كشفت تقارير أمنية حديثة عن ظهور برمجية خبيثة جديدة تعرف باسم STX RAT، والتي تمثل تهديدًا متزايدًا للأمن السيبراني مع دمجها لميزات الوصول عن بعد المخفي وسرقة بيانات الاعتماد. تهدف هذه التقنية إلى اختراق الأنظمة المستهدفة بشكل سري وفعال.
تستمد البرمجية الخبيثة المسماة STX RAT اسمها من البايت السحري “Start of Text” (STX) المتمثل في x02، والذي تضيفه إلى كل رسالة يتم إرسالها إلى خادم القيادة والتحكم (C2)، مما يشير إلى دقة تصميمها.
تم رصد هذه البرمجية لأول مرة في أواخر فبراير 2026، حيث حاول المهاجمون نشرها داخل إحدى المؤسسات العاملة في القطاع المالي عبر ملف VBScript تم تنزيله من متصفح الويب. هذا السكريبت قام بدوره بتنزيل ملف JScript، الذي جلب بدوره أرشيف TAR، ثم قام بتمرير التنفيذ إلى مُحمّل PowerShell الذي حقن الشفرة النهائية في الذاكرة.
بحلول أوائل مارس، أبلغت Malwarebytes عن حملة منفصلة لنشر STX RAT من خلال مثبتات FileZilla المخترقة، مما يؤكد أن المشغلين كانوا يستخدمون بالفعل طرق نشر متعددة في وقت واحد.
قام باحثون من وحدة الاستجابة للتهديدات (TRU) في eSentire بتحديد وتحليل البرمجية الخبيثة بعد حادثة أواخر فبراير، وتتبعوها تحت اسم STX RAT. كشفت تحقيقاتهم عن برنامج زائف متطور تقنيًا به دفاعات واسعة ضد التحليل، بما في ذلك فحوصات الآثار للبيئات مثل VirtualBox و VMware و QEMU.
عند اكتشاف مثل هذه الآثار، تقوم البرمجية الخبيثة بتنفيذ “خروج متذبذب” – توقف لفترة تأخير عشوائية قبل الإنهاء – مما يجعل دراستها في بيئات الاختبار الآلية أكثر صعوبة. بالإضافة إلى اكتشاف الأجهزة الافتراضية، تستخدم STX RAT تقنية “AMSI-ghosting” التي تقوم بتصحيح دالة RPC أساسية في نظام Windows، مما يعطل طبقة تعتمد عليها أدوات الأمان لفحص العمليات قيد التشغيل.
تخفي البرمجية نافذة طرفية من مبدل Alt+Tab وشريط المهام. بمجرد التفعيل، يتصل البرنامج الخبيث بخادم C2 على 95.216.51.236 ويرسل رسالة تعريف تحتوي على اسم المضيف، واسم المستخدم، وإصدار نظام التشغيل، وحالة المسؤول، وذاكرة الوصول العشوائي المثبتة، وقائمة بمنتجات مكافحة الفيروسات المكتشفة.
الوصول عن بعد المخفي: كيف تسيطر STX RAT بصمت
تكمن الخطورة الأكبر في STX RAT في وحدة “الحوسبة الشبكية الافتراضية المخفية” (HVNC). تمنح هذه الوحدة الجهات الفاعلة الخبيثة تحكمًا تفاعليًا كاملاً في جهاز الضحية دون أن تلاحظ ذلك أبدًا. على عكس برامج سطح المكتب البعيد التقليدية التي تسيطر بشكل مرئي على شاشة المستخدم، تنشئ HVNC جلسة سطح مكتب منفصلة تمامًا تعمل في الخلفية.
تتم جميع أنشطة المهاجم – تصفح المواقع، فتح الملفات، تشغيل التطبيقات – داخل هذه الطبقة غير المرئية، وغير مرئية تمامًا للضحية. تبدأ STX RAT تشغيل HVNC من خلال أمر start_hvnc يتم إرساله بواسطة C2. بمجرد التفعيل، يمكن للمهاجمين حقن ضغطات المفاتيح عبر key_press، ومحاكاة حركات الماوس باستخدام mouse_input، والتمرير عبر التطبيقات باستخدام mouse_wheel، ولصق المحتوى مباشرة باستخدام أمر paste – وكل ذلك يعتمد على واجهة برمجة تطبيقات SendInput في Windows.
يسمح أمر switch_desktop للمشغلين بإدارة جلسات سطح مكتب مخفية متعددة في وقت واحد. وعند الانتهاء، تقوم أوامر connection_lost و channel_closed بإغلاق الجلسات بهدوء وتنظيف مقابض سطح المكتب دون ترك آثار.
.webp.jpeg)
يجعل هذا التصميم STX RAT أكثر قدرة بكثير من مجرد لصوص بيانات اعتماد عاديين. بينما يستمر الضحية في العمل بشكل طبيعي على شاشته المرئية، يمكن للمهاجم في نفس الوقت تسجيل الدخول إلى المنصات الداخلية، وتصفح الملفات الحساسة، أو تجهيز حمولات إضافية داخل الجلسة المخفية. مع اقتران ذلك بوحدة حصاد بيانات الاعتماد، تحول HVNC الاختراق الأولي إلى موطئ قدم مستمر يصعب اكتشافه وصعب إزالته بالكامل.
يجب على فرق الأمن حظر عنوان IP المعروف لخادم C2 95.216.51.236 وعنوان Tor onion المرتبط به على الفور عبر محيط الشبكة. يوصى بنشر قواعد الكشف YARA من eSentire TRU – والتي تغطي الحمولة غير المفككة والمُحمّل – لتحديد الإصابات في الذاكرة. يمكن أن يساعد المراقبة في اكتشاف عمليات WScript المرفوعة التي تتضمن ملفات JScript في مجلدات Temp وتنفيذات PowerShell STDIN المشبوهة في اكتشاف الإصابات المبكرة.
في الحالات التي لا تكون فيها VBScript و JScript ضرورية تشغيلياً، فإن تعطيلها بشكل كامل يمكن أن يقلل بشكل كبير من سطح الهجوم الأولي.