كشفت تقارير أمنية حديثة عن توسع كبير في عمليات مجموعة القرصنة الروسية “بلو دلتا” (BlueDelta)، التي يُعتقد أنها مدعومة من الاستخبارات العسكرية الروسية، حيث استهدفت جهات حكومية وقطاعات حيوية باستخدام حملات تصيد احتيالي متطورة. خلال الفترة من فبراير إلى سبتمبر من عام 2025، شنت المجموعة عدة هجمات استهدفت سرقة بيانات تسجيل الدخول لمستخدمي خدمات مثل Microsoft Outlook Web Access (OWA)، وGoogle، وSophos VPN.
تشير هذه الهجمات المتزايدة إلى التزام المجموعة بجمع معلومات حساسة تتعلق بالمسؤولين الحكوميين، العاملين في قطاع الطاقة، والمتخصصين في الأبحاث عبر أوروبا وأوراسيا. تعكس هذه الأنشطة تطوراً ملحوظاً في أساليب عمل “بلو دلتا”، التي دأبت على استهداف المؤسسات الحساسة منذ منتصف العقد الأول من القرن الحالي، مع تركيز خاص على الجهات المرتبطة بأبحاث الطاقة، والتعاون الدفاعي، وشبكات الاتصالات الحكومية.
تطور تقنيات BlueDelta في سرقة بيانات الاعتماد
تُظهر الحملات الأخيرة مستوى عالياً من التعقيد في الجمع بين مراحل هجوم متعددة، واستخدام أكواد مخصصة، ومستندات إغراء تبدو حقيقية، وذلك بهدف تجاوز الضوابط الأمنية وتعزيز ثقة الضحايا. وقد تمكن محللو شركة Recorded Future من تحديد البرمجيات الخبيثة المستخدمة بعد مرحلة الانتشار الثانية، وكشف آليات الهجوم الفنية.
اعتمدت “بلو دلتا” بشكل كبير على خدمات استضافة مجانية كـ Webhook.site، وInfinityFree، وByet Internet Services، وngrok، لاستضافة صفحات تسجيل الدخول الوهمية، مما يسمح لها بالتقاط بيانات المستخدم المسروقة تلقائياً. هذا الاستراتيجية في البنية التحتية تساهم في تقليل التكاليف التشغيلية مع الحفاظ على المرونة من خلال استخدام خدمات يمكن التخلص منها.
آلية التقاط بيانات الاعتماد متعددة المراحل
تتبع آلية الإصابة التي تستخدمها “بلو دلتا” سلسلة دقيقة من عمليات إعادة التوجيه المصممة لجمع بيانات المستخدمين مع الحفاظ على مظهر شرعي. فعندما ينقر الضحية على رابط التصيد، يواجه أولاً مستندات PDF شرعية من مؤسسات مثل “مركز الخليج للأبحاث” (Gulf Research Center).
تعرض هذه المستندات لمدة ثانيتين تقريباً، قبل أن يتم إعادة توجيه الصفحة تلقائياً إلى بوابة تسجيل دخول مزيفة تحاكي واجهات Microsoft أو Google أو Sophos الأصلية. تستخدم الأكواد الخبيثة وظائف JavaScript لالتقاط معلومات الضحية بشكل منهجي.
يقوم الكود باستخلاص عناوين البريد الإلكتروني من معلمات عنوان URL، ثم يرسل “إشعار فتح الصفحة” (page-opened beacon) يحتوي على البريد الإلكتروني للضحية، وعنوان IP، ومعلومات المتصفح إلى خادم القيادة الخاص بـ “بلو دلتا”. وعندما يدخل الضحايا بيانات اعتمادهم، تلتقط JavaScript إضافية اسم المستخدم وكلمة المرور، ثم ترسل هذه المعلومات عبر طلبات HTTP POST إلى نقطة النهاية التي يتحكم بها المهاجم.
ما يجعل هذه الطريقة فعالة للغاية هو تعديل “بلو دلتا” لعنوان URL المعروض في المتصفح. فبعد إرسال بيانات الاعتماد، تتغير الصفحة من عرض نطاق التصيد إلى عرض “/owa/” أو “/pdfviewer?pdf=browser”، مما يعطي انطباعاً بواجهة تطبيق شرعية. ومن ثم، تعيد الصفحة توجيه المستخدم إلى ملف PDF الأصلي أو بوابة تسجيل دخول حقيقية تابعة للمؤسسة المستهدفة، مما يجعل الضحايا يعتقدون أنهم أكملوا عملية مصادقة عادية.
يعكس التحسين المستمر لهذه التقنيات من قبل المجموعة فهماً متطوراً لعلم نفس المستخدمين وسلوك متصفحات الويب، مما يسمح لـ “بلو دلتا” بالحفاظ على معدلات نجاح عالية في سرقة بيانات الاعتماد مع التهرب من الكشف.