كشفت تقارير أمنية حديثة عن نشاط متزايد لمجموعة قراصنة تُعرف باسم TA584، والتي بدأت في استخدام أدوات برمجية خبيثة جديدة تُدعى “Tsundere Bot” عبر أساليب هندسة اجتماعية متقدمة. هذه التطورات تأتي في وقت تتصاعد فيه الهجمات الإلكترونية عالمياً.
تُعتبر TA584 جهة فاعلة في مجال اختراق الأنظمة الأولية، وقد شهدت عملياتها تصاعداً ملحوظاً خلال العام الماضي، حيث تضاعفت حملاتها ثلاث مرات بين شهري مارس وديسمبر. تستهدف هذه المجموعة المؤسسات حول العالم من خلال رسائل بريد إلكتروني تصيدية مصممة بعناية، تنتحل صفة علامات تجارية موثوقة أو وكالات حكومية لخداع الضحايا.
TA584 تستخدم Tsundere Bot بهندسة اجتماعية متقدمة
تتميز TA584 بقدرتها على العمل بسرعة ومرونة عالية، حيث تشن حملات متعددة في وقت واحد مع تغيير مستمر للطُعم والبنية التحتية وطرق الإيصال. ترسل المجموعة رسائل بريد إلكتروني من حسابات تم اختراقها، تبدو شرعية، تحتوي على روابط فريدة مصممة لتجاوز مرشحات الأمان عبر تقنيات تحديد الموقع الجغرافي والتحقق من عنوان IP.
غالباً ما تنتحل هذه الرسائل صفة مرافق صحية، جهات حكومية، شركات توظيف، أو خدمات تجارية لإضفاء المصداقية على رسائلها. وتُعتبر هذه الأساليب جزءاً من استراتيجية “ClickFix” التي تعتمد عليها المجموعة.
كشف محللو Proofpoint أن “Tsundere Bot” هي منصة برمجيات خبيثة كخدمة (Malware-as-a-Service) بدأ إيصالها بواسطة TA584 في أواخر عام 2025. يمثل هذا البرمجية الخبيثة تطوراً مقلقاً في طرق إيصال التهديدات، حيث تجمع بين قدرات الباب الخلفي (Backdoor) وتقنيات التهرب المتقدمة.
أشارت تحليلات الحملات المبكرة إلى أن الإصابات قد تتصاعد لتشمل نشر برامج الفدية (Ransomware)، مما يشكل مخاطر جسيمة على شبكات المؤسسات. الاستمرارية التشغيلية للمجموعة منذ عام 2020، بالإضافة إلى ارتباطاتها بأسواق الجريمة السيبرانية الروسية، تؤكد الطبيعة المنظمة والمستمرة لهذه الهجمات.
آلية ClickFix للهندسة الاجتماعية
تستخدم TA584 تقنية ClickFix للتلاعب بالضحايا لتنفيذ أوامر PowerShell خبيثة على أنظمتهم الخاصة. بعد أن ينقر المستلمون على الروابط المضمنة ويمرون عبر طبقات متعددة من التحقق، يواجهون صفحة وهمية للتحقق من CAPTCHA.
عند حل CAPTCHA، يتم تقديم رسائل خطأ مصطنعة للمستخدمين، تطلب منهم نسخ ولصق أوامر محددة في مربعات حوار “تشغيل” (Run) في نظام ويندوز. هذه الخطوة هي المرحلة الحاسمة في خداع الضحية.
عندما يتبع الضحايا هذه التعليمات، فإنهم يقومون عن غير قصد بتنفيذ أمر PowerShell الذي يقوم بتنزيل وتشغيل برنامج نصي عن بعد من بنية تحتية يتحكم بها المهاجمون.
يقوم هذا البرنامج النصي الوسيط بتثبيت Node.js واعتماديته مباشرة من مصادر شرعية، ثم يقوم بفك تشفير ملفي Node.js مشفرين باستخدام AES مضمنين داخل الحمولة. الملف الأول يعمل كـ “محمل” (Loader)، والذي بدوره يقوم بتشغيل الملف الثاني الذي يحتوي على Tsundere Bot نفسه.
تتضمن سلسلة الإصابة ميزات متعددة لمكافحة التحليل، بما في ذلك قيود تعتمد على عنوان IP لمنع الباحثين الأمنيين من استرداد الحمولة إلا إذا قاموا بالوصول من نفس العنوان الذي شاهد الصفحة المقصودة. بمجرد التثبيت، يتصل Tsundere Bot بخادم القيادة والتحكم الخاص به، مرسلاً معلومات تعريف النظام وينتظر التعليمات الإضافية.
يتضمن البرمجية الخبيثة قيوداً جغرافية تمنع التنفيذ على الأنظمة التي تستخدم لغات من دول CIS، مما يشير إلى أن نطاق العمليات محاذٍ لاتفاقيات مجرمي الإنترنت الروس.