كشفت تقارير أمنية عن حملة تجسس إلكتروني جديدة تستهدف جهات محددة، يقف خلفها مجموعة قرصنة كورية شمالية تُعرف باسم APT37. تستخدم المجموعة في هذه الحملة مزيجاً من منصات التواصل الاجتماعي، تطبيقات المراسلة المشفرة، وملفات تثبيت برامج معدلة بعناية لاختراق أنظمة ضحاياها.
تتميز هذه الحملة ببراعتها في تقليد التفاعلات الرقمية اليومية، مما يجعل من الصعب على الأهداف تمييز التهديد قبل وقوع الضرر. يعتبر هذا النوع من الهجمات ذات خطورة متزايدة في ظل التطور المستمر لأساليب التهديدات السيبرانية.
بدأت الحملة عبر شبكات التواصل الاجتماعي، حيث قام المهاجمون بإنشاء حسابين على فيسبوك، هما “richardmichael0828” و “johnsonsophia0414″، وسجل كلاهما في 10 نوفمبر 2025، مع تحديد موقعي الإنشاء في بيونغ يانغ وبيونغسونغ بكوريا الشمالية.
بعد إرسال طلبات صداقة مختارة بعناية، نجح المهاجمون في بناء علاقة ثقة مع الضحايا عبر محادثات خاصة على ماسنجر، ثم قاموا بتحويل مسار المحادثات نحو تقنيات الأسلحة العسكرية. وعند الوصول إلى مستوى اهتمام حقيقي، انتقلت الاتصالات إلى تطبيق تيليجرام، حيث تم تسليم المحتوى الضار.
حدد محللون في مركز Genians للأمن هذه الحملة بأنها هجوم يعتمد على “الهندسة الاجتماعية”، وهو أسلوب يهدف إلى بناء سيناريو كاذب ومقنع لدفع الضحايا لاتخاذ إجراء معين. يمثل هذا الاحتيال السيبراني تحدياً كبيراً للمؤسسات.
ادعى المهاجمون أنهم يشاركون ملفات PDF مشفرة تحتوي على بيانات عسكرية سرية، وأخبروا الضحايا بأنهم بحاجة إلى عارض خاص لفتح هذه الملفات. تبين أن هذا العارض هو في الواقع برنامج تثبيت معدل لتطبيق Wondershare PDFelement.
تم تسليم الملف الضار ضمن أرشيف ZIP مشفر باسم “m.zip”، وتم تجميعها مع مستندات وهمية متعلقة بالأسلحة ودليل مستخدم مزيف، لتبدو شرعية تماماً. تشكل هذه الطريقة جزءاً من الاستراتيجيات المتطورة للتهديدات المستمرة.
الاستهداف عبر البرامج المعدلة
شبه ملف التثبيت المعدل إلى حد كبير البرامج الرسمية من Wondershare PDFelement، لكنه افتقر إلى توقيع رقمي ساري المفعول، وهو مؤشر واضح على تعديل الملف الثنائي. وبينما كان اسم الملف الشرعي هو “Wondershare_PDFelement_Installer.exe”، استُخدم الإصدار الضار باسم “Wondershare_PDFelement_Installer(PDF_Security).exe” ليبدو كتحديث أمني.
بمجرد تشغيل الضحية للملف، بدا التثبيت طبيعياً تماماً. ولكن في الخلفية، تم تشغيل تعليمات برمجية ضارة (shellcode) فوراً وتواصلت مع بنية تحتية يتحكم فيها المهاجمون، موجهة الأوامر اللاحقة عبر الموقع الإلكتروني لفرع سيول لشركة عقارات يابانية، وذلك للتمويه ضمن حركة مرور الشبكة العادية.
استردت البرامج الضارة حمولة مرحلة ثانية، تم إخفاؤها كملف صورة JPG من النطاق “japanroom[.]com”. يعكس هذا الاستخدام لأساليب الإخفاء مدى تطور هجمات APT37.
تم استخلاص البيانات المسروقة، بما في ذلك لقطات الشاشة والمستندات بتنسيقات مثل DOC، XLS، PDF، HWP، بالإضافة إلى التسجيلات الصوتية، وتخزينها في مساحة تخزين Zoho WorkDrive السحابية عبر رموز OAuth2 الثابتة. هذا جعل حركة المرور الصادرة تبدو غير قابلة للتمييز عن أنشطة السحابة العادية.
تنفيذ التعليمات البرمجية الخبيثة وحقن العمليات
كان الجزء الأكثر تطوراً تقنياً في هذه الهجمة هو التعليمات البرمجية الخبيثة المدمجة في ملف التثبيت المعدل، عبر طريقة تُعرف باسم PE patching، أو حقن كهوف الكود (code cave injection). تم استبدال عنوان البداية الشرعي لملف التثبيت في 0x00114103 بنقطة دخول جديدة في 0x0015A0E0، تقع في منطقة غير مستخدمة بالقرب من نهاية قسم الكود .text.
تم إدخال حوالي 2 كيلوبايت من التعليمات البرمجية الخبيثة بهدوء في تلك المساحة. عند تشغيل ملف التثبيت، قفز التنفيذ إلى هذه التعليمات البرمجية، التي أنشأت نسخة معلقة من dism.exe – وهي أداة مدمجة في ويندوز – باستخدام علم CREATE_SUSPENDED.
تم فك تشفير حمولة المهاجم عبر عملية XOR أحادية البايت باستخدام المفتاح 0x6D، وتمت كتابتها في ذاكرة dism.exe عبر WriteProcessMemory. ثم بدأت عملية حقن التعليمات البرمجية الخبيثة عن بعد. لم يتم حفظ أي ملف ضار على القرص، مما جعل هذه الهجمة “ملفية” (fileless) يصعب على أدوات مكافحة الفيروسات القياسية كشفها.
بعد اكتمال جميع الخطوات الضارة، عاد التنفيذ إلى عملية تثبيت PDFelement العادية، تاركاً الضحية دون سبب مرئي للقلق. يجب على المنظمات التي تتعامل مع مواد دفاعية أو حكومية التحقق من التوقيعات الرقمية على جميع مثبتات البرامج قبل تشغيلها، وتجنب تثبيت البرامج المستلمة عبر منصات المراسلة دون تأكيد المصدر الرسمي.
بالإضافة إلى ذلك، يُنصح بنشر حلول الكشف عن نقاط النهاية التي تبلغ عن العمليات الفرعية غير الطبيعية التي تنشئها المثبتات، ومراقبة الاتصالات الصادرة غير المتوقعة إلى الخدمات السحابية مثل Zoho WorkDrive، وإجراء تدريب دوري على الوعي الأمني يغطي بشكل خاص هجمات الهندسة الاجتماعية التي تنشأ عبر الشبكات الاجتماعية بدلاً من البريد الإلكتروني. يبقى اليقظة والوعي بالتهديدات السيبرانية المستمرة من الركائز الأساسية للحماية.