أظهرت أحدث التقارير الأمنية أن مجموعة القرصنة المعروفة باسم COLDRIVER، والمرتبطة بروسيا، تكثف جهودها في تطوير برمجيات خبيثة جديدة، مما يشير إلى زيادة في وتيرة عملياتها. يأتي هذا التطور بعد فترة قصيرة من الكشف عن برنامج LOSTKEYS الخبيث.
وفقًا لفرقة استخبارات التهديدات من جوجل (GTIG)، قامت المجموعة بتحسين وتعديل ترسانتها من البرمجيات الخبيثة بسرعة فائقة، حيث لوحظت هذه التطورات بعد خمسة أيام فقط من نشر تقرير حول برنامج LOSTKEYS.
تطورات مستمرة في البرمجيات الخبيثة لـ COLDRIVER
كشفت جوجل عن عائلات برمجيات خبيثة جديدة، طُلب لها أسماء رمزية مثل NOROBOT و YESROBOT و MAYBEROBOT. هذه البرمجيات مرتبطة ببعضها البعض عبر سلسلة وصول متكاملة.
هذه الموجة الجديدة من الهجمات تمثل اختلافًا عن الأساليب المعتادة لمجموعة COLDRIVER، والتي كانت تستهدف في السابق شخصيات بارزة في المنظمات غير الحكومية ومستشارين سياسيين ومعارضين لسرقة بيانات الاعتماد.
أساليب هجومية جديدة
في المقابل، تركز الأنشطة الجديدة على استغلال أدوات تشبه ClickFix لخداع المستخدمين وتشغيل أوامر PowerShell خبيثة عبر نافذة التشغيل (Run dialog) في ويندوز، وذلك تحت ستار التحقق من CAPTCHA وهمي.
في حين أن الهجمات التي لوحظت في يناير ومارس وأبريل 2025 أسفرت عن نشر برنامج LOSTKEYS، إلا أن الاختراقات اللاحقة فتحت الطريق أمام عائلة برمجيات ROBOT. وتجدر الإشارة إلى أن NOROBOT و MAYBEROBOT يتم تتبعهما من قبل Zscaler ThreatLabz تحت اسمي BAITSWITCH و SIMPLEFIX على التوالي.
سلسلة العدوى الجديدة
تبدأ سلسلة العدوى الجديدة بفخ HTML بعنوان COLDCOPY، والذي يقوم بإسقاط ملف DLL يسمى NOROBOT. يتم بعد ذلك تنفيذ هذا الملف عبر rundll32.exe لتنزيل البرمجية الخبيثة التالية.
في البداية، وزعت الإصدارات الأولى من هذا الهجوم برنامج اختراق (backdoor) مكتوب بلغة بايثون يُعرف باسم YESROBOT. لاحقًا، تحول المهاجمون إلى استخدام برنامج مثبت (implant) مكتوب بلغة PowerShell يُسمى MAYBEROBOT.
يستخدم YESROBOT بروتوكول HTTPS لاسترداد الأوامر من خادم تحكم قيادة (C2) مدمج. وهو برنامج اختراق بسيط يدعم القدرة على تنزيل وتنفيذ الملفات، واسترداد المستندات ذات الأهمية.
تم رصد حالتين فقط لنشر YESROBOT حتى الآن، وذلك خلال فترة أسبوعين في أواخر مايو، بعد فترة وجيزة من الكشف عن تفاصيل LOSTKEYS.
قدرات MAYBEROBOT
في المقابل، يُعتقد أن MAYBEROBOT أكثر مرونة وقابلية للتوسيع، فهو مجهز بميزات لتنزيل وتشغيل برمجيات من عنوان URL محدد، وتشغيل الأوامر باستخدام cmd.exe، وتشغيل أكواد PowerShell.
يُعتقد أن مجموعة COLDRIVER سارعت إلى نشر YESROBOT كـ “آلية مؤقتة” ردًا على الكشف العام، قبل التخلي عنها لصالح MAYBEROBOT. ويعود السبب في ذلك إلى أن الإصدارات الأولية من NOROBOT تضمنت خطوة لتنزيل تثبيت كامل لـ Python 3.8 على الجهاز المخترق، وهو ما يُعد علامة “صاخبة” يمكن أن تثير الشكوك.
وأشارت جوجل أيضًا إلى أن استخدام NOROBOT و MAYBEROBOT يُحتمل أن يكون مخصصًا لأهداف مهمة، قد تكون تعرضت للاختراق بالفعل عبر التصيد الاحتيالي، بهدف جمع معلومات إضافية من أجهزتهم.
تحليل الأسباب وراء التطور المستمر
يقول ويسلي شيلدز، باحث في GTIG: “خضعت NOROBOT وسلسلة العدوى السابقة لها لتطور مستمر – في البداية تم تبسيطها لزيادة فرص النجاح في التنفيذ، قبل إعادة إدخال التعقيد عن طريق تقسيم مفاتيح التشفير.
ويضيف شيلدز: “هذا التطور المستمر يسلط الضوء على جهود المجموعة للتهرب من أنظمة الكشف لآلية وصولها من أجل استمرار جمع المعلومات الاستخباراتية ضد أهداف ذات قيمة عالية.”
**الارتباط بقضايا التجسس السيبراني في أوروبا**
يأتي هذا الكشف بالتزامن مع إعلان دائرة الادعاء العام في هولندا، والمعروفة باسم Openbaar Ministerie (OM)، عن الاشتباه في ثلاثة شبان يبلغون من العمر 17 عامًا بتقديم خدمات لحكومة أجنبية، مع الادعاء بأن أحدهم كان على اتصال بمجموعة قرصنة تابعة للحكومة الروسية.
وذكرت OM: “قدم هذا المشتبه به أيضًا تعليمات للآخرين لتحديد شبكات Wi-Fi في عدة تواريخ في لاهاي. تم مشاركة المعلومات التي تم جمعها مع العميل من قبل المشتبه به السابق مقابل رسوم، ويمكن استخدامها للتجسس السيبراني والهجمات السيبرانية.”
تم القبض على اثنين من المشتبه بهم في 22 سبتمبر 2025، بينما تم الاحتجاز المنزلي للمشتبه به الثالث، الذي تم استجوابه أيضًا من قبل السلطات، نظرًا “لدوره المحدود” في القضية.
وأضافت الهيئة الحكومية الهولندية: “لا توجد مؤشرات حتى الآن على ممارسة ضغط على المشتبه به الذي كان على اتصال بمجموعة القرصنة التابعة للحكومة الروسية.”