كشفت تقارير أمنية حديثة عن قيام مجموعة قرصنة تُعرف باسم TA446 باستخدام حزمة استغلال جديدة تُدعى DarkSword لاستهداف مستخدمي نظام التشغيل iOS. هذا التحول في أساليب المجموعة يُعد تطورًا ملحوظًا، خاصة وأن أنشطتها السابقة لم تظهر أي استخدام لحزم الاستغلال.
بدأت هذه الحملة في الظهور حوالي 26 مارس 2026، عندما لوحظ قيام المجموعة بانتحال صفة “المجلس الأطلسي”، وهي منظمة دولية مرموقة، لإغراء الضحايا بالنقر على روابط خبيثة. يتضح من خلال هذا الاستغلال لاسم مؤسسة مرموقة مدى سعي المجموعة لتقديم هجماتها بشكل مقنع وموثوق.
تتكون حزمة الاستغلال DarkSword من عدة مكونات تعمل بتناغم، تشمل مُعيد توجيه أولي، ومُحمّل للاستغلال، ومكون لتنفيذ الأوامر عن بُعد، ووحدة لتجاوز إعدادات بروكسي التكوين التلقائي (PAC). هذه المكونات تعمل معًا لاجتياز سلسلة الهجوم بسلاسة دون إثارة إنذارات واضحة.
على الرغم من أن قدرات الهروب من البيئات المحاكاة (sandbox escape) كانت جزءًا من التصميم المعروف للحزمة، إلا أنها لم تُلاحظ مباشرة خلال التحليلات. تم تقديم مُحمّل DarkSword إلى منصة VirusTotal، يحمل تجزئة MD5: 5fa967dbef026679212f1a6ffa68d575، مما وفر للباحثين علامة فنية ملموسة لتتبع التهديد عن كثب.
وقد حدد محللو Threat Insight أن نطاقًا خاضعًا لسيطرة TA446 كان يقدم بنشاط حزمة استغلال DarkSword، وهو اكتشاف أكدته فحوصات عناوين URL. تشمل النطاقات المخترقة الأولية المرتبطة بهذه الحملة motorbeylimited[.]com و bridetvstreaming[.]org.
كما لاحظ المحللون أن الاستهداف في حملات البريد الإلكتروني هذه كان أوسع نطاقًا بشكل ملحوظ مقارنة بما تقوم به TA446 عادةً. يشير ذلك إلى أن المجموعة قد تعمل على توسيع نطاق وصولها وتسعى لجمع بيانات الاعتماد والمعلومات الاستخباراتية من مجموعة أكبر بكثير من الضحايا.
حزمة DarkSword: آلية هجوم متعددة المكونات
أحد الجوانب المقلقة في هذه الحملة هو كيفية هيكلة DarkSword كسلسلة هجوم كاملة بدلاً من مجرد أداة مستقلة. بمجرد أن ينقر الهدف على رابط خبيث يتم تسليمه عبر بريد إلكتروني مُنتحل، يقوم مُعيد التوجيه الأولي بنقل جهاز الضحية بهدوء عبر سلسلة من الخطوات دون إظهار أي شيء مريب على السطح.
بعد ذلك، يتدخل مُحمّل الاستغلال لتقييم الجهاز وتحميل الاستغلال المناسب لبيئة iOS المستهدفة. هذا التصميم المعياري يجعل الحزمة مرنة ويصعب إيقافها، حيث يمكن استبدال كل مكون أو تحديثه بشكل مستقل.
تُعد مكون تجاوز PAC جديرًا بالملاحظة بشكل خاص، حيث يسمح للمهاجمين بإعادة توجيه حركة مرور الشبكة على جهاز الضحية عبر إعدادات بروكسي يتم التحكم فيها من قبل المهاجم. يمنح هذا TA446 وسيلة لاعتراض البيانات بصمت، بما في ذلك بيانات الاعتماد ومعلومات الاتصالات الحساسة، دون الحاجة إلى برامج ضارة مستمرة على الجهاز نفسه.
بالاقتران مع مكون تنفيذ الأوامر عن بُعد، تمنح الحزمة المجموعة سيطرة كبيرة على جهاز iOS المخترق أثناء الجلسة النشطة. يتم تشجيع المؤسسات والأفراد بشدة على تجنب النقر على الروابط في رسائل البريد الإلكتروني غير المتوقعة، حتى لو بدت هذه الرسائل وكأنها قادمة من مؤسسات موثوقة.
يُعد إبقاء أجهزة iOS محدثة بأحدث الإصدارات المتاحة إحدى أبسط الطرق لتقليل التعرض للاستغلالات المعروفة. يجب على فرق الأمن أيضًا مراقبة أي حركة مرور للشبكة يتم توجيهها عبر تكوينات بروكسي غير متوقعة، حيث يمكن أن يكون ذلك علامة مبكرة على نشاط تجاوز PAC.
يُعد وضع علامات على النطاقات الخبيثة المعروفة المرتبطة بهذه الحملة وحظرها على مستوى الشبكة خطوة عملية وفورية تستحق اتخاذها على الفور. يشكل هذا التطور المتزايد من قبل TA446 تحديًا لأمن مستخدمي iOS، مما يؤكد الحاجة إلى اليقظة المستمرة وتطبيق أفضل ممارسات الأمن السيبراني.