أطلق تهديد سيبراني يُعرف باسم “DragonBreath” حملة متطورة تستخدم أداة تحميل برمجيات خبيثة متعددة المراحل تُدعى RoningLoader، وتستهدف المستخدمين الناطقين بالصينية. تكمن قوة RoningLoader في نهجها متعدد الطبقات لتجنب الكشف، حيث تجمع بين تحميل DLL جانبي وحقن التعليمات البرمجية لتعطيل أدوات الأمان بصمت.
ظهرت RoningLoader لأول مرة في أواخر عام 2025، حيث وثقت مختبرات Elastic Security استخدامها ضد المستخدمين الذين يشغلون أدوات اكتشاف نقطة النهاية الصينية. تنتشر البرمجية الخبيثة عبر مثبتات NSIS الضارة، وهو إطار شرعي غالبًا ما يسيء المهاجمون استخدامه.
تفاصيل حملة RoningLoader وهجماتها
عندما يفتح الضحية أحد هذه المثبتات المزيفة، يقوم RoningLoader بإسقاط ملف DLL خبيث وملف مشفر متنكر في صورة PNG بصمت. يحمل هذا الملف المشفر شل كود يقوم بتشغيل المرحلة التالية من الهجوم بالكامل في الذاكرة، تاركًا آثارًا قليلة على القرص.
كشفت أبحاث AttackIQ النطاق الكامل لسلوك RoningLoader بعد الاختراق، وقامت بربطه بإطار عمل MITRE ATT&CK. أجرى الفريق محاكاة للتقنيات والإجراءات التي استخدمها DragonBreath خلال هذه الحملة.
أظهرت النتائج تهديدًا متطورًا تقنيًا ومتكررًا عن قصد، حيث تم تصميمه للاستمرار حتى لو فشلت إحدى طبقات التهرب. إن تأثير هذه الحملة يتجاوز مجرد تحميل البرمجيات الخبيثة، حيث تقوم RoningLoader بتعطيل منتجات الأمان بشكل فعال.
تعطيل حلول الأمان
تقوم RoningLoader بتعطيل حلول الأمان بما في ذلك Microsoft Defender و Kingsoft Internet Security و Tencent PC Manager و Qihoo 360 Total Security. تستخدم آلية تحميل نواة موقعة بشكل شرعي لإنهاء هذه العمليات على مستوى النواة، متجاوزة بذلك حماية وضع المستخدم العادية.
في المرحلة النهائية، يقوم المهاجم بنشر نسخة معدلة من gh0st RAT، مما يمنح وصولاً كاملاً عن بعد إلى النظام المصاب لسرقة البيانات، والحركة الجانبية، والتجسس طويل الأمد. يهدف المهاجمون إلى جمع المعلومات الحساسة.
يُصنف DragonBreath، المعروف أيضًا باسم APT-Q-27، بأنه نشط منذ عام 2020 على الأقل، ويرتبط بهجمات على صناعات الألعاب والمقامرة عبر الإنترنت. تشمل أهدافه الصين وتايوان وهونج كونج واليابان وسنغافورة والفلبين.
آليات التخفي المتقدمة في RoningLoader
أحد أبرز سمات RoningLoader هو كيف يربط تقنيات التهرب المتعددة، بحيث تدعم كل طبقة الطبقة التالية. هذا التكرار متعمد، فإذا فشلت طريقة واحدة، لا يزال لدى البرمجية الخبيثة عدة طرق أخرى للرجوع إليها.
تبدأ الهجمة عندما يتم تشغيل المثبت الضار NSIS على جهاز الضحية. يقوم بإسقاط كل من تطبيق شرعي وثنائي خبيث مخفي جنبًا إلى جنب. يعمل البرنامج الحقيقي بشكل طبيعي في المقدمة بينما تعمل البرمجية الخبيثة بهدوء في الخلفية.
تُبقي تقنية التثبيت المزدوج هذه المستخدم في حالة عدم الارتياب، وتجعل العدوى الأولية صعبة للغاية للملاحظة. بعد ذلك، يقوم RoningLoader بتنفيذ تحميل DLL جانبي (T1574.002)، ليخدع تنفيذي ويندوز موثوق به لتحميل DLL خبيث بدلاً منه.
نظرًا لأن DLL يعمل تحت عملية موقعة وموثوق بها، فإن معظم أدوات الأمان تعاملها على أنها طبيعية. ثم تقوم البرمجية الخبيثة بحقن التعليمات البرمجية في regsvr32.exe، وهي أداة ويندوز أصلية، باستخدام CreateRemoteThread و LoadLibrary (T1055.001).
تقوم البرمجية الخبيثة بدفع التنفيذ إلى عمليات ذات امتيازات عالية مثل TrustedInstaller.exe لإخفاء نشاطها بشكل أكبر. لتمكين الوصول المرتفع، تقوم البرمجية الخبيثة بتمكين SeDebugPrivilege من خلال واجهة برمجة التطبيقات AdjustTokenPrivilege، مما يسمح لها بالتفاعل مع العمليات المحمية التي كانت ستُمنع عادةً من الوصول إليها.
تقوم أيضًا بتعطيل التحكم في حساب المستخدم (UAC) عن طريق تعديل سجل ويندوز، مما يقضي على دفاع نظام قياسي. يستخدم RoningLoader بعد ذلك CreateToolhelp32Snapshot جنبًا إلى جنب مع Process32FirstW و Process32NextW لمسح جميع العمليات قيد التشغيل، وتحديد مواقع أدوات مكافحة الفيروسات النشطة، وإيقافها قبل إصدار حمولة gh0st RAT النهائية.
التوصيات الأمنية
يجب على فرق الأمان مراقبة عمليات تحميل DLL غير العادية من ملفات ويندوز التنفيذية الموثوق بها، وتحديد عمليات regsvr32.exe التي يتم تشغيلها دون إجراء مباشر من المستخدم. يوصى بشدة أيضًا بتعيين تنبيهات بشأن تعديلات سجل UAC، وإنشاء خدمات غير متوقعة، وتغييرات الرمز المميز.
يساعد تشغيل التحقق المنتظم من التحكم الأمني ضد TTPs الموثقة لـ RoningLoader من خلال محاكاة الخصوم المدافعين في العثور على الثغرات وسدها قبل وقوع هجوم حقيقي.