Aanvallers hebben eind vorig jaar en begin dit jaar de dns van verschillende overheidsdomeinen van een ex-Sovjetland gekaapt en vervolgens gebruikt voor een geraffineerde phishingaanval. Dat meldt antivirusbedrijf Kaspersky in een analyse. Door de dns-kaping konden de aanvallers verschillende domeinnamen gebruikt voor webmail naar hun eigen servers laten wijzen.

Voor gebruikers viel de phishingaanval niet op, aangezien ze de originele domeinnaam bezochten en er ook een beveiligde verbinding werd gebruikt. De website in kwestie was echter een phishingsite die ingevoerde inloggegevens verzamelde. Daarnaast was op de phishingsite een bericht geplaatst dat een aangeboden beveiligingsupdate moest worden geïnstalleerd om van de e-maildienst gebruik te blijven maken. In werkelijkheid ging het om malware.

De malware installeerde weer andere malware die door Kaspersky "Tomiris" wordt genoemd. Volgens Kaspersky zijn er mogelijke verbanden tussen deze malware en de malware die de aanvallers achter de SolarWinds-aanval gebruikten. Tegen welke land de Tomiris-malware en phishingaanval is ingezet wordt niet door de virusbestrijder vermeld.