شهدت أوروبا الوسطى والشرقية حملة برمجيات خبيثة خطيرة تنتشر بسرعة، ما يثير قلقاً واسعاً بين خبراء الأمن السيبراني والمؤسسات. يُعرف هذا التهديد باسم CloudEyE، وهو عبارة عن برنامج تحميل وتشفير يتم تقديمه كخدمة (MaaS)، وقد اكتسب زخماً ملحوظاً بين الجهات الفاعلة في مجال التهديدات التي تسعى لتوزيع حمولات برمجية خبيثة أخرى.
في النصف الثاني من عام 2025، رصد باحثو الأمن هذا التهديد على نطاق مقلق، مما يمثل تحولاً جوهرياً في كيفية عمل البرمجيات الخبيثة الحديثة وانتشارها. إن ظهور CloudEyE يبرز الاتجاه المتزايد حيث يقوم مجرمو الإنترنت بتأجير البنية التحتية للبرمجيات الخبيثة بدلاً من تطوير تهديدات مستقلة.
CloudEyE: تهديد متنامٍ عبر أوروبا
تسمح هذه الاستراتيجية للمهاجمين باستهداف مجموعة أوسع من الضحايا دون الحاجة إلى خبرة تقنية واسعة. يعمل البرنامج الخبيث كآلية توصيل لحمولات ضارة أخرى مثل Rescoms، وFormbook، وAgent Tesla، وكل منها قادر على سرقة البيانات الحساسة أو اختراق الأنظمة بالكامل. وما يجعل CloudEyE مقلقاً بشكل خاص هو قدرته على إخفاء غرضه الحقيقي مع نشر مكونات ضارة متعددة.
قام محللو ESET Research بتحديد CloudEyE بعد رصد زيادة هائلة في نشاط الهجمات خلال النصف الثاني من عام 2025. لاحظ الباحثون زيادة ثلاثين ضعفاً في اكتشافات CloudEyE في غضون ستة أشهر فقط، مسجلةً أكثر من 100,000 إصابة عالمياً. هذا الارتفاع الكبير يشير إلى أن البرنامج الخبيث أصبح أداة مفضلة بين مجرمي الإنترنت الذين يعملون عبر أوروبا وربما خارجها.
آلية الانتشار والتشفير
تكشف آلية الإصابة وراء CloudEyE عن تكتيكات توصيل متعددة المراحل مصممة لتجنب الكشف. تتضمن المرحلة الأولى برنامج تحميل ينتشر عبر نصوص PowerShell، وملفات JavaScript، وبرامج تثبيت NSIS التنفيذية. بمجرد تثبيته على جهاز الضحية، يقوم مكون المرحلة الأولى هذا بتنزيل المرحلة التالية من الهجوم، وهي مكون تشفير يقوم بتشفير وإخفاء الحمولة النهائية قبل التنفيذ.
كل مرحلة من مراحل CloudEyE تخضع لإخفاء مكثف، مما يجعل التحليل والاكتشاف تحدياً هائلاً لأدوات الأمان والباحثين على حد سواء. تهدف حملات التوزيع إلى استغلال الهندسة الاجتماعية وقنوات الاتصال الشرعية لزيادة معدلات الإصابة إلى أقصى حد.
حملات التوزيع المستهدفة
استهدفت معظم محاولات هجمات CloudEyE الشركات من خلال حملات البريد الإلكتروني في أوروبا الوسطى والشرقية خلال شهري سبتمبر وأكتوبر 2025. صاغ المهاجمون رسائل مقنعة باستخدام حسابات أعمال شرعية مخترقة وتكييف المحتوى لمطابقة اللغة والسياق الثقافي للدول المستهدفة.
عادةً ما كانت هذه رسائل البريد الإلكتروني تبدو كاستفسارات عمل روتينية، مثل طلبات دفع الفواتير، أو إشعارات تتبع الطرود، أو تأكيدات بأوامر الشراء، مما يجعلها تبدو شرعية تماماً للمستلمين غير المشكوك فيهم. يتوجب على المؤسسات حول العالم تطبيق ترشيح قوي للبريد الإلكتروني، وصيانة برامج الأمان المحدثة، وتدريب الموظفين على التعرف على الرسائل المشبوهة. الوعي بوجود CloudEyE وتكتيكاته يوفر حماية بالغة الأهمية ضد هذا التهديد المتصاعد.