كشفت تقارير أمنية عن حملة هجوم سيبراني متطورة تُعرف باسم “Operation DupeHike”، تستهدف بشكل منهجي بيئات الشركات الروسية، وتحديداً الموظفين العاملين في أقسام الموارد البشرية والرواتب والشؤون الإدارية. تأتي هذه الحملة كتهديد متزايد للشركات التي تعتمد على هياكل تنظيمية معقدة.
يُعزى هذا النشاط الخبيث إلى مجموعة الجهات التهديدية UNG0902، التي تستخدم مستندات وهمية مصممة بعناية فائقة، وتحمل طابعاً رسمياً بمواضيع حول مكافآت الموظفين وسياسات الرواتب الداخلية. تهدف هذه المستندات إلى إيصال منظومة برمجيات خبيثة لم تُعرف من قبل إلى أجهزة الضحايا.
Operation DupeHike: تفاصيل الهجوم وآلية العمل
تبدأ الحملة بإرسال رسائل تصيد احتيالي (spear-phishing) تحتوي على أرشيف ملفات مضغوطة (ZIP)، تمويهها لتبدو كمستندات شركة مشروعة. هذه الأرشيفات تحمل أسماء مثل “Премия 2025.zip” (مكافأة 2025.zip)، وتحتوي على ملفات اختصار خبيثة من نوع (.LNK). تظهر هذه الملفات بصيغة PDF، وتستخدم عناوين مثل “Document_1_On_the_size_of_the_annual_bonus.pdf.lnk” لخداع المستلمين وتشجيعهم على فتحها.
تمكن محللو الأمن في Seqrite من اكتشاف الحملة بعد العثور على أرشيف ملفات خبيث على منصة VirusTotal بتاريخ 21 نوفمبر 2025.
تُظهر أبحاث الفريق أن الجهات الفاعلة في هذا الهجوم تمتلك فهماً عميقاً لآليات عمل موارد الشركات الروسية، حيث تقوم بصياغة مستندات وهمية تتضمن هياكل مكافآت واقعية مرتبطة بمقاييس الأداء ومؤشرات الأداء الرئيسية (KPIs) وأهداف المنظمة. هذا الجانب يعزز قدرة الهجوم على التسلل.
آلية الإصابة والتفاصيل التقنية
تتبع سلسلة الهجوم ثلاث مراحل متميزة، تبدأ بتنفيذ ملف الاختصار الخبيث (.LNK). عند فتح الضحية للملف، تقوم نافذة PowerShell بالتنفيذ في الخلفية باستخدام علامات محددة مثل NoNI، nop، و w (مخفية)، مما يصعب اكتشافها.
يستخدم السكربت أداة `Invoke-WebRequest` لتنزيل حمولة المرحلة الثانية، وهي برنامج implant يُعرف باسم DUPERUNNER، من خادم يتحكم فيه المهاجم على العنوان IP: 46.149.71.230.
يُعد DUPERUNNER برنامج implant تم تجميعه بلغة ++C، وهو يقوم بعمليات استطلاع وحقن حرجة. تحتوي البرمجية الخبيثة على وظائف متعددة مصممة للحفاظ على الاستمرارية وتجنب اكتشافها.
يقوم البرنامج بتعداد العمليات المستهدفة، بما في ذلك explorer.exe، notepad.exe، و msedge.exe لغرض الحقن. في الوقت نفسه، يقوم بتنزيل مستندات PDF وهمية لعرضها على المستخدمين، مما يعطي انطباعاً عن معالجة مستندات مشروعة.
بعد ذلك، يقوم الـ implant بتنفيذ عملية حقن خيط عن بعد (remote thread injection) لتحميل الحمولة النهائية: وهو عبارة عن beacon للتحكم والسيطرة (command-and-control) من نوع AdaptixC2. يستخدم هذا الـ beacon طلبات HTTP POST للتواصل مع البنية التحتية للمهاجمين، مما يوفر قدرات تنفيذ الأوامر عن بعد واستخراج البيانات.
يستخدم الـ beacon آلية حل ديناميكية لواجهات برمجة التطبيقات (API) باستخدام تجزئة نمط djb2 لتجنب الكشف المعتمد على التواقيع الثابتة.
استخرج باحثو Seqrite قطعاً من التكوين تكشف عن أرقام تعريف الـ beacon والبنية التحتية للقيادة والتحكم المستضافة على خوادم تحت ASN 48282 و AS 9123، والتي تديرها VDSINA-AS و TIMEWEB-AS. تُظهر البنية التحتية تغييراً في تكوين المنافذ من المنفذ 80 أثناء توصيل الـ implant إلى المنفذ 443 لعمليات الـ beacon النهائية، مما يشير إلى تحسين مستمر في البنية التحتية للهجوم.
تمثل حملة Operation DupeHike تطوراً في مشهد التهديدات السيبرانية، حيث يجمع الهندسة الاجتماعية المتطورة مع قدرات البرمجيات الخبيثة المتقدمة لاستهداف بيئات الشركات في أوروبا الشرقية.