تصعيد سيبراني جديد.. مجموعة «Tomiris» توسع هجماتها نحو المؤسسات الحكومية خلال 2025

فنتيك جيت: منار أسامة

شهد عام 2025 تحولاً ملحوظاً في أساليب عمل مجموعة قرصنة ناطقة بالروسية تُعرف باسم Tomiris، بعد أن وجّهت أنشطتها بشكل متزايد نحو الوزارات الحكومية والمنظمات الدولية والجهات ذات التأثير السياسي.

وأظهرت التطورات اعتماد المجموعة على مجموعة متنوعة من البرمجيات الخبيثة المطورة بلغات متعددة، من بينها Go وRust وPython وPowerShell، بهدف تعزيز التخفي وزيادة تعقيد تتبع مصادر الهجمات.

وتبيّن أن خوادم التحكم والسيطرة بدأ إخفاؤها داخل منصات تواصل شائعة مثل Telegram وDiscord. ما يسمح بتمرير البيانات الخبيثة عبر قنوات اتصال مشفرة تبدو طبيعية، ويصعّب اكتشاف الأنشطة الضارة.

كما تستخدم المجموعة أدوات تحكم عن بعد من نوع Reverse Shells مكتوبة بلغة Python. لاستقبال التعليمات وسحب البيانات من الأنظمة المصابة دون إثارة الانتباه.

التجسس والسيطرة الكاملة

وتعتمد عمليات الاختراق في معظمها على رسائل تصيّد مكتوبة باللغة الروسية. تستخدم لاختراق الأجهزة في مراحلها الأولى، قبل تثبيت أدوات أكثر تقدّماً تتيح التجسس والسيطرة الكاملة على الأنظمة. وتبرز خلال المراحل المتقدمة أدوات تشغيل خبيثة مثل Havoc وAdaptixC2. لتعزيز الثبات داخل الشبكات والتنقل بين الأجهزة المصابة.

وتتركز نسبة كبيرة من الهجمات داخل روسيا، بينما توسعت أخرى إلى دول آسيا الوسطى. من بينها تركمانستان وقرجيزستان وطاجيكستان وأوزبكستان. بما يعكس نشاطاً منظّماً بعيداً عن أنماط الجريمة الإلكترونية العشوائية.

وتشير المعطيات إلى تصاعد مستوى التهديد السيبراني خلال العام الجاري. الأمر الذي يستدعي اعتماد أنظمة رصد متقدمة وتحليل سلوكي لحركة الشبكات من أجل الحد من تأثير هذه الهجمات قبل اتساع نطاقها.

في هذا السياق، ومن ناحية أخرى، هناك العديد من الأخبار المرتبطة بالقطاع والتي يمكنك متابعتها:

• «جروب-آي بي» تطلق منصة لاستخبارات الاحتيال السيبراني لتعزيز المنظومات المالية والرقمية في الإمارات
• وزارة «الاستثمار السعودية» تعلن عن استثمارات تتجاوز 500 مليون ريال في الأمن السيبراني خلال «بلاك هات 2025»