كشفت تقارير أمنية حديثة عن حملة إلكترونية متطورة، تحمل بصمات شبيهة بمجموعة التهديد المعروفة باسم “MuddyWater”، قامت بمسح أكثر من 12 ألف نظام معرض للخارج في مناطق متعددة، قبل شن هجمات مركزة على أهداف ذات قيمة عالية في الشرق الأوسط.
شملت الحملة قطاعات حيوية مثل الطيران والطاقة والحكومة، مع تأكيد سرقة بيانات من منظمة طيران مصرية واحدة على الأقل. بدأت هذه الأنشطة في أوائل فبراير 2025، بالتزامن مع تصاعد ملحوظ في التوترات الجيوسياسية بالمنطقة.
حملة تجسس إلكتروني تستهدف البنية التحتية الحيوية في الشرق الأوسط
تم تنفيذ الهجوم عبر عملية منظمة متعددة المراحل، بدءاً من استطلاع شامل للثغرات، مروراً بجمع دقيق لبيانات الاعتماد، وصولاً إلى استخلاص البيانات الكامل. لتحقيق هذه المراحل، استغل المهاجمون خمس ثغرات أمنية حديثة تم اكتشافها مؤخراً، تستهدف مجموعة واسعة من الأنظمة، بما في ذلك تطبيقات الويب، وخوادم البريد الإلكتروني، ومنصات إدارة تكنولوجيا المعلومات، وأدوات أتمتة سير العمل.
الثغرات المستغلة تشمل CVE-2025-54068 (استغلال عن بعد في Laravel Livewire)، و CVE-2025-52691 (استغلال عن بعد في SmarterMail)، و CVE-2025-68613 (استغلال عن بعد في n8n)، و CVE-2025-9316 (توليد معرف جلسة غير مصادق عليه في أنظمة RMM)، و CVE-2025-34291 (استغلال عن بعد في Langflow).
قام باحثون من شركة Oasis Security بتحليل مفصل لهذه الحملة، وتتبعوا البنية التحتية التي يتحكم بها المهاجمون إلى خادم يقع في هولندا، يحمل عنوان IP 157.20.182.49. جمع المحللون كمية كبيرة من الملفات من هذه البنية التحتية، وكشفوا عن مكونات قيادة وتحكم (C2) نمطية، ونصوص تشغيلية، وأدلة على نشاط مسح منظم.
يعزز توقيت الحملة، الذي بدأ قبل أسابيع فقط من تصاعد التوترات الإقليمية، المخاوف بشأن الهدف الاستراتيجي وراء هذه العمليات.
استراتيجيات جمع البيانات والوصول
بعد اكتمال مرحلة الاستطلاع، تحول المهاجمون للتركيز على اختراق الأنظمة عبر سرقة بيانات الاعتماد. أطلقوا هجمات تخمين لكلمات المرور على واجهات الوصول لبريد الويب (OWA)، باستخدام أدوات مخصصة مثل owa.py وبرمجيات هجوم متعددة الخيوط كـ Patator، مع إجراء تعداد لأسماء المستخدمين المستهدفين في منظمات معينة.
تركزت هذه الجهود على كيانات في مصر وإسرائيل والإمارات العربية المتحدة. في حالة تم تأكيدها، تم سرقة بيانات اعتماد موظفين من مؤسسة إطفاء في مصر، بالإضافة إلى استعادة قوائم حسابات إدارية من منظمة مستهدفة في الإمارات.
تجاوزت العمليات مجرد محاولات الوصول إلى مرحلة استخلاص بيانات مؤكدة، خاصة من منظمة طيران مقرها في مصر. تم اكتشاف حوالي 200 ملف تم تنسيقها مسبقاً في مجلدات يتحكم بها المهاجمون، تحتوي على سجلات جوازات السفر والتأشيرات، وبيانات الرواتب والأجور، وتفاصيل بطاقات الائتمان، ومستندات داخلية للشركات.
تم رصد استهداف إضافي لكيانات في البرتغال والهند، مما يشير إلى أن نطاق الحملة امتد إلى ما هو أبعد من منطقة الشرق الأوسط.
بنية تحتية قيادية وتحكم نمطية لضمان الاستمرارية
من بين الاكتشافات التقنية الأكثر أهمية في هذه الحملة، كانت بنية القيادة والتحكم (C2) التي نشرها المهاجمون لإدارة الأنظمة المخترقة. كشف تحليل Oasis Security عن بنية تحتية متعددة الطبقات مبنية بلغات برمجة مختلفة وبروتوكولات اتصال متنوعة، مصممة عمداً للبقاء فعالة وقابلة للتكيف ويصعب تعطيلها، حتى لو تم اكتشاف أجزاء منها من قبل المدافعين.
تضمنت إعدادات C2 وحدات تحكم تعتمد على Python – مثل tcp_serv.py و udp_3.0.py – بالإضافة إلى ملفات تنفيذية مبنية بلغة Go، بما في ذلك server و client.exe. تم تكوين وحدة التحكم tcp_serv.py للاستماع وقبول الاتصالات الواردة عبر منفذ TCP 5009، بينما اتبعت وحدة التحكم UDP أنماطاً هيكلية متطابقة تقريباً.
استخدمت كلتا الوحدتين تنسيق رأس حزمة مخصص يعرف باسم
تم أيضاً العثور على وحدات تحكم أكثر تقدماً تعتمد على HTTP، تدير جلسات عملاء مشفرة عبر نقاط نهاية شبيهة بواجهات برمجة التطبيقات (APIs) مثل /command، /result، /signup، و /feed. تعامل الملف التنفيذي ex-server المبني بلغة Go مع تبادل البيانات المشفرة بتقنية AES (وضع CTR) عبر نقاط النهاية /signup و /feed، مع استخدام قيم cid المستندة إلى ملفات تعريف الارتباط لتحديد وتتبع المضيفين المصابين بشكل فردي.
تتوافق أنماط الاتصال هذه بشكل وثيق مع إطار عمل ArenaC2 الخاص بـ MuddyWater، مما يعزز تقييم الإسناد الذي أجرته Oasis Security. يُنصح بتطبيق التصحيحات المتاحة على الفور للمؤسسات المعرضة لأي من الثغرات الخمس المستغلة، ومراجعة سجلات الوصول إلى OWA للكشف عن علامات نشاط التخمين. كما يُنصح فرق الأمن بحظر حركة المرور الصادرة على المنفذ 5009، ومراقبة اتصالات HTTP المشفرة لنقاط النهاية غير المعروفة، وتدقيق مجلدات الملفات الداخلية بحثاً عن سلوكيات التجميع الجماعي التي قد تشير إلى جمع بيانات نشط قبل الاستخلاص.