كشفت تحقيقات أمنية مؤخراً عن حملة تجسس إلكتروني متطورة تحت اسم “Operation Hanoi Thief”، تستهدف بشكل خاص متخصصي تقنية المعلومات وفرق التوظيف في فيتنام. تم اكتشاف النشاط التخريبي في 3 نوفمبر 2025، ويستخدم سلسلة إصابة معقدة متعددة المراحل مصممة لسرقة بيانات اعتماد المتصفح وسجل التصفح الحساس.
تعتمد الجهات المهاجمة على استراتيجية تصيد احتيالي خبيثة، حيث تقوم بتوزيع أرشيف ZIP يحمل اسم Le-Xuan-Son_CV.zip، والذي يتنكر كسيرة ذاتية لطلب وظيفة شرعي من مطور برامج مقيم في هانوي. يبدأ مسار الإصابة عندما يتفاعل الضحية مع ملف اختصار، CV.pdf.lnk، الموجود داخل الأرشيف.
فهم عملية Operation Hanoi Thief: التهديد الجديد الذي يستهدف المحترفين
يكشف التحليل التقني المفصل للعملية أن ملف الاختصار يقوم بتشغيل سلسلة من الأحداث التي تستغل تقنيات “العيش من موارد النظام” (Living off the Land – LOLBin). على وجه الخصوص، يستغل الملف أداة ftp.exe الخاصة بنظام ويندوز بالمعامل -s لتنفيذ سكربت دفعي مخبأ داخل ملف pseudo-polyglot يسمى offsec-certified-professional.png.
هذا الملف لديه وظيفة مزدوجة، فهو يعمل كطعم بصري جذاب وغير ضار، وفي نفس الوقت يعمل كحاوية خبيثة. هذه التقنية تسمح له بتجنب آليات الكشف التقليدية عن طريق إخفاء الحمولة الخبيثة داخل رؤوس ملفات الصور الشرعية.
ويشير هذا التكتيك إلى طبيعة الهجوم المتخفية، حيث تمكن الجهات المهاجمة من التسلل دون أن يتم اكتشافها في المراحل الأولية. وبحسب محللي الأمن في Seqrite، يُعتقد أن هذه الحملة ذات أصل صيني، وذلك لوجود تداخلات في أساليبها مع أنشطة سابقة ترعاها دول.
تحليل مفصل للحمولة الخبيثة LOTUSHARVEST
يكمن جوهر هذا الهجوم في تنفيذ الوحدة الخبيثة المعروفة باسم LOTUSHARVEST. بمجرد تشغيل السكربت الأولي، تستغل الحمولة أداة DeviceCredentialDeployment.exe لإخفاء أنشطتها في سطر الأوامر، كما تقوم بإعادة تسمية أدوات النظام مثل certutil.exe إلى lala.exe لتجاوز إجراءات المراقبة.
ضمن سلسلة الإصابة، يقوم السكربت بعد ذلك باستخراج معلومات مشفرة باستخدام Base64 من ملف الـ pseudo-polyglot. يتم فك تشفير هذه المعلومات لتتحول إلى ملف DLL خبيث يسمى MsCtfMonitor.dll. يتم تحميل هذا الـ DLL بشكل جانبي باستخدام ملف ctfmon.exe الشرعي، والذي يتم نسخه إلى دليل C:ProgramData.
تعمل LOTUSHARVEST كأداة قوية لسرقة المعلومات، وتستخدم فحوصات مضادة للتحليل مثل IsDebuggerPresent و IsProcessorFeaturePresent لتعطيل نفسها إذا تم اكتشاف تحليلها. وتستهدف الحمولة بشكل خاص متصفحي Google Chrome و Microsoft Edge. تقوم بالاستعلام عن قواعد بيانات SQLite لسرقة أفضل 20 عنوان URL تمت زيارته، وفك تشفير ما يصل إلى خمس بيانات اعتماد محفوظة باستخدام CryptUnprotectData.
في المرحلة النهائية، يتم تنسيق البيانات المسروقة بصيغة JSON وإرسالها عبر طلب HTTPS POST إلى الخادم eol4hkm8mfoeevs.m.pipedream.net/service، والذي يخضع لسيطرة المهاجمين. يبدو أن الهدف الرئيسي للحملة هو جمع المعلومات المخابراتية، مع التركيز بشكل خاص على سرقة بيانات تسجيل الدخول وعادات التصفح من الضحايا في قطاعي التكنولوجيا والموارد البشرية.