كشفت أبحاث حديثة عن اكتشاف ثانٍ لمجموعة برمجيات خبيثة روسية يُعتقد أنها تستغل ثغرات في نظام iOS، كانت قد طُورت في الأصل لصالح حكومات غربية. يشير هذا الاكتشاف إلى اتجاهات مقلقة في عالم الأمن السيبراني.
يأتي هذا البحث، الذي نشرته منصات iVerify وLookout وجوجل، كمتابعة لتسريبات سابقة حول أدوات استغلال مشابهة. ورغم أن هذه الأدوات الثانية، المسماة Darksword، استهدفت مستخدمين في أوكرانيا، إلا أن حجم المشكلة كبير؛ حيث تقدر iVerify أن ما يصل إلى 270 مليون مستخدم لهواتف آيفون قد يكونون عرضة للخطر، بينما ذكرت Lookout أن حوالي 15% من جميع أجهزة iOS قيد الاستخدام حالياً تعمل بإصدار iOS 18 أو أقدم، مما يجعلها عرضة لأدوات الاستغلال هذه.
اكتشاف استغلالات Darksword يعزز المخاوف الأمنية
يكشف البحث عن تفاصيل جديدة وأنماط مثيرة للاهتمام حول كيفية عمل هذه الأدوات. فبينما استهدفت مجموعات تجسس روسية وصينية سابقة، مثل Coruna، المكاسب المالية، تظهر علامات على أن Darksword قد تخدم أغراضاً مزدوجة تشمل المراقبة وربما إلحاق الضرر.
من جهة أخرى، لاحظت Lookout استخدام نماذج لغوية كبيرة لتخصيص كل من Coruna وDarksword. هذا يشير إلى تزايد تعقيد الهجمات السيبرانية وإمكانية قيام حتى الجهات ذات الدوافع المالية بتطوير أدوات متطورة.
إضافة إلى ذلك، يعزز اكتشاف Darksword المخاوف السابقة بشأن سوق ثانوية لأدوات الاستغلال. وأوضحت Lookout وiVerify أن هذا النوع من الأدوات بات ينتشر بشكل أوسع، مما يهدد قاعدة مستخدمي الهواتف الذكية.
تُعد Darksword ثاني حملة استغلال جماعية لأنظمة iOS يتم اكتشافها هذا الشهر، بعد حملة Coruna. ويشير خبراء الأمن السيبراني إلى أن هذه التطورات تؤكد انتقال الهجمات السيبرانية بشكل متزايد نحو الهواتف المحمولة، مع تزايد نسبة استخدام الإنترنت عبر هذه الأجهزة.
آليات عمل Darksword وطبيعة التهديد
بحسب الباحثين، يمكن لأدوات Darksword سرقة كلمات المرور المخزنة، والمحافظ الرقمية المشفرة، والرسائل النصية، وغيرها. ويعتمد المهاجمون على استغلال ثغرة WebKit في هواتف آبل، ثم استخدام WebGPU كنقطة انطلاق لتجاوز قيود الأمان، وفقاً لـ Justin Albrecht، المدير العالمي لاستخبارات تهديدات الهواتف المحمولة في Lookout.
المثير للاهتمام، أن الهوية الدقيقة وراء أدوات الاستغلال هذه، بخلاف الصلات الروسية، لا تزال غير واضحة تماماً. فبينما تستضيف Darksword نفس البنية التحتية للتحكم والقيادة مثل Coruna، إلا أنها مجموعة منفصلة تم تطويرها بواسطة أفراد مختلفين. وقد نسبت جوجل الحملات إلى مجموعة تتعقبها باسم UNC6353، وتصفها بأنها مجموعة تجسس مدعومة من روسيا.
تتداخل دوافع المهاجمين أيضاً، حيث تمزج فيما يبدو بين أهداف التجسس والأهداف المالية. وأشار Albrecht إلى وجود سوابق لهذا الأمر؛ فقد استهدفت مجموعات تهديد روسية العملات المشفرة في أوكرانيا من قبل، أبرزها مع Infamous Chisel، وهي أداة استغلال لأنظمة أندرويد نشرتها مجموعة Sandworm.
“من المحتمل أنهم مدعومون جيداً، ومتصلون بشكل واسع، ولكن المؤكد أنهم يسرقون العملات المشفرة. هناك بالتأكيد دافع مالي”، أكد Albrecht. وأضاف أن السؤال الكبير حالياً، اعتماداً على هوية المجموعة، هو ما إذا كان الدافع المالي في هذه الحالة يهدف فقط إلى إلحاق الضرر بالأوكرانيين، أم لسرقة العملات المشفرة.
تجدر الإشارة إلى أن روسيا تخضع لعقوبات مشددة منذ فترة طويلة، وبدأت تواجه مشاكل في الميزانية بسبب الحرب المستمرة في أوكرانيا. ويبدو أن تمويل العمليات عبر الأموال المسروقة أصبح خياراً مطروحاً، وهو ما قد يمثل تحولاً في أساليب عمل مجموعات التهديد المتقدمة المستمرة (APTs) الروسية بشكل عام.
في سياق متصل، يمكن أن تكون هذه الأدوات مفيدة لمن يسعى لإجراء تحليل “نمط الحياة” للمستهدفين، وبالتالي تكون ذات قيمة لأغراض المراقبة والاستخبارات، كما ذكر Cole. وأشار إلى احتمال أن تكون هذه الأدوات قد طُورت من قبل بائع تجسس تجاري دون جمهور مستهدف محدد، مما يجعلها متعددة الاستخدامات.
ومع ذلك، يكمن القلق الرئيسي لـ Cole في وجود سوق متزايد لهذه الأنواع من الأدوات، مما قد يعطي المستخدمين انطباعاً خاطئاً بالأمان حول هواتف الآيفون، ويقلل حذرهم.
بينما تتسم أدوات الاستغلال نفسها بالتعقيد، إلا أن الجهات الفاعلة وراء Darksword قد لا تكون ذات خبرة كبيرة، حسب Albrecht. فقد لوحظ أن الشفرة البرمجية لم تكن مشفرة بأي شكل، وكان المكون الخاص بالخادم يحمل تسمية “Dark sword file receiver”، وهو ما يعد مؤشراً على ضعف الأمن التشغيلي من قبل جهة تهديد روسية مخضرمة.
“من جهات التهديد الروسية ذات الخبرة، مثل APT29، أتوقع مستوى أعلى من الأمن التشغيلي”، قال Albrecht.
من بين النتائج الأكثر غرابة في هذا البحث هو وجود شفرة برمجية واضحة تم إنتاجها بواسطة نماذج لغوية كبيرة. يتضمن المكون الخاص بالخادم في Darksword، على سبيل المثال، علامات مميزة للشفرة التي تم إنشاؤها بواسطة الذكاء الاصطناعي، مع تفاصيل وتعليقات نموذجية لناتج نماذج اللغة الكبيرة. وهذا التطور يقلل بشكل فعال من حاجز الدخول أمام نشر أدوات استغلال الهواتف المحمولة المتقدمة، حتى بين الجهات الفاعلة المدعومة من الدول.
وقد تواصلت فرق البحث الثلاث مع شركة آبل بشأن هذه الاكتشافات، ومن المرجح أن تكون جوجل على اتصال وثيق بها، خاصة وأنها بدأت في التحقيق في هذا التهديد أواخر عام 2025. ولم تُتح جوجل بحثها لـ CyberScoop قبل النشر.