كشفت شركة الأمن السيبراني ESET عن نشاط تهديدي جديد يستهدف الكيانات الأوكرانية، حيث تنتحل الجهات المهاجمة صفة الشركة نفسها عبر حملات تصيدية متطورة. يأتي هذا الاكتشاف ليُسلط الضوء على استمرار التهديدات السيبرانية التي تستهدف البنية التحتية المعلوماتية في المنطقة.
النشاط الجديد، الذي تم رصده في مايو 2025، أطلق عليه اسم “InedibleOchotense”، ويُعتقد أنه مرتبط بالجهات الروسية. وقد استخدم هذا الفصيل رسائل بريد إلكتروني نصية عبر تطبيق Signal تحتوي على روابط لبرامج تثبيت ESET مخترقة، بهدف خداع المؤسسات الأوكرانية.
نشاط تهديدي جديد يستهدف أوكرانيا بانتحال هوية ESET
تُعد هذه الحملة مثالاً على تكتيكات التصيد الموجه (“spear-phishing”)، حيث يتم تصميم الرسائل بدقة لتناسب طبيعة عمل الجهات المستهدفة. تحمل الرسائل المكتوبة باللغة الأوكرانية، ولكن ببداية تحمل كلمة روسية، ادعاءً بأن فريق مراقبة ESET قد اكتشف عملية مشبوهة مرتبطة بعنوان البريد الإلكتروني للمستلم، وأن أجهزتهم قد تكون في خطر.
يهدف هذا الأسلوب إلى استغلال السمعة الواسعة لبرامج ESET في أوكرانيا، ودفع المستخدمين إلى تنزيل برامج تثبيت ضارة مستضافة على نطاقات تشبه نطاق الشركة الرسمي، مثل esetsmart[.]com و esetscanner[.]com. يعتبر هذا التلاعب النفسي عنصراً أساسياً في نجاح هذه الهجمات.
تقنيات الاختراق وبرمجيات التجسس
برنامج التثبيت المخترق يقوم بتوصيل أداة ESET AV Remover الشرعية، بالإضافة إلى نسخة من برمجية تجسس من نوع C# تُعرف باسم Kalambur (أو SUMBUR). هذه البرمجية تستخدم شبكة Tor للتواصل مع خوادم القيادة والتحكم، مما يجعل تتبعها أمراً صعباً.
علاوة على ذلك، تمتلك Kalambur القدرة على إيداع مكونات OpenSSH وتمكين الوصول عن بعد عبر بروتوكول سطح المكتب البعيد (RDP) على المنفذ 3389. هذا يمنح المهاجمين قدرة أوسع على التحكم بالنظام المستهدف.
صلات محتملة ومجموعات تهديد ناشطة
تشير ESET إلى وجود تشابهات تكتيكية بين “InedibleOchotense” وحملات تم توثيقها سابقاً، بما في ذلك حملة استُخدم فيها برمجية خبيثة تُعرف باسم BACKORDER. كما أن هناك تقارير من CERT-UA تربط هذا النشاط بمجموعة UAC-0212، التي تُعتبر بدورها جزءاً من مجموعة Sandworm (المعروفة أيضاً بـ APT44).
وبحسب ماثيو فاو، باحث رئيسي في ESET، فإن “InedibleOchotense جهة فاعلة تهديدية مرتبطة بروسيا، ولها علاقة ضعيفة بـ Sandworm. وعلى الرغم من وجود بعض أوجه التشابه مع ما أبلغت عنه CERT-UA كمجموعة UAC-0125، لا يمكننا تأكيد هذا الرابط بشكل مستقل.”
هجمات Sandworm المدمرة في أوكرانيا
لم تتوقف أنشطة Sandworm، إذ نفذت هجمات مدمرة أخرى في أوكرانيا. شملت إطلاق برمجيات مسح بيانات تُعرف باسم ZEROLOT و Sting، استهدفت جامعة غير محددة في أبريل 2025. تبع ذلك نشر سلالات متعددة من برمجيات مسح البيانات التي استهدفت قطاعات حكومية، وقطاعات الطاقة، واللوجستيات، والحبوب.
وخلال هذه الفترة، أكدت ESET أن مجموعة UAC-0099 قامت بتنفيذ عمليات الوصول الأولية، ثم قامت بتسليم الأهداف المؤكدة إلى Sandworm لتنفيذ الأنشطة اللاحقة. تُعد هذه الهجمات المدمرة بمثابة تذكير بأن برمجيات مسح البيانات لا تزال أداة شائعة تستخدمها الجهات الفاعلة التهديدية المرتبطة بروسيا في أوكرانيا.
RomCom تستغل ثغرة WinRAR في هجماتها
من المجموعات الأخرى جديرة بالذكر هي RomCom (المعروفة أيضاً بـ Storm-0978، Tropical Scorpius، UNC2596، أو Void Rabisu)، وهي جهة فاعلة تهديدية أخرى مرتبطة بروسيا. أطلقت هذه المجموعة حملات تصيد موجهة في منتصف يوليو 2025، حيث استغلت ثغرة في برنامج WinRAR (CVE-2025-8088) كجزء من هجمات استهدفت شركات مالية، وصناعية، ودفاعية، ولوجستية في أوروبا وكندا.
أسفرت محاولات الاستغلال الناجحة عن توصيل برمجيات متعددة استخدمتها مجموعة RomCom، وبالتحديد نسخة من SnipBot (المعروفة أيضاً بـ SingleCamper أو RomCom RAT 5.0)، وقاعدة بيانات RustyClaw، وعامل Mythic. هذه البرمجيات تتيح للمهاجمين الوصول إلى الأنظمة المستهدفة وجمع المعلومات.
في تحليل مفصل لمجموعة RomCom في أواخر سبتمبر 2025، وصفت AttackIQ هذه المجموعة بأنها تراقب عن كثب التطورات الجيوسياسية المحيطة بالحرب في أوكرانيا، وتستغلها لتنفيذ عمليات جمع بيانات الاعتماد واستخراج البيانات، التي يُحتمل أن تدعم الأهداف الروسية.
ويشير باحث الأمن فرانسيس غويبرنو إلى أن “RomCom طُورت في البداية كبرمجية خبيثة تجارية، تم هندستها لتسهيل نشر واستمرار الأكواد الضارة، مما يتيح دمجها في عمليات برمجيات الفدية البارزة التي تركز على الابتزاز. وقد انتقلت RomCom من كونها سلعة ربحية بحتة لتصبح أداة تُستخدم في عمليات الدولة القومية.”