كريستال إكس، برمجية خبيثة جديدة خطيرة، يتم تسويقها حالياً كخدمة (Malware-as-a-Service) عبر قنوات تليجرام خاصة، وتشكل تهديداً متزايداً للمؤسسات والأفراد. تجمع هذه المنصة بين أدوات متطورة مثل حصان طروادة الوصول عن بعد (RAT)، وبرامج سرقة بيانات الاعتماد، وسجلات ضربات المفاتيح، وبرامج التجسس، مع مجموعة غير عادية من أدوات المقالب. تم اكتشاف هذه البرمجية في مارس 2026، مما يعكس اتجاهاً متنامياً لدى مجرمي الإنترنت في تقديم قدرات هجومية معقدة في حزم جاهزة للاستخدام ضمن نماذج اشتراك.
تتبع كريستال إكس جذورها إلى يناير 2026، حيث بدأ مطور برمجيات خبيثة بالترويج لأداة تسمى Webcrystal RAT ضمن مجموعة تليجرام مغلقة. لاحظ المراقبون الأوائل تشابهاً كبيراً في واجهة لوحة التحكم مع أداة معروفة سابقاً باسم WebRAT، والتي تعرف أيضاً باسم Salat Stealer. تم تطوير كلتا الأداتين بلغة Go، كما تطابقت البنية التحتية للبرنامج المستخدم لبيع مفاتيح الوصول بشكل وثيق مع بنية WebRAT.
مخاطر برمجية كريستال إكس الخبيثة
بعد تلقي انتقادات بأن الأداة مجرد نسخة مكررة، قام المطور بإعادة تسميتها إلى CrystalX RAT، وأطلق قناة تليجرام مخصصة مليئة بالأنشطة التسويقية، بما في ذلك سحوبات على مفاتيح الوصول واستطلاعات رأي. ولم يتوقف الأمر عند هذا الحد، بل تم إطلاق قناة يوتيوب لعرض قائمة الميزات المتزايدة للبرمجية الخبيثة.
قامت تحليلات خبراء Securelist بتحديد الحملة النشطة وإجراء تحليل فني مفصل للبرمجية الخبيثة، مشيرة إلى أن مجموعة ميزاتها تتجاوز بكثير ما تقدمه معظم برمجيات RAT التجارية. تباع الأداة ضمن ثلاث فئات اشتراك، تمنح المشترين وصولاً إلى لوحة تحكم عبر الويب مليئة بقدرات تتراوح بين استخراج الملفات والتحكم المباشر بالشاشة عن بعد.
أكثر ما يلفت الانتباه هو الجمع بين وظائف تجسسية خطيرة جنباً إلى جنب مع قسم كامل من أوامر المقالب المصممة لمضايقة وإزعاج الضحايا عند الطلب. هذا المزيج غير العادي يجعل كريستال إكس واحدة من التهديدات المميزة في مساحة Malware-as-a-Service خلال الأشهر الأخيرة.
ينتشر نطاق البرمجية الخبيثة بالفعل. في وقت إعداد التقرير، تأثر العشرات من الضحايا، مع تسجيل محاولات الإصابة بشكل أساسي في روسيا. ومع ذلك، فإن كريستال إكس لا تحمل قيوداً جغرافية مدمجة، مما يعني أن أي مشترك يمكنه نشرها ضد أهداف في أي مكان في العالم.
آليات التهرب من الكشف ومكافحة التحليل
أحد الجوانب الأكثر تطوراً من الناحية الفنية لكريستال إكس هو كيفية عملها لتجنب الاكتشاف. يتم ضغط كل زرع (implant) باستخدام zlib ثم تشفيره باستخدام خوارزمية ChaCha20، باستخدام مفتاح ثابت بحجم 32 بايت وعدد عشوائي (nonce) بحجم 12 بايت، مما يجعل التحليل الثابت أكثر صعوبة.
يسمح الباني الآلي (auto-builder) المزود مع لوحة التحكم للمشغلين بتكوين ميزات مكافحة التحليل في مرحلة البناء، بما في ذلك الحظر الجغرافي الانتقائي حسب البلد وأيقونات تنفيذية مخصصة.
أثناء التنفيذ، تجري كريستال إكس سلسلة من الفحوصات لتحديد ما إذا كانت تعمل في بيئة تحليل. تقرأ قيمة في سجل الويندوز للكشف عما إذا كانت أداة وكيل بروكسي مثل Fiddler، أو Burp Suite، أو mitmproxy نشطة، وتضع اسم عملياتها في قائمة سوداء وفقاً لذلك.
يتحقق روتين منفصل للكشف عن الأجهزة الافتراضية من العمليات الجارية، وأدوات الضيف المثبتة، وخصائص الأجهزة للتأكد من أنها تعمل بالفعل على نظام حقيقي. حلقة مكافحة المرفقات (anti-attach) تراقب باستمرار علامة التصحيح (debug flag)، ومنفذ التصحيح، ونقاط التوقف في الأجهزة، وتوقيت تنفيذ البرنامج لالتقاط أي محاولة مرفق مصحح.
بالإضافة إلى ذلك، تقوم البرمجية الخبيثة بتعديل وظائف الويندوز الهامة، بما في ذلك AmsiScanBuffer، و EtwEventWrite، و MiniDumpWriteDump، مما يعطل أدوات فحص الأمان وأدوات تفريغ الذاكرة التي يعتمد عليها المحللون بشكل منتظم أثناء التحقيقات.
بمجرد اجتياز هذه الفحوصات، تتصل كريستال إكس بخادم القيادة والتحكم (C2) عبر عنوان URL ثابت لـ WebSocket وتبدأ في جمع بيانات النظام. نطاقات C2 المعروفة هي webcrystal.lol، webcrystal.sbs، و crystalxrat.top. يجب على المؤسسات حظر هذه النطاقات على محيط الشبكة، ومراقبة اتصالات WebSocket الخارجية غير العادية، والتحقيق في أي ملف تنفيذي يظهر سلوكيات مكافحة التصحيح الموضحة أعلاه.
يظل تحديث أدوات حماية نقاط النهاية بانتظام واحداً من أكثر الخطوات عملية لاكتشاف تهديدات مثل كريستال إكس قبل أن تتمكن من ترسيخ موطئ قدم لها.