يتصدر برمجيات SolyxImmortal الخبيثة، المصممة لاستهداف أنظمة ويندوز، مشهد التهديدات الرقمية الحديثة. تستغل هذه البرمجية، المكتوبة بلغة بايثون، منصة Discord بشكل خبيث لجمع المعلومات الحساسة بصمت، مما يثير مخاوف عميقة بشأن أمن البيانات.
تُعد SolyxImmortal تطوراً ملحوظاً في مجال برمجيات سرقة المعلومات، حيث تدمج قدرات متعددة لجمع البيانات في برنامج واحد مصمم للتجسس طويل الأمد بدلاً من النشاط التدميري.
تعمل البرمجية الخبيثة بصمت في الخلفية، وتقوم بجمع بيانات الاعتماد، والوثائق، وضغطات المفاتيح، ولقطات الشاشة، ثم ترسل المعلومات المسروقة مباشرة إلى المهاجمين عبر خطافات Discord (Discord webhooks).
يشير ظهور SolyxImmortal في يناير 2026 إلى تحول نحو نماذج تشغيل أكثر تخفياً، تركز على المراقبة المستمرة بدلاً من الاستغلال السريع.
تتمثل طريقة الهجوم الرئيسية في توزيع البرمجية الخبيثة، والتي يتم حزمها كملف نصي بايثون يبدو شرعياً باسم “Lethalcompany.py”، إلى الأنظمة المستهدفة.
بمجرد تنفيذها، تبدأ SolyxImmortal على الفور في ترسيخ وجودها عبر آليات متعددة وتشغيل خيوط مراقبة في الخلفية.
لا تنتشر البرمجية الخبيثة جانبياً أو تتكاثر بنفسها، بل تركز بشكل كامل على جمع البيانات من جهاز واحد تم اختراقه.
هذا النهج المركز يتيح للمهاجمين الحفاظ على رؤية طويلة الأمد لأنشطة المستخدم دون جذب الانتباه. ويشير هذا إلى أسلوب أكثر دقة واستمرارية في الهجمات السيبرانية.
حدد محللو Cyfirma برمجية SolyxImmortal كتهديد متطور يستغل واجهات برمجة تطبيقات ويندوز الشرعية والمنصات الموثوقة لاتصالات القيادة والتحكم.
يعكس تصميم البرمجية الخبيثة نضجاً تشغيلياً، مع التركيز على الموثوقية والتخفي بدلاً من التعقيد. هذا التركيز على الكفاءة التشغيلية يميزها عن بعض البرمجيات الخبيثة الأخرى.
من خلال استخدام خطافات Discord لإرسال البيانات، يستغل المهاجمون سمعة المنصة وتشفير HTTPS لتجنب الكشف عن طريق الشبكة. وهذا مثال حديث لكيفية إساءة استخدام الخدمات المشروعة لإخفاء النشاط الضار.
آلية الترسيخ وسرقة بيانات اعتماد المتصفح
ترسخ البرمجية الخبيثة وجودها عن طريق نسخ نفسها إلى موقع مخفي ضمن دليل AppData، وإعادة تسميتها لتبدو مكوناً شرعياً لنظام ويندوز.
ثم تقوم بتسجيل نفسها في مفتاح التشغيل (Run key) بسجل ويندوز، مما يضمن التنفيذ التلقائي عند كل تسجيل دخول للمستخدم دون الحاجة إلى صلاحيات إدارية. هذا يضمن استمرار تشغيلها.
تستهدف SolyxImmortal متصفحات متعددة بما في ذلك Chrome و Edge و Brave و Opera GX عن طريق الوصول إلى أدلة ملفات التعريف الخاصة بها.
تستخرج البرمجية الخبيثة مفاتيح التشفير الرئيسية للمتصفح باستخدام Windows DPAPI، ثم تقوم بفك تشفير بيانات الاعتماد المخزنة عبر تشفير AES-GCM. تظهر بيانات الاعتماد المستردة بصيغة نص عادي قبل إرسالها، مما يشير إلى الحد الأدنى من تدابير الأمان المحلية.
تقوم البرمجية أيضاً بجمع الوثائق عن طريق مسح دليل المستخدم الرئيسي بحثاً عن ملفات ذات امتدادات محددة مثل .pdf و .docx و .xlsx. تقوم بتصفية النتائج حسب حجم الملف لتجنب زيادة الحمل على الشبكة.
يتم ضغط جميع القطع الأثرية المسروقة في أرشيف ZIP ويتم إرسالها إلى خطافات Discord التي يسيطر عليها المهاجمون، مما يكمل دورة سرقة البيانات.