كشفت شركة كاسبرسكي للأمن السيبراني عن حملة تجسس إلكتروني جديدة تقف وراءها مجموعة تجريم سيبراني صينية تُعرف باسم Silver Fox، تستهدف منظمات في روسيا والهند ببرمجية خبيثة جديدة تُطلق عليها ABCDoor. استهدفت الهجمات الجديدة قطاعات متعددة، مما يثير قلقاً بشأن تزايد التهديدات السيبرانية الموجهة.
وقد تضمنت الحملة تكتيكات تصيد احتيالي متطورة، حيث استخدم المهاجمون رسائل بريد إلكتروني تحاكي المراسلات الرسمية من إدارات الضرائب، مستهدفين الأفراد والشركات على حد سواء. رصدت التحقيقات أكثر من 1600 رسالة بريد إلكتروني استُخدمت في هذه الحملة بين يناير وفبراير الماضيين.
Silver Fox وتفاصيل برمجية ABCDoor الخبيثة
يُشير التقرير إلى أن مجموعة Silver Fox، التي تنشط من الصين، قد طورت واستخدمت برمجية خبيثة جديدة تُدعى ABCDoor كجزء من ترسانتها. تم رصد هذه البرمجية لأول مرة في ديسمبر 2024، وبدأ استخدامها فعلياً في الهجمات الإلكترونية اعتباراً من فبراير أو مارس 2025.
بدأت سلسلة الهجمات برسالة بريد إلكتروني تحتوي على ملف PDF، يتضمن روابط تحميل لملفات مضغوطة (ZIP أو RAR). هذه الملفات كانت تحتوي على برمجية خبيثة مُعدلة من مستودع عام، تعمل كمُحمّل (loader) لتنزيل وتنفيذ برنامج ValleyRAT backdoor المعروف.
أدوات وتقنيات التهديد
ما يميز هذه الهجمات هو استخدام مُحمّل جديد لبرنامج ValleyRAT، والذي يعمل كمنصة لتشغيل برنامج ABCDoor الخبيث المبني بلغة بايثون. هذا البرنامج الجديد يوفر للمهاجمين قدرات متقدمة لتجاوز الدفاعات واختراق الأنظمة.
تتضمن الملفات المضغوطة التي يرسلها المهاجمون ملفاً تنفيذياً يبدو كملف PDF. هذا الملف هو في الواقع نسخة معدلة من framework مفتوح المصدر يُسمى RustSL، والذي يستخدم لتجاوز برامج الحماية.
ووفقاً للتقرير، يسعى المُحمّل الخاص بـ Silver Fox إلى فك تشفير الحمولة الخبيثة، مع إجراء فحوصات جغرافية وبيئية للتأكد من عدم وجودها في آلات افتراضية أو بيئات معزولة (sandboxes). الإصدار المستخدم في هذه الحملة توسع ليشمل دولاً مثل الهند، إندونيسيا، جنوب أفريقيا، روسيا، وكمبوديا، بالإضافة إلى الصين.
إحدى التقنيات الجديدة المستخدمة هي “Phantom Persistence”، وهي آلية جديدة لضمان استمرار وجود البرمجية الخبيثة على النظام المخترق حتى بعد إعادة التشغيل. تم توثيق هذه التقنية لأول مرة في يونيو 2025.
آلية الهجوم والاستهداف
تستغل هذه التقنية وظائف نظام التشغيل المصممة لتسهيل تحديثات التطبيقات التي تتطلب إعادة تشغيل. يقوم المهاجمون باعتراض إشارة إيقاف تشغيل النظام، ومنع الإغلاق الطبيعي، وبدء إعادة تشغيل قسري تحت ذريعة تحديث البرمجية الخبيثة. هذا يضمن أن النظام يقوم بتشغيل البرمجية الخبيثة تلقائياً عند بدء تشغيل نظام التشغيل.
الحمولة المشفرة التي يتم تحميلها عبر RustSL تؤدي إلى تنزيل برمجية ValleyRAT (المعروفة أيضاً باسم Winos 4.0)، والتي تتولى الاتصال بخادم الأوامر والتحكم (C2)، وتنفيذ الأوامر، وجلب وحدات إضافية. أحد هذه الوحدات المخصصة، بعد تجاوز فحص جغرافي ثانٍ، هو ABCDoor.
يتواصل ABCDoor مع خادم خارجي عبر HTTPS، ويعالج الرسائل الواردة لتسهيل استمراريته، وإدارة تحديثات وإزالة البرنامج، وجمع المعلومات مثل لقطات الشاشة، والتحكم عن بعد بالفأرة ولوحة المفاتيح، وإجراء عمليات على نظام الملفات، وإدارة عمليات النظام، وتسريب محتويات الحافظة.
انتشار الحملات وتوقعات مستقبلية
لوحظ في الآونة الأخيرة استخدام Silver Fox لمُحمّل مكتوب بلغة JavaScript، يتم توزيعه عبر أرشيفات SFX داخل أرشيفات ZIP، والتي غالباً ما تُرسل عبر رسائل البريد الإلكتروني الاحتيالية. توسعت الإصدارات الأحدث من RustSL لتشمل اليابان في نطاق استهدافها الجغرافي.
تركّزت غالبية الهجمات المكتشفة في الهند وروسيا وإندونيسيا، تليها جنوب أفريقيا واليابان. استخدمت معظم عينات المُحمّلات فخاخاً متعلقة بالضرائب لمحاكاة تسلسل العدوى.
منذ عام 2024، طورت مجموعة Silver Fox نموذج عمل مزدوج يجمع بين الأنشطة الربحية واسعة النطاق والأنشطة الاستخباراتية. توسع نطاق عملياتها ليشمل تايوان واليابان، بعد أن بدأت بالتركيز على الصين.
تعتمد المجموعة بشكل أساسي على تقنيات التصيد الاحتيالي المخصصة (spear phishing) للاختراق الأولي، مع نشر سيناريوهات هجوم متطورة ومتنوعة مصممة لتناسب القضايا الموسمية للدولة المستهدفة وخصائص عملها.