شنّت مجموعة “BlindEagle” الإرهابية، التي تتخذ من أمريكا الجنوبية مقراً لها، حملة هجوم إلكتروني متطورة استهدفت وكالات حكومية في كولومبيا، مما يعكس تطورًا مقلقًا في تقنيات الهجوم.
بدأت الهجمات في أوائل سبتمبر 2025، حيث استهدفت المجموعة إحدى الهيئات الحكومية التابعة لوزارة التجارة والصناعة والسياحة، باستخدام رسائل بريد إلكتروني تصيدية منسقة ومتعددة المراحل لتوصيل البرمجيات الخبيثة.
تُمثل هذه الحملة تصعيدًا كبيرًا في مدى تعقيد وتطور عمليات “BlindEagle”، حيث تجاوزت المجموعة مجرد نشر البرمجيات الخبيثة الأساسية إلى سلسلة هجمات مُحكمة تتضمن عدة مكونات ضارة.
هجمات BlindEagle المتطورة على الحكومة الكولومبية
بدأت الهجوم برسالة بريد إلكتروني تصيدية مُصاغة بعناية، تقمصت فيها المجموعة صفة النظام القضائي الكولومبي.
استخدمت الرسالة المصطلحات القانونية والتنسيقات الرسمية الحكومية لخلق شعور بالإلحاح، بهدف الضغط على المستلمين لتأكيد استلام ما يبدو أنه إشعار بدعوى قضائية عمالية.
الملفت للنظر أن رسالة البريد الإلكتروني التصيدية أُرسلت من حساب تم اختراقه داخل نفس المؤسسة المستهدفة، مما منح الرسالة مصداقية وعزز قدرتها على تجاوز إجراءات الأمن الإلكتروني التقليدية.
هذا الاختراق الداخلي مكّن المهاجمين من استغلال علاقات الثقة وتجنب الكشف من قبل البروتوكولات الأمنية التي عادة ما تعمل على رصد التهديدات الخارجية.
قام محللو Zscaler بتتبع سلسلة الهجمات الكاملة، وأكدوا أن “BlindEagle” استخدمت منهجية معقدة للغاية، تعتمد على عدم ترك أثر ملفات على النظام (file-less methodology) للتهرب من أنظمة الكشف.
آلية الإصابة والتطور التقني
تضمنت المرفقات الأولية صورة بصيغة SVG (Scalable Vector Graphics) تحتوي على رموز HTML مُشفرة، توجه المستخدمين إلى بوابة ويب احتيالية تحاكي فرع القضاء الكولومبي الشرعي.
بمجرد تفاعل المستخدم مع هذه البوابة، تتكشف سلسلة الهجوم عبر ثلاث ملفات JavaScript وأمر PowerShell، حيث يقوم كل مرحلة بفك تشفير المكون التالي تدريجيًا، باستخدام تقنيات ترميز مختلفة مثل Base64 وخوارزميات تشفير مخصصة.
تُظهر آلية الإصابة تطورًا لافتًا من خلال استخدام تقنية إخفاء البيانات (steganography) والاعتماد على الخدمات الشرعية لتوصيل الحمولة الضارة.
تستخدم ملفات JavaScript في سلسلة الهجوم إجراءات فك تشفير معقدة، حيث يتم تحويل مصفوفات الأرقام الصحيحة إلى تعليمات برمجية قابلة للتنفيذ.
يقوم أمر PowerShell بتنزيل ملف صورة من Internet Archive، ثم يستخرج حمولة ضارة مُشفرة بنظام Base64 مخبأة داخلها، ويقوم بتحميل الحمولة مباشرة إلى الذاكرة باستخدام تقنية .NET reflection.
هذا التنفيذ المباشر في الذاكرة يمنع أي ملف ضار من ترك أثر على القرص الصلب، مما يزيد بشكل كبير من صعوبة الكشف من قبل حلول الأمان التقليدية القائمة على الملفات.
يقوم سكربت PowerShell بتنفيذ “Caminho”، وهو برمجية خبيثة من نوع downloader، تحتوي على مؤشرات باللغة البرتغالية في شفرتها، والتي بدورها تستجلب برمجية DCRAT عبر شبكة توصيل المحتوى الخاصة بتطبيق Discord.
تتضمن برمجية DCRAT قدرات متقدمة للتخفي، أبرزها تعديل واجهة فحص البرامج الضارة من Microsoft (AMSI) لتعطيل آليات الكشف.
يعمل البرنامج الضار على ترسيخ وجوده في النظام من خلال المهام المجدولة وتعديلات سجل النظام (registry)، مما يوفر للمهاجمين وصولاً مستمرًا إلى الأنظمة المخترقة.
تُظهر هذه الحملة نضج “BlindEagle” كجهة تهديد، حيث تجمع بين خبرة الهندسة الاجتماعية والكفاءة التقنية في التشفير، وإخفاء البيانات، وإساءة استخدام الخدمات الشرعية، لتنفيذ هجمات موجهة ضد البنية التحتية الحكومية بأقل قدر من مخاطر الكشف.