كشفت تقارير أمنية حديثة عن ظهور مجموعة تجسس سيبراني جديدة، يُطلق عليها اسم Vortex Werewolf، تستهدف بشكل مكثف منظمات حكومية ودفاعية روسية. تعمل هذه المجموعة منذ أواخر عام 2025، مستخدمة مزيجاً من الهندسة الاجتماعية والأدوات البرمجية الشرعية لاختراق الأنظمة الآمنة. هدفهم الأساسي هو تأسيس وصول عن بعد سري ودائم إلى الأنظمة الحساسة عبر بروتوكولات مجهولة.
تبدأ الهجمات عادةً عبر رسائل بريد إلكتروني خادعة تدفع المستخدمين للتفاعل مع روابط خبيثة. غالباً ما تحاكي هذه الروابط إشعارات مشاركة ملفات مشروعة، متخفية كخدمات موثوقة مثل Telegram. بمجرد أن يقع الضحية في الفخ، تبدأ سلسلة العدوى التي تؤدي إلى نشر أدوات مصممة لتجاوز الدفاعات الشبكية القياسية.
Vortex Werewolf: تقنيات هجوم مخفية
تتيح البرمجيات الخبيثة سيطرة غير مصرح بها عبر تكوين بروتوكولات سطح المكتب البعيد ونقل الملفات لتوجيه المرور عبر شبكة Tor. قام باحثو BI.ZONE بتحديد هذه الأنشطة في أوائل عام 2026، مسلطين الضوء على أساليب التشغيل الفريدة للمجموعة.
وبينما تشترك هذه المجموعة في بعض أوجه السلوك مع جهات فاعلة أخرى مثل Core Werewolf، إلا أن هذا الخصم يستخدم جسور تشفير محددة للاتصالات القيادية والتحكم. يمثل هذا النهج تحدياً إضافياً لفرق الأمن السيبراني في اكتشاف ومعالجة هذه التهديدات.
آلية الاختراق والتكتيكات الخادعة
تتميز عملية العدوى بدرجة عالية من التعقيد في الهندسة الاجتماعية، حيث تهدف إلى سرقة بيانات اعتماد المستخدم قبل توصيل الحمولة الخبيثة. عند النقر على الرابط الأولي، يتم توجيه المستخدم إلى صفحة ويب احتيالية تحاكي واجهة بوابة تحميل ملفات Telegram بشكل مقنع.
تطلب هذه الصفحة من الضحية إدخال رقم هاتفه ورمز تأكيد تسجيل الدخول، مما يؤدي فعلياً إلى اختطاف جلسته النشطة. بعد التقاط بيانات الجلسة الخاصة بالضحية بنجاح، تقوم الصفحة الخادعة بإعادة توجيه المستخدم إلى خدمة استضافة ملفات مشروعة، مثل Dropbox، لتنزيل أرشيف ZIP خبيث.
يحتوي هذا الأرشيف على ملف LNK خادع، والذي عند تنفيذه، يقوم بتشغيل برنامج PowerShell. يقوم هذا البرنامج بإجراء فحوصات للتهرب من بيئات الاختبار المعزولة قبل تثبيت مكونات Tor و OpenSSH المطلوبة لنفق القيادة المشفر.
التأثير وآليات الثبات
يُعد تأثير الاختراق الناجح كبيراً، حيث يمنح المهاجمين القدرة على تنفيذ الأوامر ونقل الملفات عبر RDP و SMB و SFTP و SSH، كل ذلك مع البقاء مخفياً خلف خدمات Tor المخفية. للحفاظ على موطئ قدمهم داخل البيئات المخترقة، يطبق المهاجمون آليات ثبات تتجاوز إعادة تشغيل النظام.
تقوم البرامج الضارة بإنشاء مهام مجدولة ضمن نظام التشغيل Windows لضمان تشغيل عميل Tor وخادم SSH تلقائياً. يسمح هذا الإعداد لجهات التهديد بالحفاظ على وصول طويل الأمد إلى البنية التحتية للضحية، مما يمكنهم من استخراج البيانات أو الانتقال إلى أنظمة أخرى حرجة وقتما يشاؤون دون إثارة إنذارات فورية.
التوصيات الوقائية
تنصح المنظمات بتطبيق حلول قوية لتصفية البريد الإلكتروني تستخدم التعلم الآلي للكشف عن الروابط المزيفة وشذوذات التصيد الاحتيالي. يجب على فرق الأمن التحقق بدقة من وجهة جميع عناوين URL الواردة وحظر حركة المرور إلى النطاقات المعروفة بأنها خبيثة.
علاوة على ذلك، يُعد المراقبة المستمرة لسجلات الشبكة بحثاً عن اتصالات Tor أو SSH غير المصرح بها أمراً ضرورياً للكشف المبكر عن التهديدات. يتطلب التصدي لهذه التهديدات المتطورة يقظة مستمرة وتحديثاً دائمًا للإجراءات الأمنية.