Кибератаки на государственные и дипломатические структуры России продолжаются

Государственные учреждения и дипломатические службы России подвергаются масштабным кибератакам. Специалисты «Лаборатории Касперского» зафиксировали продолжающуюся с начала 2025 года кампанию кибершпионажа, осуществляемую группой Tomiris. Основные цели атак — государственные и дипломатические структуры в России и странах СНГ. Злоумышленники используют целевые фишинговые рассылки с вредоносными архивами для первоначального доступа к системам. Согласно данным «Лаборатории Касперского», более тысячи пользователей столкнулись с действиями группы Tomiris в ноябре 2025 года. Хакеры отправляют таргетированные фишинговые письма, содержащие вредоносные архивы, где исполняемые файлы замаскированы под легитимные документы. Содержание этих документов тщательно адаптировано под конкретную организацию и страну. Например, одной из приманок стало письмо с просьбой оставить отзыв на «Проекты по развитию регионов России». При открытии файла устройство заражается. Фишинг — это вид мошенничества, при котором злоумышленник вынуждает пользователя совершить действие, позволяющее ему получить доступ к ИТ-системе устройства, учётным записям или персональным данным. Анализ экспертов по информационной безопасности показал, что более половины таргетированных фишинговых писем и файлов-приманок содержат текст на русском языке. Это указывает на то, что основными жертвами должны были стать русскоязычные пользователи, что подтверждает фокус ИТ-атак на русскоязычные организации. Остальные письма были адаптированы для Туркменистана, Киргизии, Таджикистана и Узбекистана и составлены на соответствующих языках. Впервые о деятельности Tomiris сообщили ИБ-специалисты «Лаборатории Касперского» в 2021 году. Тогда группа также фокусировалась на кибератаках на государственные структуры в СНГ с целью кражи внутренних документов. Для закрепления в скомпрометированных ИТ-системах APT-группа Tomiris использует различные виды вредоносных имплантов. На начальном этапе внедряются реверс-шеллы, написанные на разных языках программирования. Затем развёртываются дополнительные ИТ-инструменты, такие как фреймворки AdaptixC2 и Havoc. В некоторых случаях в роли C2-серверов выступают публичные ИТ-платформы Telegram и Discord. Эксперт по кибербезопасности в «Лаборатории Касперского» Олег Купреев отметил, что злоумышленники, вероятно, пытаются скрыть вредоносный трафик среди легитимной активности этих ИТ-сервисов.