كشفت تقارير أمنية حديثة عن حملة برمجيات خبيثة تستهدف أنظمة ويندوز، معتمدة على ملفات اختصار مشبوهة (LNK) لنشر برنامج MoonPeak، وهو حصان طروادة وصول عن بعد بات يشكل تهديداً متزايداً. يستهدف هذا البرنامج، الذي يبدو أنه نسخة مطورة من XenoRAT، بشكل أساسي المستثمرين ومتداولي العملات المشفرة في كوريا الجنوبية، مستغلاً ملفات تبدو كوثائق PDF خاصة باستراتيجيات التداول.
ظهرت الحملة لأول مرة في يناير 2026، حيث استُخدمت ملفات LNK بأسماء ملفات كورية توحي بمحتوى متعلق بالاستثمار. تقوم هذه الملفات بعرض ملف PDF اعتيادي عند فتحها، مما يخفي الكود الخبيث الذي يتم تنفيذه بصمت في الخلفية.
حملة MoonPeak تستهدف أنظمة ويندوز عبر ملفات LNK
تتضمن آلية عمل البرمجية الخبيثة MoonPeak استغلال ضعف في ملفات LNK، وهي اختصارات تشغيلية معتادة في نظام ويندوز. يقوم المهاجمون بصياغة هذه الملفات بحيث تبدو ذات صلة باهتمامات الضحايا، مثل وثائق استثمارية أو تقارير مالية.
عندما ينقر المستخدم على ملف LNK الضار، يتم خداعه ليفتح ملف PDF طبيعي، بينما يقوم البرنامج الخبيث بتنفيذ سلسلة معقدة من الأوامر في الخلفية. هذه العملية مصممة خصيصاً لتجنب إثارة الشبهات لدى المستخدم العادي.
مراحل الإصابة والتخفي
يتم تنفيذ هجوم MoonPeak عبر عدة مراحل متتالية، تهدف كل منها إلى التخفي من أدوات الكشف الأمني وتعزيز إمكانية الوصول غير المصرح به للنظام.
في المرحلة الأولى، يقوم البرنامج الخبيث بالتحقق من وجود أدوات تحليل أمني أو بيئات افتراضية، مثل IDA Pro أو Wireshark أو Sandboxes. إذا تم اكتشاف أي من هذه الأدوات، يتم إنهاء البرنامج فوراً لمنع تعقبه ودراسة سلوكه.
بعد تجاوز فحص البيئة، يبدأ سكريبت PowerShell، الذي يكون مشفراً، في العمل في نافذة مخفية. يقوم هذا السكريبت بإنشاء ملفات ومجلدات بأسماء عشوائية في مجلد الملفات المؤقتة، ومن ثم يقوم بتنزيل نصوص برمجية إضافية من خوادم بعيدة.
لضمان استمرارية التشغيل، يتم إنشاء مهمة مجدولة (Scheduled Task) تسمح للبرنامج بالعمل تلقائياً حتى بعد إعادة تشغيل النظام. تتبع البرمجية الخبيثة تكتيك “العيش على المواقع الموثوقة” (Living Off Trusted Sites – LOTS)، حيث تستخدم مستودعات GitHub لاستضافة الأجزاء الضارة، مما يساعدها على تجاوز إجراءات الأمان التي عادة ما تحظر المجالات المشبوهة.
نشر الحمولة النهائية والسيطرة على النظام
تشمل المرحلة الثانية جلب حمولة مشفرة بصيغة GZIP من مستودع GitHub، ويتم فك تشفيرها وتحميلها مباشرة في ذاكرة النظام دون ترك أثر على القرص الصلب. هذا الأسلوب يجعل من الصعب على أدوات التحليل اكتشاف وجود الحمولة.
في المرحلة الأخيرة، يتم نشر برنامج MoonPeak نفسه، والذي يكون مشفراً باستخدام أداة ConfuserEx لمقاومة الهندسة العكسية والتحليل. يتصل البرنامج بعد ذلك بخادم التحكم والسيطرة الخاص به، مما يسمح للمهاجمين بالتحكم عن بعد في الأنظمة المصابة.
وقد عززت تقارير خبراء الأمن، مثل فريق IIJ Security Diary، فهمنا لهذه الحملة، حيث كشفوا عن تفاصيل دقيقة لتدفق الإصابة لم تكن موثقة سابقاً. تؤكد هذه الحملة على الحاجة المستمرة لتحديث بروتوكولات الأمان والوعي بمخاطر البرمجيات الخبيثة المتطورة.