كشفت تقارير أمنية حديثة عن عملية تصيد احتيالي معقدة استهدفت الشركات الهندية منذ نوفمبر 2025، ممثلةً نفسها كإدارة الضرائب الهندیة. تهدف هذه الهجمات إلى سرقة معلومات حساسة وزرع برمجيات خبيثة.
استخدمت الحملة قوالب مراسلات حكومية تبدو أصلية للغاية، بالإضافة إلى رسائل ثنائية اللغة باللغتين الهندية والإنجليزية، وإشارات قانونية إلى أقسام من قانون ضريبة الدخل، لزيادة المصداقية وإضفاء شعور بالإلحاح.
هددت رسائل البريد الإلكتروني المستلمين بوجود مخالفات ضريبية مزعومة، وطالبتهم بتقديم وثائق في غضون 72 ساعة، مستغلة الضغط النفسي لدفع المستخدمين إلى فتح المرفقات الضارة.
أدت الهجمات إلى نشر سلسلة برمجيات خبيثة متطورة من مرحلتين، بدأت بملفات ZIP محمية بكلمة مرور تحتوي على مُحملات للقذائف البرمجية، وتطورت لاحقاً لاستخدام روابط مستندات Google لتسليم الحمولة الثانوية.
تمثلت الحمولة النهائية في حصان طروادة للوصول عن بعد، مصمم لمنح المهاجمين سيطرة كاملة على الأنظمة المخترقة، بما في ذلك القدرة على مشاركة الشاشة، ونقل الملفات، وتنفيذ الأوامر عن بعد.
استهدفت الحملة بشكل خاص شركات الأوراق المالية، والشركات المالية، والمؤسسات المالية غير المصرفية التي تتبادل بانتظام وثائق تنظيمية مع الجهات الحكومية.
آلية الإصابة بهذه الحملة
تكشف آلية الإصابة بهذه الحملة عن نهج هندسي دقيق لتجنب الاكتشاف.
نشأت رسائل البريد الإلكتروني الأولية من حسابات بريد إلكتروني مجانية شرعية من QQ.com، والتي اجتازت فحوصات المصادقة SPF و DKIM و DMARC، وهو عامل حاسم لتجاوز مرشحات أمان البريد الإلكتروني التقليدية.
استخدمت المرفقات خاصية الترميز بكلمة مرور لمنع محركات مكافحة الفيروسات من فحص محتوياتها أثناء النقل.
عندما استخرج المستخدمون ملفات ZIP بكلمات المرور المتوفرة في رسائل البريد الإلكتروني، واجهوا ملفات قابلة للتنفيذ تحمل اسم “NeededDocuments”، والتي احتوت على قذائف برمجية مصممة للتنفيذ عبر التحميل الوكيل لـ regsvr32.
سمحت هذه التقنية، والمعروفة باسم التنفيذ عديم الملفات، للبرامج الضارة بتحميل مكتبة ارتباط ديناميكي (DLL) مخفية مباشرة في الذاكرة دون كتابة بصمات يمكن اكتشافها على القرص.
أسست القذائف البرمجية آليات الاستمرارية، وجمعت بيانات الاعتماد المخزنة من نظام الضحية، وفتحت قنوات اتصال بخوادم الأوامر عن بعد المرتبطة بالبنية التحتية لـ AsyncRAT.
استخدمت بعض المتغيرات Google Docs كمنصة استضافة موثوقة للمرحلة الثانية، مستغلة الثقة المتأصلة في الخدمات السحابية المشروعة بواسطة مرشحات أمان الشركات.
خلق الجمع بين مصادقة المرسل النظيفة، والحمولات المحمية بكلمة مرور، والبنية التحتية السحابية المشروعة، وتنفيذ التحميل الوكيل لـ regsvr32، سلسلة هجوم شبه غير مرئية جعلت طرق الكشف القائمة على البصمة غير فعالة.