تعرضت مصفاة نفط ليبية ومنظمة اتصالات ومؤسسة حكومية لحملة تجسس منسقة بين نوفمبر 2025 وفبراير 2026. تضمنت الهجمات استخدام أداة AsyncRAT، وهو حصان طروادة للوصول عن بعد متاح للعامة، مما أثار مخاوف جدية بشأن أمن البنية التحتية الحيوية في ليبيا، خاصة في قطاع النفط الحيوي.
وبحسب باحثين من سيمانتيك، فإن الحملة استهدفت بشكل خاص المنشآت الليبية، مستغلةً أحداثاً سياسية محلية كطعم لجذب الضحايا. ويعكس هذا الاستهداف أهمية قطاع الطاقة الليبي المتنامية، لا سيما في ظل اضطرابات أسواق الطاقة العالمية.
حملة تجسس طويلة الأمد تستهدف البنية التحتية الليبية
كشفت التحليلات الجنائية للشبكات المخترقة عن وجود مستندات خادعة تتعلق بأحداث سياسية ليبية. من أبرز هذه المستندات كان ملف بعنوان “تسريب لقطات كاميرات المراقبة – اغتيال سيف الغزافي.gz”، مستغلاً بهذا حادثة اغتيال سيف الغزافي، نجل الزعيم السابق معمر الغزافي، في فبراير 2026.
مثل هذه العوامل الخادعة المصممة بعناية تشير إلى أن المهاجمين كانوا يستهدفون منظمات ليبية محددة بدقة. إن امتلاك منفذي الهجوم لقدرة الوصول المستمر لشبكة شركة النفط من نوفمبر 2025 إلى منتصف فبراير 2026، مع تسجيل نشاط إضافي في ديسمبر 2025، يؤكد نيتهم في الحفاظ على موطئ قدم سري لجمع المعلومات الاستخباراتية.
أهمية قطاع النفط الليبي
تزايدت أهمية قطاع الطاقة في ليبيا، حيث سجلت البلاد إنتاج نفط بلغ 1.37 مليون برميل يومياً في العام الماضي، وهو أعلى مستوى له منذ نحو 12 عاماً. في ظل الصراعات في منطقة الخليج والمخاوف من ارتفاع أسعار النفط إلى ما فوق 200 دولار للبرميل، فإن استهداف مصفاة ليبية يحمل وزناً جيوسياسياً واضحاً.
وقد ساهمت الاشتباكات في مضيق هرمز، الذي يمر عبره حوالي 20% من إمدادات النفط العالمية، في زعزعة استقرار أسواق الطاقة العالمية وجذب المزيد من الانتباه إلى منتجي النفط خارج إيران. وتشير الملفات الموجودة على VirusTotal إلى أن هذه الحملة قد تكون بدأت في وقت مبكر من أبريل 2025، مع وجود ملفات متعددة تحمل أسماء ذات طابع ليبي.
سلسلة العدوى متعددة المراحل
بدأت عملية الإصابة عبر بريد إلكتروني تصيدي متطور (spear-phishing) يحتوي على مستند خادع محلي الطابع، مصمم لجذب انتباه الهدف. كما تم العثور على أداة تنزيل مبنية بلغة VBS تحمل اسم ملف ذي صلة سياسية، مثل “video_saif_gadafi_2026.vbs”، على الأجهزة المصابة. تم سحب هذه الأداة من KrakenFiles، وهي منصة استضافة ملفات سحابية، مما يمثل بداية اختراق مرحلي بعناية.
بمجرد تنفيذ ملف VBS، قام بتنزيل أداة إخفاء (dropper) تعمل عبر PowerShell، ومخبأة تحت اسم الملف “image.png”. تولت هذه الأداة إنشاء مهمة مجدولة في نظام ويندوز تحمل اسم “devil” من ملف تكوين XML مخزن في المسار C:UsersPublicMusicGoogless.xml. هدفت هذه المهمة إلى ضمان تشغيل أداة الإخفاء في وقت محدد مسبقًا، بعد ذلك تم حذف المهمة لإزالة آثار وجودها والتملص من الكشف الروتيني.
كانت أداة AsyncRAT هي الحمولة النهائية التي تم تسليمها بعد هذه الإجراءات، مما منح المهاجم سيطرة كاملة عن بعد على النظام المخترق. تسمح هذه الأداة بالتقاط ضغطات المفاتيح، وأخذ لقطات الشاشة، وتنفيذ الأوامر. وبفضل طبيعتها المعيارية، تمكن المهاجم من تحديث قدراتها بصمت دون تعطيل العملية الجارية.
توصيات دفاعية
ينبغي للمنظمات في قطاع الطاقة، بالإضافة إلى تلك العاملة في مجال الحكومة والاتصالات، تعزيز دفاعاتها ضد التصيد الاحتيالي من خلال تدريب الموظفين على التعرف على التكتيكات الخادعة ذات الطابع السياسي، خاصة تلك المرتبطة بالأحداث الجارية. يجب على فرق الأمن إعداد قواعد مراقبة لإنشاء المهام المجدولة غير العادية، لا سيما المهام المرتبطة بملفات XML الموضوعة في الأدلة العامة، حيث يعكس هذا مباشرة نهج المثابرة المستخدم في هذه الحملة.
يجب تقييد تنفيذ ملفات VBS والملفات النصية الأخرى من مصادر غير موثوق بها أو خارجية. كما ينبغي الحد من استخدام PowerShell لتقتصر على العمليات المصرح بها والمراقبة، وذلك لقطع مسار تسليم هذه الأنواع من أدوات الإخفاء متعددة المراحل. يعد نشر أدوات الكشف عن نقطة النهاية، التي يمكنها تحديد أنماط سلوك AsyncRAT – مثل تسجيل ضغطات المفاتيح غير المصرح به، ونشاط التقاط الشاشة، واتصالات القيادة والتحكم الخارجية – أمرًا ضروريًا لأي منظمة تعمل في قطاع عالي المخاطر.