كشف تقرير أمني حديث عن قيام مجموعة تهديدات سيبرانية مرتبطة بكوريا الشمالية، تُعرف باسم UNC1069، بحملة احتيالية متقنة تستهدف المتخصصين في مجال العملات المشفرة وتقنية Web3. تهدف هذه الحملة إلى خداع الضحايا للانضمام إلى اجتماعات افتراضية وهمية، بهدف إصابة أجهزتهم ببرمجيات خبيثة مصممة لسرقة الأصول الرقمية.
يستخدم المهاجمون واجهات مشابهة لتطبيقات الاجتماعات الشهيرة مثل Zoom و Microsoft Teams لخداع المستهدفين. يبدأون بالتواصل عبر منصات مثل LinkedIn و Telegram، وغالباً ما يستخدمون حسابات تم اختراقها سابقاً لزيادة مصداقيتهم. بعد ذلك، يرسلون روابط لجدولة الاجتماعات عبر Calendly، تدعو الضحايا للانضمام إلى منصات وهمية مصممة بعناية لتبدو حقيقية.
حملة UNC1069: أساليب متطورة لسرقة الأصول الرقمية
تعتمد مجموعة UNC1069 على أساليب هندسة اجتماعية متقدمة لبناء الثقة مع ضحاياها قبل تنفيذ الهجوم. غالباً ما يبدأون بالادعاء بأنهم يمثلون شركات استثمارية مرموقة، ويبحثون عن فرص شراكة أو استثمار. هذه المزاعم، إلى جانب الاستخدام المحتمل لمقاطع فيديو مزيفة بتقنية “التزييف العميق” (deepfake) لشخصيات تنفيذية معروفة، تزيد من احتمالية وقوع الضحية في الفخ.
ما يميز هذه الحملة هو القدرة على محاكاة ميزات الاجتماعات المباشرة، حيث يشارك المهاجمون أنفسهم في الاجتماعات الوهمية. هذا يعزز إحساس الضحية بالانخراط في محادثة حقيقية، مما يقلل من شكوكه.
خداع الضحايا وإصابتهم بالبرمجيات الخبيثة
عندما ينضم الضحية إلى الاجتماع الوهمي، يتم إخباره بوجود مشكلة في الميكروفون أو الكاميرا. يقوم المهاجم بخلق شعور بالإلحاح، ويضغط على الضحية لتصحيح المشكلة بسرعة. في هذه الأثناء، يظهر على الشاشة طلب يوجه الضحية لنسخ وتشغيل سطر من الأوامر.
يُعد هذا الأمر هو اللحظة الحاسمة التي يتم فيها تثبيت البرمجيات الخبيثة على جهاز الضحية. بمجرد تشغيل هذا الكود، يصبح لدى المهاجم وصول غير مصرح به إلى النظام، مما يفتح الباب لعمليات سرقة البيانات.
وفقاً لبحث أجرته شركة Validin في أبريل 2026، فإن هذه البرمجيات الخبيثة هي تحديثات لبرنامج Cabbage RAT، المعروف أيضاً باسم CageyChameleon. تم بناؤها خصيصاً لأنظمة التشغيل المختلفة، بما في ذلك Windows و macOS و Linux، مما يدل على قدرة تقنية عالية للمجموعة.
بالإضافة إلى ذلك، ربط البحث بين UNC1069 واختراق حزمة Axios NPM الأخيرة، وكشف عن تداخلات مع مجموعة التهديدات Bluenoroff التي تم الإبلاغ عنها سابقاً. هذا يشير إلى شبكة واسعة من الأنشطة الخبيثة تحت مظلة واحدة.
لا يقتصر تأثير هذه الحملة على اختراق الأنظمة فحسب، بل تمتد إلى تسجيل الصوت والفيديو مباشرة من متصفح الضحية. تستخدم المنصات الوهمية واجهات برمجة التطبيقات (API) لالتقاط هذه البيانات، وإرسالها إلى خوادم يتحكم بها المهاجمون. هذه التسجيلات يعاد استخدامها في حملات مستقبلية لإضفاء مصداقية أكبر على هجماتهم، مما يجعل اكتشافها أكثر صعوبة.
الهجوم على أنظمة ويندوز: خطوات متتبعة
في أنظمة ويندوز، يوجه طلب “ClickFix” المستخدم لفتح نافذة موجه الأوامر بامتيازات المسؤول. يتم بعد ذلك لصق وتنفيذ مجموعة من الأوامر التي تسحب برمجيات خبيثة من خوادم المهاجمين.
يقوم السكربت الأول بتحميل ملف VBScript، ثم يقوم بتشغيله مرتين. يقوم أيضاً بإضافة المجلد C:Users إلى قائمة الاستثناءات في Windows Defender، ويعيد تشغيل خدمة WinDefend لإيقاف أي تنبيهات يحتمل أن يتم إصدارها.
يُعد ملف VBScript نفسه نسخة محدثة من Cabbage RAT. يبدأ بجمع معلومات النظام التفصيلية، بما في ذلك اسم المستخدم الحالي، اسم الجهاز، إصدار نظام التشغيل، وملحقات المتصفح المثبتة. يهدف جمع معلومات ملحقات متصفح Google Chrome بشكل خاص إلى تحديد الملحقات المتعلقة بمحافظ العملات المشفرة.
تتضمن التغييرات الهامة في هذه النسخة إدخال ملف اختصار (.lnk) في مجلد بدء التشغيل الخاص بنظام ويندوز، مما يضمن تشغيل البرمجية الخبيثة تلقائياً مع كل تسجيل دخول للمستخدم. يتواصل RAT مع خادم القيادة والتحكم الخاص به، مرسلاً بيانات المضيف وينتظر استجابات مشفرة محددة.
ينصح فرق الأمن بمعاملة أي طلبات غير متوقعة لتشغيل أوامر من خلال موجه الأوامر أثناء مكالمات الفيديو كعلامة حمراء خطيرة. يجب على المؤسسات العاملة في مجال العملات المشفرة و Web3 التحقق دائماً من هوية منظّمي الاجتماعات عبر قنوات اتصال موثوقة وخارجية قبل الانضمام إلى أي جلسة.