شنت مجموعة قرصنة جديدة، تُعرف باسم “بونيشينغ آول” (Punishing Owl)، هجمات سيبرانية متطورة استهدفت وكالات أمن حكومية روسية. ظهرت المجموعة لأول مرة في 12 ديسمبر 2025، حيث أعلنت عن اختراق ناجح لشبكة تابعة لوكالة أمن حكومية روسية، ونشرت وثائق داخلية مسروقة.
وسعت المجموعة نطاق هجومها من خلال نشر الملفات المسروقة على موقع تسريب بيانات، مع نسخها أيضاً على مستودع Mega.nz لضمان أقصى قدر من الانتشار العلني. واستخدمت المجموعة طرق هجوم متعددة لتعزيز تأثير عمليتها، بما في ذلك انتحال هويات وإعادة توجيه حركة المرور لخدمة غاياتها.
هجوم “بونيشينغ آول” على الأمن الروسي
كشفت تحليل تقني أن المجموعة نجحت في اختراق إعدادات نظام أسماء النطاقات (DNS) للضحية، حيث قامت بإنشاء نطاق فرعي وتعديل سجلات DNS لإعادة توجيه حركة المرور إلى خادم في البرازيل. استضاف هذا الخادم الملفات المسروقة، بالإضافة إلى بيان سياسي يوضح دوافع المجموعة.
كما لوحظ أن المجموعة اختارت بعناية توقيت الإعلان عن الاختراق، حيث وقع ذلك مساء الجمعة في تمام الساعة 6:37 مساءً، وهو توقيت يُعتقد أنه يهدف إلى تأخير جهود الاستجابة وضمان أقصى قدر من الظهور لأنشطتها. كل هذا يشير إلى تخطيط استراتيجي متقدم وراء هجمات القرصنة هذه.
هجمات انتحال البريد الإلكتروني
بعد الاختراق الأولي، أطلقت “بونيشينغ آول” هجمات انتحال بريد إلكتروني تجاري (BEC) استهدفت شركاء ومتعاقدي الجهة المخترقة. أرسلت رسائل بريد إلكتروني مزيفة من عنوان في النطاق الخاص بالضحية، تدعي تأكيد الاختراق الشبكي، وتتضمن طلبات عاجلة لمراجعة مستندات مرفقة.
تشير هذه الإجراءات إلى استراتيجية متعددة الأوجه تركز على استغلال الثقة وتضليل الضحايا والشركاء لجمع أكبر قدر من المعلومات الحساسة. وتُظهر هذه التقنيات درجة عالية من الاحترافية في تنفيذ الهجمات السيبرانية.
آلية العدوى وسرقة بيانات الاعتماد
كشف تحليل البنية التحتية للهجوم عن تطور تقني ملحوظ، فرغم حداثة ظهور المجموعة. قامت “بونيشينغ آول” بتكوين شهادات TLS مزيفة، وإعداد خدمات IMAP و SMTP لعمليات البريد الإلكتروني، ونشر أداة “ZipWhisper PowerShell stealer” لسرقة بيانات الاعتماد من المتصفحات على الأنظمة المصابة.
احتوت رسائل البريد الإلكتروني الضارة على أرشيفات ZIP محمية بكلمة مرور تحتوي على ملفات LNK مموهة، والتي كانت تنفذ أوامر PowerShell بتنزيل أداة السرقة من خادم القيادة والتحكم.
تعمل أداة ZipWhisper stealer عبر عملية عدوى متعددة المراحل مصممة لاستخراج بيانات المتصفح الحساسة من الأنظمة المخترقة. فعندما يفتح الضحايا ملف LNK المموه، تقوم الأداة بتنفيذ أوامر PowerShell بصمت لتنزيل حمولة الأداة من البنية التحتية للمهاجم.
ثم تقوم البرمجيات الخبيثة بجمع الملفات التي تحتوي على بيانات اعتماد المتصفح، وملفات تعريف الارتباط، وكلمات المرور المحفوظة. وتُحزم هذه البيانات في أرشيفات ZIP بأنماط تسمية محددة تتضمن اسم المستخدم وأرقام الأجزاء.
تُخزن هذه الأرشيفات مؤقتاً في مجلد AppData/Local/Temp قبل تحميلها إلى خادم القيادة والتحكم عبر بنية نقطة نهاية مخصصة. ويدل ذلك على الاهتمام بالتفاصيل والتنظيم داخل عمليات المجموعة.
علاوة على ذلك، كشفت التعليقات داخل الشيفرة البرمجية لأداة ZipWhisper stealer عن احتمال استخدام أدوات الذكاء الاصطناعي لتوليد أجزاء من البرمجيات الخبيثة. يشير هذا إلى أن المجموعة قد تكون بصدد الاستفادة من تقنيات التطوير الحديثة لتسريع عملياتها ضد أهداف البنية التحتية الحيوية الروسية.