أطلق مؤخرا، تحقيقا جديدا حول مجموعة للتهديدات المستمرة المتقدمة «توميريس»Tomiris APT التي تركز على جمع المعلومات في آسيا الوسطى. وتستخدم المجموعة اللغة الروسية، وتعتمد على مجموعة واسعة من عمليات زرع البرامج الخبيثة التي تم تطويرها بوتيرة سريعة وفي جميع لغات البرمجة التي قد يصعب إحصاؤها، بهدف إعاقة إي عمليات إسناد محتملة. ولاحظ باحثو «كاسبرسكي» بشكل خاص أن مجموعة «توميريس» تنشر برامج خبيثة كانت مرتبطة سابقاً بمجموعة التهديدات المستمرة المتقدمة «تورلا» سيئة السمعة. وكانت كاسبرسكي قد قدمت وصفاً علناً لمجموعة «توميريس» لأول مرة في سبتمبر 2021، وجاء ذلك بعد التحقيق في عملية اختطاف «نظام أسماء النطاقات» DNS طالت منظمة حكومية في رابطة الدول المستقلة. وفي ذلك الوقت، لاحظ الباحثون وجود أوجه تشابه غير حاسمة مع حادثة اختراق شركة «سولار ويندس». وواصل الفريق عملية تتبع «توميريس» بصفتها الجهة المنفصلة القائمة على التهديد خلال عدة حملات هجومية جديدة بين العامين 2021 و 2023، وأتاحت قراءات كاسبرسكيفي إلقاء الضوء على حزمة من الأدوات التي توظفها المجموعة وارتباطها المحتمل بمجموعة «تورلا». وتستهدف الجهة القائمة بالتهديد الكيانات الحكومية والدبلوماسية في رابطة الدول المستقلة من أجل سرقة الوثائق الداخلية. وتبين أن الضحايا الذين طالهم الضرر في مناطق أخرى مثل الشرق الأوسط أو جنوب شرق آسيا يرتبطون بتمثيل أجنبي مع دول رابطة الدول المستقلة، الأمر الذي يوضح التركيز ضيق النطاق لمجموعة «توميريس». وتلاحق هذه المجموعة ضحاياها باستخدام مجموعة متنوعة من نواقل الهجوم؛ بما في ذلك رسائل البريد الإلكتروني المخادعة المرفقة ذات المحتوى الخبيث(تكون على شكل أرشيفات محمية بكلمة مرور ومستندات ضارة والروابط المسلحة المستخدمة لتثبيت البرامج الخبيثة). وأيضا اختطاف «نظام أسماء النطاقات» DNS، واستغلال نقاط الضعف (على وجه التحديد «الثغرة الأمنية المصادق عليها مسبقاً» أو ما يسمّىProxyLogon)، وهجمات التنزيل drive-by downloadsالمشتبه بها وغيرها من الأساليب «الإبداعية». ومن أهم ما يميز العمليات الأخيرة التي نفذتها مجموعة «توميريس» الخاصة أنها استفادت من البرامج الخبيثة KopiLuwak و TunnusSched التي كانت متصلة سابقاً بمجموعة «تورلا». ورغم مشاركة هذه المجموعة من الأدوات، يوضح أحدث بحث أجرته كاسبرسكي أن يحمل ارتباط كل من «تورلا» و «توميريس»بجهتي تمثيل منفصلتين لكن يمكنهما تبادل الطرق والأدوات مع بعضهما. ومن المؤكد أن مجموعة «توميريس» تتحدث باللغة الروسية، لكن عمليات وممارسات الاستهداف التي تقوم بها تتعارض بشكل كبير مع سلوك «تورلا». وعلاوة على ذلك، يختلف نهج التدخل العام لمجموعة «توميريس» واهتمامها المحدود بالتسلل مع الطريقة الموثقة التي تعتمدها «تورلا»، ومع ذلك، يعتقد باحثو كاسبرسكي أن مشاركة الأدوات تعد بمثابة دليل محتمل على وجود نوع من التعاون القائم بين هاتين المجموعتين، علماً أنه قد يصعب تقييم مدى هذا التعاون. وفي جميع الأحوال، ونظراً للوقت المحدد الذي بدأت فيه مجموعة «توميريس» استخدام أدوات KopiLuwak، قد يحتاج الأمر إلى إعادة تقييم عدد من الحملات والأدوات التي يعتقد أنها مرتبطة بمجموعة «تورلا».