أطلقت مجموعة SideWinder، وهي مجموعة تهديدات مستمرة متقدمة معروفة، حملة تصيد احتيالي موجهة بدقة ضد منظمات حكومية في جنوب آسيا. تستخدم المجموعة عارض مستندات PDF مزيف يشبه Google Chrome واستنساخاً دقيقاً لبوابة تسجيل الدخول لبريد Zimbra الإلكتروني لسرقة بيانات اعتماد الموظفين.
الحملة، التي تنشط منذ فبراير 2026 على الأقل، تستهدف مؤسسات حساسة بما في ذلك البحرية البنغلاديشية ووزارة الخارجية الباكستانية والعديد من الهيئات الدفاعية والحكومية الأخرى في جميع أنحاء المنطقة. تركز هذه الهجمات السيبرانية على الحصول على وصول غير مصرح به إلى المعلومات الحساسة.
آلية عمل هجمات SideWinder
تبدأ الهجوم بإرسال رابط تصيد احتيالي إلى الأفراد المستهدفين. عند فتح الرابط، يهبط الضحية على صفحة تبدو مطابقاً تماماً لعرض PDF المدمج في Google Chrome. هذا التزييف يهدف إلى خداع المستخدم وجعله يثق في الصفحة.
يستخدم نظام التصيد الاحتيالي، الذي أطلق عليه داخلياً اسم Z2FA_LTS، الإصدار 2.16.105 من PDF.js لعرض هذا العارض المزيف، مزوداً بأدوات للتحكم في التكبير والطباعة والتنقل بين الصفحات والتنزيل. كل هذه الميزات تعزز المظهر الشرعي للصفحة.
الوثيقة المعروضة هي بالفعل كابل دبلوماسي حكومي باكستاني مسروق يتعلق بالاجتماع 152 للاتحاد البرلماني الدولي في اسطنبول، ولكنها متعمدة أن تكون غير واضحة حتى لا يتمكن الضحية من قراءتها. بعد خمس ثوان، تعيد الصفحة تلقائياً توجيه الضحية إلى المرحلة التالية من الهجوم.
استغلال منصة Cloudflare
حدد محللو Breakglass Intelligence مجموعة التصيد الاحتيالي بعد أن لفت الباحث @volrant136 الانتباه إلى رابط Cloudflare Workers يستضيف أداة لجمع بيانات اعتماد Zimbra تستهدف بوابة البريد الإلكتروني لـ البحرية البنغلاديشية.
من خلال تحليل URLScan، قام الباحثون بتعيين 7 عمليات تصيد احتيالي مختلفة تم نشرها عبر حسابين على Cloudflare على مدار ثلاثة أشهر، مستهدفة البحرية البنغلاديشية ووزارة الخارجية الباكستانية ومستخدمي iCloud وNayatel ومجلس الكمبيوتر البنغلاديشي. يؤكد هذا الانتشار على اتساع نطاق الحملة.
أكد العديد من الباحثين المستقلين، بما في ذلك @Huntio، @500mk500، @MichalKoczwara، و @malwrhunterteam، الانتماء إلى مجموعة SideWinder. هذا يؤكد خطورة التهديد.
تفاصيل فنية تكشف عن المهاجم
أحد التفاصيل الحاسمة التي كشفت عنها التحقيقات كان فشلاً كبيراً في الأمن التشغيلي من قبل مطور مجموعة التصيد. عندما أرسل المحللون طلباً POST بدون معلمة استعلام متوقعة، أعاد الخادم خطأ 500 كاشفاً عن تتبع مكدس Express.js كامل. هذا سمح بفهم أعمق لكيفية عمل النظام.
كشف المسار المسرب “/home/moincox/Z2FA_LTS/app.js” عن اسم المستخدم للمطور على Linux وهو “moincox” واسم المشروع الداخلي Z2FA_LTS، والذي يرمز إلى “Zimbra 2FA Long-Term Support”. هذا يشير إلى أن المطور يعمل على تطوير مستمر.
يشير الملصق “LTS” إلى أن المطور يحتفظ بفروع إصدارات متعددة لهذه المجموعة التصيدية. لم تسفر معالجة اسم المطور “moincox” عن أي نتائج على GitHub أو npm أو منصات الاستضافة الرئيسية للكود. هذا يجعل تحديد هوية المهاجم أكثر صعوبة.
خطوات الحماية والتوصيات
يجب على الفرق الأمنية والمؤسسات المتأثرة اتخاذ عدة خطوات فورية. يجب على البحرية البنغلاديشية تدوير جميع بيانات الاعتماد لمستخدمي mail.navy.mil.bd دون تأخير، ويجب إبلاغ BGD e-GOV CIRT عن عملية جمع بيانات الاعتماد النشطة. هذه الخطوات ضرورية لاحتواء التهديد.
يجب أيضاً تنبيه NTIS الباكستانية فيما يتعلق بالاتصالات الدبلوماسية المسربة المستخدمة كطُعم. يجب الإبلاغ عن عامل التصيد الاحتيالي في twilight-violet-55a5.malik-jaani786.workers.dev إلى Cloudflare Trust and Safety. هذا يساعد في الحفاظ على سلامة النظام.
يجب على المؤسسات حظر جميع النطاقات الفرعية تحت malik-jaani786.workers.dev ومراقبة URLScan بحثاً عن نطاقات فرعية جديدة لـ Workers من نفس الحساب. هذه المراقبة المستمرة ضرورية لاكتشاف أي أنشطة مشبوهة.
يجب على الفرق الأمنية أيضاً مراقبة حسابات Cloudflare Workers الجديدة التي تستخدم نفس نمط Express.js ونسخ Zimbra، حيث قام الفاعل المهدد بالفعل بتدوير الحسابات مرة واحدة من girlfriendparty42.workers.dev إلى malik-jaani786. يجب أن تكون الفرق على دراية بتكتيكات المهاجم المتغيرة.