كشفت تقارير أمنية حديثة عن حملة تجسس متطورة تُعرف باسم “عملية جَمل الاستنساخ” (Operation CamelClone)، والتي تستهدف بشكل ممنهج مؤسسات حكومية وهيئات دفاعية وجهات دبلوماسية في عدة دول، بما في ذلك الجزائر ومنغوليا وأوكرانيا والكويت. تعتمد الحملة على بريد إلكتروني مُصمم خصيصاً (spear-phishing) يحتوي على أرشيفات مضغوطة (ZIP) تبدو وكأنها مراسلات رسمية حكومية، بهدف خداع المستلمين لتشغيل سلسلة إصابة متعددة المراحل تنتهي بسرقة البيانات باستخدام أداة نقل سحابية مشروعة.
ظهرت الحملة لأول مرة في أواخر فبراير 2026، عندما تم رصد ملف ZIP مشبوه يحمل اسم وزارة الإسكان والتنمية العمرانية والمدينة الجزائرية على منصة VirusTotal، وتم تحميله من الجزائر في 24 فبراير. بعد ذلك بوقت قصير، ظهرت عينة ثانية تستهدف منغوليا، مع رسالة استدراج تدور حول “توسيع التعاون مع الصين”. ومع تقدم شهر مارس، ظهرت عينتان إضافيتان؛ إحداهما أشارت إلى مقترحات تعاون جزائري أوكراني، بينما استهدفت الأخرى القوات الجوية الكويتية بإغراء يتعلق بالمشتريات الدفاعية، مما يؤكد الانتشار الجغرافي الواسع للحملة.
عملية جَمل الاستنساخ: تكتيكات متغيرة للتجسس السيبراني
حدد محللو شركة Seqrite النطاق الكامل لعملية جَمل الاستنساخ، وأشاروا إلى أنه بينما قد تبدو الدول المستهدفة غير مترابطة، فإن كل دولة منها تقع في نقطة محورية في المشهد الجيوسياسي العالمي الحالي. أوكرانيا لا تزال في مركز صراع مسلح نشط، وتلعب الجزائر دورًا رئيسيًا في سياسات الطاقة الأوروبية والأفريقية. في المقابل، تتنقل منغوليا في ظل توترات بين الصين وروسيا والشركاء الغربيين، وتُعد الكويت شريكًا دفاعيًا استراتيجيًا في الخليج. ويبدو أن المهاجمين اختاروا أهدافهم بعناية بناءً على قيمتها الاستخباراتية بدلاً من الدافع المالي.
يتسم المتجه الهجومي للحملة بالثبات عبر جميع العينات المرصودة. يحتوي كل أرشيف ZIP على ملف اختصار لنظام ويندوز (LNK) إلى جانب صورة إغراء مقنعة تحمل شعارًا حكوميًا رسميًا، مثل ختم وزارة جزائرية، أو شعار MonAtom LLC المنغولي، أو شعار القوات المسلحة الكويتية. عند فتح المستلم للاختصار، يقوم أمر PowerShell مخفي بتنفيذ تعليمات برمجية بصمت في الخلفية، ساحبًا المرحلة التالية للهجوم من منصة خارجية لمشاركة الملفات.
وما يجعل هذه العملية صعبة الكشف بشكل خاص هو الغياب التام لخوادم قيادة وتحكم مخصصة. بدلاً من ذلك، يستضيف المهاجمون جميع حمولاتهم الخبيثة على موقع filebulldogs[.]com، وهو موقع لمشاركة الملفات، ويوجهون البيانات المسروقة عبر التخزين السحابي MEGA. هذا النهج يمزج بفعالية بين حركة المرور الضارة وأنشطة الإنترنت العادية، مما يجعل الكشف عنها عبر المراقبة الشبكية القياسية أكثر صعوبة.
سلسلة الإصابة ودوافع المهاجمين
بمجرد تشغيل ملف الاختصار، يقوم أمر PowerShell بتنزيل ملف JavaScript يُسمى f.js من filebulldogs[.]com وتنفيذه فورًا. هذا المحمل، الذي يتتبعه باحثو Seqrite تحت اسم HOPPINGANT، هو JavaScript لـ Windows Script Host يقوم بتنفيذ تعليمات برمجية PowerShell مشفرة بـ Base64 لتنفيذ أنشطة خبيثة إضافية.
تقوم هذه الأوامر أولاً بتنزيل ملف PDF إغراء مبطن باللون الفارغ لتشتيت انتباه الضحية، ثم تسحب أرشيف ZIP باسم a.zip يحتوي على نسخة محمولة من Rclone، وهي أداة نقل ملفات سحابية مشروعة مفتوحة المصدر، الإصدار v1.70.3. بعد استخلاص Rclone وتشغيله، يقوم البرنامج النصي بفك تشفير كلمة مرور مخزنة باستخدام طريقة XOR بسيطة بمفتاح قيمة 56، ثم يستخدمها لتسجيل الدخول إلى حساب MEGA مسجل تحت عنوان بريد إلكتروني مجهول الهوية من onionmail.org.
مع إنشاء الاتصال، تقوم الأداة بالمسح على سطح مكتب الضحية بحثًا عن ملفات .doc، .docx، .pdf، و .txt وتحميلها مباشرة إلى مساحة تخزين المهاجم. يستهدف البرنامج النصي أيضًا بيانات جلسة Telegram من دليل tdata الخاص بـ Telegram Desktop، مما قد يمنح المهاجم إمكانية الوصول إلى المحادثات الخاصة. تم تحديد أربعة حسابات MEGA فريدة عبر جميع الحملات، تم تسجيل جميعها في فبراير ومارس 2026.
يجب على المنظمات في القطاعات الحكومية والدفاعية والدبلوماسية التعامل بحذر شديد مع ملفات ZIP غير المطلوبة، خاصة تلك التي تشير إلى مؤسسات رسمية أو شراكات دفاعية. يمكن أن يحد حظر الوصول إلى منصات مشاركة الملفات المجهولة ومراقبة حركة المرور الصادرة إلى خدمات التخزين السحابي مثل MEGA من التعرض. يمكن أن يساعد تقييد تنفيذ ملفات LNK من مصادر غير موثوقة ونشر أدوات اكتشاف نقاط النهاية القائمة على السلوك في إيقاف سلسلة التنفيذ القائمة على PowerShell و JavaScript قبل اكتمالها.