رصدت تقارير أمنية حديثة نشاطًا متزايدًا لمجموعات تهديد سيبراني تستهدف قطاع الاتصالات، مع تحول ملحوظ في استراتيجيات الهجوم. أبرز هذه الظواهر هو ما تعرف بمجموعة UnsolicitedBooker، التي غيرت نطاق تركيزها من استهداف كيانات سعودية إلى دول في آسيا الوسطى.
تستخدم المجموعة حاليًا بابين خلفيين جديدين، تم تسميتهما بـ LuciDoor و MarsSnake، وذلك وفقًا لتحليل مفصل نشرته شركة Positive Technologies. يأتي هذا التطور بعد أن كانت المجموعة تستهدف سابقًا مؤسسات في المملكة العربية السعودية.
تكتيكات متطورة لمجموعة UnsolicitedBooker
أظهرت التحليلات أن مجموعة UnsolicitedBooker، التي تُصنف كجهة فاعلة تهديد متحالفة مع الصين، استخدمت أدوات متخصصة ونادرة في هجماتها الأخيرة. تجدر الإشارة إلى أن هذه المجموعة تنشط منذ مارس 2023 على الأقل، ولديها تاريخ في استهداف منظمات في مناطق مختلفة من آسيا وإفريقيا والشرق الأوسط، مما يشير إلى توسع جغرافي دقيق في عملياتها.
وتبين وجود تداخل في التكتيكات بين UnsolicitedBooker ومجموعات تهديد أخرى، بما في ذلك Space Pirates وحملة شبيهة استهدفت السعودية بباب خلفي آخر يُعرف باسم Zardoor. هذا التداخل يعكس تطورًا في أساليب عمل الجهات الفاعلة في التهديدات السيبرانية.
آلية الهجمات الحديثة
في أحدث حملاتها، استهدفت المجموعة منظمات في قيرغيزستان في أواخر سبتمبر 2025 عبر رسائل بريد إلكتروني تصيدية تحتوي على مستندات Microsoft Office. عند فتح هذه المستندات، يطلب من المستلمين “تمكين المحتوى” لتشغيل ماكرو خبيث.
رغم أن المستند يعرض خطة تعريفة مزيفة لمقدم خدمة اتصالات لإيهام الضحية، فإن الماكرو يقوم بتنزيل برنامج تحميل خبيث لـ C++ يُدعى LuciLoad، والذي بدوره يثبت الباب الخلفي LuciDoor. كما لوحظت هجمات مماثلة في أواخر نوفمبر 2025، حيث تم استخدام برنامج تحميل مختلف يُدعى MarsSnakeLoader لتثبيت MarsSnake.
لاحقًا، في يناير 2026، استهدفت UnsolicitedBooker شركات في طاجيكستان مستخدمةً رسائل بريد إلكتروني تصيدية تحتوي على روابط تؤدي إلى المستندات المزيفة بدلًا من إرفاقها مباشرة. حافظت هذه الهجمات على نفس سلسلة الهجوم الأساسية.