORES CHAVE
Mais de 50% dos e-mails de spear-phishing utilizam nomes russos.
Indicador
Três versões diferentes do malware foram detectadas em 2025.
Contexto BR
Campanha direcionada a países da Ásia Central com conteúdo em suas línguas nacionais.
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar logs de e-mail e sistemas de segurança para identificar atividades suspeitas.
2
Implementar filtros de segurança para bloquear e-mails de phishing e monitorar tráfego de rede em busca de conexões com Telegram e Discord.
3
Monitorar continuamente a atividade de rede e os sistemas para detectar qualquer comportamento anômalo.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a evolução das táticas de grupos APT, que podem impactar a segurança de dados sensíveis e a integridade das operações governamentais.
⚖️ COMPLIANCE
Implicações legais relacionadas à proteção de dados e à conformidade com a LGPD.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
