برزت ثغرة برمجية خبيثة جديدة من نوع حصان طروادة للوصول عن بعد، والمعروفة باسم “ResokerRAT”، والتي تستهدف أنظمة ويندوز عبر استغلال واجهة برمجة تطبيقات روبوت تيليجرام (Telegram Bot API) المعروفة. تتيح هذه الثغرة للمهاجمين إرسال الأوامر إلى الأنظمة المصابة وسرقة البيانات منها.
بخلاف البرمجيات الخبيثة التقليدية التي تعتمد على خوادم قيادة وتحكم خاصة، تقوم هذه التهديدات بتوجيه جميع الاتصالات عبر منصة مراسلة موثوقة. هذا الأسلوب يجعل اكتشافها وحظرها من قبل أدوات الأمن أكثر صعوبة.
يوفر هذا النهج للمهاجمين خط اتصال مموه جيدًا يندمج مع حركة مرور الويب اليومية. تتمتع ResokerRAT بمجموعة واسعة من القدرات الضارة، بما في ذلك التقاط لقطات الشاشة، وتسجيل ضربات المفاتيح، وتصعيد الامتيازات، وحظر مدير المهام، وتنزيل حمولات خبيثة إضافية على الجهاز المصاب.
بمجرد التثبيت، تعمل البرمجية الخبيثة بصمت في الخلفية، وتتواصل عبر اتصال HTTPS مشفر بواجهة برمجة تطبيقات تيليجرام دون إظهار أي علامات مرئية للمستخدم. نظرًا لأن الاتصالات إلى تيليجرام موثوقة بشكل عام من قبل جدران الحماية للشركات وفلاتر مراقبة الشبكة، فإن هذه الطريقة لتسليم الأوامر فعالة بشكل خاص في البقاء مخفية لفترات طويلة.
اكتشاف ResokerRAT
قام محللون في مختبرات K7 Security Labs بتحديد وتوثيق هذه البرمجية الخبيثة، حيث نشر الباحث Priyadharshini تقريرًا فنيًا مفصلاً في 30 مارس 2026. كشف تحقيقهم أن الملف التنفيذي للبرمجية الخبيثة، Resoker.exe، يبدأ سلسلة هجماته فور تشغيله، ويقوم بتنفيذ سلسلة من عمليات التحقق المسبق وإجراءات التهرب قبل الاتصال بروبوت تيليجرام الخاص بالمهاجم.
لاحظ الفريق أن البرمجية الخبيثة تجمع بين استدعاءات واجهة برمجة تطبيقات ويندوز وأوامر PowerShell المخفية لتنفيذ مهامها دون لفت انتباه المستخدم. بمجرد التشغيل، يقوم Resoker.exe بإنشاء كائن mutex باسم “GlobalResokerSystemMutex” لضمان تشغيل نسخة واحدة فقط من البرمجية الخبيثة في كل مرة.
يستخدم بعد ذلك واجهة برمجة التطبيقات IsDebuggerPresent للتحقق مما إذا كان هناك مصحح أخطاء أو أداة تحليل متصلة حاليًا. إذا تم العثور على أحدهما، فإنه يقوم بتشغيل معالجة استثناءات مخصصة لتعطيل عملية الفحص.
تسعى البرمجية الخبيثة أيضًا إلى إعادة تشغيل نفسها بامتيازات المسؤول باستخدام ShellExecuteExA مع خيار “runas”، مما يمنحها سيطرة كاملة على النظام المصاب. لإبعاد باحثي الأمن، تقوم البرمجية الخبيثة بمسح العمليات قيد التشغيل بنشاط وإنهاء أدوات التحليل المعروفة مثل Taskmgr.exe و Procexp.exe و ProcessHacker.exe.
كما أنها تقوم بتثبيت خطاف لوحة مفاتيح عالمي عبر SetWindowsHookExW، مما يؤدي إلى حظر اختصارات لوحة المفاتيح الشائعة مثل ALT+TAB و CTRL+ALT+DEL، مما يحبس المستخدم بفعالية داخل الجلسة المصابة ويمنع التفاعل الطبيعي مع النظام.
القيادة والتحكم عبر تيليجرام
العنصر الأكثر تميزًا في ResokerRAT هو استخدامها لواجهة برمجة تطبيقات روبوت تيليجرام كقناة كاملة للقيادة والتحكم. تقوم البرمجية الخبيثة بإنشاء عنوان URL باستخدام رمز روبوت معرف مسبقًا ومعرف دردشة، ثم تستعلم عن نقطة نهاية getUpdates الخاصة بتيليجرام للحصول على تعليمات جديدة.
هذه الحركة غير قابلة للتمييز تقريبًا عن استخدام تيليجرام العادي، كما أكدته تحليلات التقاط الشبكة. من هذه القناة، يمكن للمهاجمين إصدار مجموعة من الأوامر. يقوم الأمر /screenshot بتشغيل برنامج نصي PowerShell مخفي لالتقاط الشاشة بصمت وحفظها كملف PNG.
يقوم الأمر /startup بإسقاط مسار البرمجية الخبيثة في مفتاح تسجيل Windows Run، مما يضمن بقاءها بعد إعادة التشغيل. يقوم الأمر /download بجلب ملفات إضافية من عناوين URL التي يتحكم فيها المهاجم عبر عملية PowerShell مخفية. يضعف الأمر /uac-min واجهة التحكم في حساب المستخدم (UAC) بهدوء عن طريق تعيين ConsentPromptBehaviorAdmin إلى 0، مما يزيل مطالبات الأمان دون علم المستخدم.
يتم ترميز جميع البيانات المرسلة بترميز URL قبل تسليمها، وتحتفظ البرمجية الخبيثة بسجل محلي لنشاطها الخاص.
يجب على المستخدمين والمؤسسات تجنب تنزيل الملفات التنفيذية من روابط غير موثوقة أو مصادر غير معروفة. يعد الحفاظ على تحديث ويندوز وجميع برامج الأمان أمرًا بالغ الأهمية، حيث تساعد التصحيحات في سد الثغرات التي تستغلها البرمجيات الخبيثة.
يجب على مسؤولي الشبكات مراقبة الاتصالات الصادرة إلى نقاط نهاية واجهة برمجة تطبيقات تيليجرام بحثًا عن أنماط غير عادية أو غير متوقعة. يمكن أن يساعد تقييد سياسات تنفيذ PowerShell وتمكين أدوات الكشف عن نقاط النهاية في تحديد هذه الأنواع من التهديدات وإيقافها قبل أن تتسبب في أضرار جسيمة.