شنّت مجموعة التهديد المتقدم المعروفة باسم “تشوليما” (Chollima) حملة تجسس إلكترونية تستهدف بشكل مباشر الناشطين والمنظمات المعنية بقضايا كوريا الشمالية، وبدأت هذه الحملة الحاسمة في مارس 2025.
تعتمد العملية، التي أطلق عليها مركز “جينيس للأمن” (Genians Security Center) اسم “عملية: صندوق الألعاب القصصي” (Operation: ToyBox Story)، على مزيج بارع من الهندسة الاجتماعية وتكتيكات نشر البرمجيات الخبيثة.
تتضمن الحملة إرسال رسائل بريد إلكتروني خبيثة (spear-phishing) تبدو وكأنها صادرة عن مصادر موثوقة، حيث تنتحل صفة خبراء أمنيين متخصصين في شؤون كوريا الشمالية. هذه الرسائل تحتوي على روابط لموقع “دروب بوكس” (Dropbox)، والتي تقود إلى أرشيفات مضغوطة تضم ملفات اختصار خبيثة لنظام ويندوز. يقوم الضحايا، دون علمهم، بتنزيل ملفات تؤدي إلى تنفيذ شفرات مخفية عند فتحها.
تُظهر الهجمات مستوى عالٍ من التطور في إخفاء المحتوى الضار. فقد صاغ المهاجمون رسائل بريد إلكتروني بعناوين موضوعات تشير إلى نشر قوات كورية شمالية في روسيا، مستخدمين محتوى ذا صلة ثقافية لزيادة احتمالية تفاعل المستخدم. كما قامت المرفقات بتقليد أيقونات مستندات “هانغول” (Hangul)، المرتبطة عادة بمعالجات النصوص الكورية الشرعية، لخداع المستلمين وجعلهم يعتقدون أنهم يفتحون مستندات عادية بدلاً من ملفات قابلة للتنفيذ.
يثبت هذا النهج من الهندسة الاجتماعية فعاليته نظراً لأن المستخدمين يثقون في أيقونات الملفات المألوفة والمؤسسات التي يعتقدون أنها ترسل الرسائل.
وقد لاحظ مهندس أمن هجومي، يُعرف باسم S3N4T0R، البرمجية الخبيثة بعد تحليل الخصائص التقنية والتسلسل العدوائي للحملة. حدد S3N4T0R كيف تتطور الهجمة عبر مراحل متعددة، كل منها مصمم لتجنب أدوات الأمن والحفاظ على التواجد الخبيث على الأنظمة المخترقة.
كشف التحليل أن المهاجمين قاموا بتصميم البرمجية الخبيثة عمداً للبقاء مخفية في ذاكرة النظام بدلاً من الكتابة على القرص الصلب.
تنفيذ ملفات خبيثة عبر حقن الذاكرة
إن الجانب الأكثر خطورة في هذه البرمجية الخبيثة يتمثل في قدرتها على تنفيذ شفرات برمجية دون ترك آثار على القرص الصلب. عند قيام الضحايا بفك ضغط الأرشيف وتفتح الملف الذي يبدو وكأنه مستند عادي، يتم تنفيذ أمر “باور شيل” (PowerShell) مخفي ضمن ملف الاختصار بصمت. هذا الأمر يقوم بتشغيل ملف دفعي (batch file) يسمى “toy03.bat”، والذي بدوره يقوم بتحميل ملف يسمى “toy02.dat” من المجلد المؤقت.
يقوم برنامج التحميل بفك تشفير البيانات التي تم تحويلها بواسطة XOR وحقن شفرات برمجية (shellcode) مباشرة في الذاكرة، متجاوزاً بذلك طرق الكشف التقليدية المعتمدة على الملفات.
بمجرد تحميل البرمجية الخبيثة في الذاكرة، تقوم بإنشاء خيط تنفيذي جديد لتشغيل الشفرة المحقونة. هذه التقنية، المعروفة باسم تنفيذ البرمجيات الخبيثة بلا ملفات (fileless malware execution)، تشكل تحديات خطيرة لفرق الأمن لأن البرنامج الخبيث يترك الحد الأدنى من الأدلة على القرص.
ثم تقوم البرمجية الخبيثة بإنشاء اتصالات عبر قنوات واجهة برمجة تطبيقات “دروب بوكس” (Dropbox API)، مما يسمح للمهاجمين بإرسال الأوامر واستقبال البيانات المسروقة مع إخفاء أنشطتهم ضمن حركة مرور خدمة السحابة الشرعية.
يمثل هذا النهج تطوراً ملحوظاً في تكتيكات مجموعات التهديد المتقدم، حيث يستفيد من الخدمات الموثوقة لإخفاء العمليات الخبيثة، مما يجعل الكشف عنها أكثر صعوبة بشكل كبير للمدافعين.