في عالم يتزايد فيه التعقيد السيبراني كل يوم، أصبحت منطقة الشرق الأوسط وشمال إفريقيا هدفًا لحملة سيبرانية جديدة تستخدم نسخة معدلة من البرمجية الخبيثة المعروفة بآسينك رات (AsyncRAT) منذ سبتمبر 2024.

تكتيكات الحملة واستخدام الوسائط الاجتماعية

وفقًا لتحليل نشره باحثون من شركة تقنيات إيجابية، كليمنتي جالكين وستانيسلاف بيزهوف، فإن الحملة تستغل الوسائط الاجتماعية لتوزيع البرمجيات الخبيثة. تستفيد الجهات المهاجمة من حسابات مشاركة الملفات الشرعية أو قنوات تليجرام التي تم إعدادها خصيصًا لهذا الغرض. وقد أشارت الشركة الروسية للأمن السيبراني إلى أن الحملة قد أوقعت حوالي 900 ضحية منذ خريف 2024، مما يعكس انتشارها الواسع.

الجهات المستهدفة ودور الجغرافيا السياسية

يُعتقد أن النشاط مرتبط بجهة تهديد يُطلق عليها اسم ديزرت دكستر (Desert Dexter)، وقد تم اكتشافه في فبراير 2025. هذه الحملة تعتمد بشكل رئيسي على إنشاء حسابات مؤقتة وقنوات إخبارية على فيسبوك، حيث تُستخدم هذه الحسابات لنشر إعلانات تحتوي على روابط لخدمة مشاركة الملفات أو قناة تليجرام. هذه الروابط بدورها توجه المستخدمين إلى نسخة من البرمجية الخبيثة آسينك رات (AsyncRAT) التي تم تعديلها لتشمل مسجل مفاتيح غير متصل بالإنترنت؛ البحث عن 16 امتدادًا وتطبيقًا لمحافظ العملات الرقمية؛ والتواصل مع بوت تليجرام.

تفاصيل التقنية وسلسلة القتل

تبدأ سلسلة القتل بأرشيف (RAR) يحتوي إما على سكريبت دفع (batch script) أو ملف (JavaScript)، واللذان بُرمجا لتشغيل سكريبت (PowerShell) المسؤول عن تفعيل المرحلة الثانية من الهجوم. بالتحديد، يقوم بإنهاء العمليات المرتبطة بخدمات (NET.) المختلفة التي قد تمنع البرمجية الخبيثة من العمل، ويقوم بحذف الملفات ذات الامتدادات (BAT)، (PS1)، و(VBS) من المجلدات “C:\ProgramData\WindowsHost” و “C:\Users\Public”، ويقوم بإنشاء ملف (VBS) جديد في نفس المجلد، وملفات (BAT) و(PS1) في “C:\Users\Public”.

ثم يقوم السكريبت بإنشاء استمرارية على النظام، وجمع وإرسال معلومات النظام إلى بوت تليجرام، وأخذ لقطة شاشة، وفي النهاية إطلاق حمولة آسينك رات (AsyncRAT) عن طريق حقنها في التنفيذ (aspnet_compiler.exe).

التحديات السيبرانية والمخاطر المحتملة

على الرغم من عدم معرفة الجهة المسؤولة عن الحملة، إلا أن التعليقات باللغة العربية في ملف (JavaScript) تشير إلى أصلهم المحتمل. وقد كشفت تحليلات إضافية للرسائل المرسلة إلى بوت تليجرام عن لقطات من سطح مكتب المهاجم نفسه باسم “DEXTERMSI”، وتضمنت السكريبت (PowerShell) وأداة تدعى لومينوسيتي لينك رات (Luminosity Link RAT). كما يوجد في البوت رابط إلى قناة تليجرام باسم “dexterlyly”، مما يشير إلى أن جهة التهديد قد تكون من ليبيا. تم إنشاء القناة في 5 أكتوبر 2024.

التأثير على القطاعات المستهدفة

تتضمن معظم الضحايا المستخدمين العاديين، بما في ذلك الموظفين في القطاعات التالية: إنتاج النفط، البناء، تكنولوجيا المعلومات، والزراعة. وعلى الرغم من أن الأدوات المستخدمة من قبل ديزرت دكستر ليست معقدة بشكل خاص، إلا أن الجمع بين إعلانات فيسبوك والخدمات الشرعية والإشارات إلى الوضع الجغرافي السياسي قد أدى إلى إصابة العديد من الأجهزة.

هذا التطور يأتي في وقت كشفت فيه شركة كيانكسين عن تفاصيل حملة تصيد بالرمح أطلق عليها عملية فيل البحر (Operation Sea Elephant) التي تستهدف مؤسسات البحث العلمي في الصين بهدف إيصال باب خلفي قادر على جمع معلومات حساسة تتعلق بالعلوم والتكنولوجيا البحرية.

دعوة للنقاش

مع تزايد التهديدات السيبرانية وتطور تقنيات الهجوم، كيف يمكن للشركات والحكومات تعزيز دفاعاتها الإلكترونية بشكل فعال؟ شاركنا آرائك وافكارك عبر وسائل التواصل الاجتماعي لدينا: تويتر وفيسبوك.