Cyberthreat.id - Penjahat siber berbahasa Rusia, Tomiris, ditemukan secara konsisten mencuri dokumen dengan target entitas pemerintah dan diplomatik Commonwealth of Independent States (CIS) -- Persemakmuran Negara-negara Merdeka yang didirikan pada tanggal 8 Desember 1991 oleh Belarus, Rusia, dan Ukraina

Aksi di balik backdoors yang berfukos pada pengumpulan intelijen di Asia Tenga tersebut merupakan temuan baru yang diungkap Kaspersky. 

"Permainan akhir Tomiris secara konsisten tampaknya adalah pencurian dokumen internal secara rutin," kata peneliti keamanan Pierre Delcher dan Ivan Kwiatkowski dalam sebuah analisis yang diterbitkan pada Senin 24 April 2023 sebagaimana dikutip The Hacker News. 

Penilaian terbaru perusahaan keamanan siber Rusia didasarkan pada tiga kampanye serangan baru yang dipasang oleh kru peretasan antara tahun 2021 dan 2023.

Tomiris pertama kali terungkap pada September 2021 ketika Kaspersky menyoroti potensi hubungannya dengan Nobelium (alias APT29, Cozy Bear, atau Midnight Blizzard), kelompok negara-bangsa Rusia di balik serangan rantai pasokan SolarWinds.

Kesamaan juga ditemukan antara backdoor dan jenis malware lain yang dijuluki Kazuar, yang dikaitkan dengan grup Turla (alias Krypton, Secret Blizzard, Venomous Bear, atau Uroburos).

Serangan spear-phishing yang dilakukan oleh kelompok tersebut telah memanfaatkan "alat polyglot" yang terdiri dari berbagai implan "burner" dengan kecanggihan rendah yang dikodekan dalam bahasa pemrograman yang berbeda dan berulang kali digunakan untuk target yang sama.

Selain menggunakan open source atau alat ofensif yang tersedia secara komersial seperti RATel dan Warzone RAT (alias Ave Maria), persenjataan malware khusus yang digunakan oleh grup termasuk dalam salah satu dari tiga kategori: downloaders, backdoors, dan information stealers.

• Telemiris - Backdoors Python yang menggunakan Telegram sebagai saluran perintah-dan-kontrol (C2).
• Roopy - Pencuri file berbasis Pascal yang dirancang untuk menyimpan file yang menarik setiap 40-80 menit dan mengekstraknya ke server jarak jauh.
• JLORAT - Pencuri file yang ditulis dalam Rust yang mengumpulkan informasi sistem, menjalankan perintah yang dikeluarkan oleh server C2, mengunggah dan mengunduh file, dan menangkap tangkapan layar.

Investigasi Kaspersky atas serangan tersebut selanjutnya mengidentifikasi tumpang tindih dengan klaster Turla yang dilacak oleh Mandiant milik Google dengan nama UNC4210, mengungkap bahwa implan QUIETCANARY (alias TunnusSched) telah dikerahkan terhadap target pemerintah di CIS melalui Telemiris.

"Lebih tepatnya, pada 13 September 2022, sekitar pukul 05:40 UTC, seorang operator mencoba untuk menyebarkan beberapa implan Tomiris yang diketahui melalui Telemiris: pertama pemuat Python Meterpreter, kemudian JLORAT dan Roopy," kata para peneliti.

"Upaya ini digagalkan oleh produk keamanan, yang membuat penyerang melakukan upaya berulang kali, dari berbagai lokasi di sistem file. Semua upaya ini berakhir dengan kegagalan. Setelah jeda satu jam, operator mencoba lagi pada pukul 07:19 UTC, ini menggunakan sampel TunnusSched/QUIETCANARY. Sampel TunnusSched juga diblokir."

Meskipun demikian, terlepas dari potensi hubungan antara kedua kelompok tersebut, Tomiris dikatakan terpisah dari Turla karena perbedaan penargetan dan perdagangan mereka, sekali lagi meningkatkan kemungkinan operasi bendera palsu.

Di sisi lain, juga sangat mungkin bahwa Turla dan Tomiris berkolaborasi dalam operasi tertentu atau bahwa kedua pelaku bergantung pada penyedia perangkat lunak yang sama, seperti yang dicontohkan oleh penggunaan alat oleh badan intelijen militer Rusia yang dipasok oleh kontraktor TI yang berbasis di Moskow bernama NTC Vulkan.

"Secara keseluruhan, Tomiris adalah aktor yang sangat gesit dan teguh, terbuka untuk eksperimen," kata para peneliti, menambahkan "ada bentuk kerja sama yang disengaja antara Tomiris dan Turla."[]