أطلقت مجموعة تجسس سيبراني متطورة تُعرف باسم “أمارانث دراجون” (Amaranth-Dragon) سلسلة من الهجمات الموجّهة ضد وكالات حكومية وإنفاذ القانون في جنوب شرق آسيا. وقد رصدت حملات هذه المجموعة، التي نشطت طوال عام 2025، اهتماماً كبيراً بجمع المعلومات الجيوسياسية، حيث تزامن العديد من عملياتها مع أحداث سياسية محلية هامة.
تركزت جهود الجهات الفاعلة في مجال التهديد على دول محددة تشمل تايلاند وسنغافورة والفلبين، مستخدمةً طُعماً دقيقاً للتسلل إلى شبكات حساسة. وتكمن الخطورة في استغلال ثغرة أمنية حرجة في برنامج WinRAR، وهو برنامج ضغط ملفات شائع الاستخدام.
استغلال ثغرة WinRAR لتحقيق اختراق مستمر
تُعرف هذه الثغرة بالمعرّف CVE-2025-8088، وهي تسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية على أنظمة الضحايا من خلال إنشاء ملفات أرشيف خبيثة. ومن خلال استغلال هذه الثغرة، يستطيع المهاجمون تجاوز الإجراءات الأمنية التقليدية وإقامة موطئ قدم داخل الشبكات الحكومية الحساسة.
وقد كشفت تحليلات خبراء شركة “تشيك بوينت” (Check Point) عن وجود تداخلات كبيرة بين هذه الأنشطة وترسانة مجموعة APT-41، وهي مجموعة تم ربطها سابقًا بمصالح الدولة الصينية. تشير التحليلات إلى أن “أمارانث دراجون” تعمل ضمن المنطقة الزمنية UTC+8 وتستخدم أدوات تشبه إلى حد كبير تلك التي تستخدمها مجموعة التهديد سيئة السمعة.
يشير هذا الارتباط إلى وجود موارد مشتركة أو رابط تشغيلي مباشر بين الكيانين، مما يدل على جهد منظم وعالي الموارد خلف هذه الاختراقات، مما يشكل خطراً جسيماً على الاستقرار الإقليمي.
سلسلة الهجوم وتكتيكات الاستمرار
تبدأ عملية الإصابة عادةً بتسليم ملفات أرشيف RAR المعادية، غالباً عبر رسائل بريد إلكتروني للتصيد الاحتيالي المصممة لخداع الضحايا لفتح المرفقات. بمجرد معالجة الأرشيف، تقوم الثغرة بتشغيل تسلسل يقوم بإنزال برنامج نصي خبيث مباشرة في مجلد “البدء” (Startup) الخاص بالنظام.
يضمن هذا أن يتم تنفيذ البرمجيات الخبيثة تلقائياً في كل مرة يعيد فيها الضحية تشغيل جهازه، مما يمنح المهاجمين استمرارية الوصول دون الحاجة إلى امتيازات المسؤول. بعد الاختراق الأولي، ينشر المهاجمون حمولة مخصصة تُعرف باسم “أمارانث لودر” (Amaranth Loader).
يتولى هذا المُحمّل مسؤولية جلب الحمولات المشفرة من خوادم القيادة والتحكم، والتي غالباً ما تكون محمية بخدمات شرعية مثل Cloudflare لتجنب الكشف. الهدف النهائي هو نشر إطار عمل “هافوك” (Havoc Framework)، وهو أداة مفتوحة المصدر لاحقة للاستغلال تمنح المهاجمين تحكماً عن بعد مستمراً والقدرة على استخراج البيانات الحساسة.
تفاصيل تقنية لسلسلة الإصابة
يعتمد التنفيذ التقني لهذا الهجوم بشكل كبير على التلاعب الدقيق بمسارات الملفات داخل أرشيف RAR. عندما يحاول المستخدم استخراج الملف الخبيث، تفشل الثغرة CVE-2025-8088 في تعقيم مسار الوجهة بشكل صحيح. يسمح هذا الفشل للمهاجمين بكتابة ملفات خارج مجلد الاستخراج المقصود.
| معرف الثغرة | المنتج المتأثر | نوع الثغرة | تاريخ الإفصاح | التأثير |
|---|---|---|---|---|
| CVE-2025-8088 | WinRAR (إصدار ويندوز) | تجاوز المسار | 8 أغسطس 2025 | تنفيذ تعليمات برمجية عشوائية: يسمح للمهاجمين عن بعد بإنشاء ملفات في مجلدات حساسة، مثل مجلد بدء تشغيل ويندوز، عن طريق خداع المستخدم لاستخراج ملف أرشيف مصمم خصيصًا. |
كما هو مفصل في التحليل، تقوم البرمجيات الخبيثة بمحاولات متكررة لتسلسلات تجاوز المسار حتى تنجح في تحديد موقع مجلد “البدء”. بمجرد زرع ملف الدُفعة أو الأوامر الخبيث، يظل خاملاً حتى إعادة تشغيل النظام التالية. عند إعادة التشغيل، يقوم البرنامج النصي بالتنفيذ ويقوم بتحميل “أمارانث لودر” عبر ملف تنفيذي شرعي، مما يخفي بفعالية النشاط الخبيث عن المراقبة العادية ويسمح للمهاجمين بالحفاظ على وصول طويل الأمد.
للدفاع ضد هذه التهديدات الموجهة، يجب على المنظمات إعطاء الأولوية لترقيع ثغرة WinRAR على الفور. يجب على فرق الأمن أيضاً تطبيق مراقبة صارمة لملفات الأرشيف التي تحتوي على نصوص برمجية قابلة للتنفيذ واستخدام أنظمة حماية نقاط النهاية القادرة على اكتشاف محاولات تجاوز المسار وعناصر بدء التشغيل غير المصرح بها لمنع الاختراق الناجح.