كشفت شركة Kaspersky عن حملة تجسس سيبرانية استغلت ثغرة أمنية من نوع يوم الصفر في متصفح Google Chrome (المُعرّفة بـ CVE-2025-2783) قبل أن يتم تصحيحها، ما أدى إلى نشر أداة تجسس طورتها شركة التكنولوجيا الإيطالية Memento Labs.
استغلال الثغرة عبر حملة ForumTroll
الثغرة – التي تحمل تقييم خطورة 8.3 على مقياس CVSS – هي حالة هروب من بيئة العزل (Sandbox Escape). وقد كشفت Google عنها في مارس 2025 بعد استخدامها في حملة استهدفت مؤسسات روسية، أطلق عليها اسم عملية ForumTroll.
وتعقبت شركات الأمن هذا النشاط تحت مسميات مختلفة مثل TaxOff / Team 46 من قبل Positive Technologies، وProsperous Werewolf من BI.ZONE. وتشير التحليلات إلى أن النشاط مستمر منذ فبراير 2024 على الأقل.
تضمنت الهجمات رسائل تصيّد تحتوي على روابط قصيرة وشخصية تدعو الضحايا للمشاركة في منتدى “Primakov Readings”، وبمجرد النقر عبر متصفح Chrome أو أي متصفح مبني على Chromium، يجري استغلال الثغرة CVE-2025-2783 لكسر عزل المتصفح وتنزيل أدوات تجسس طورتها Memento Labs.
من Hacking Team إلى Memento Labs
تتخذ Memento Labs من ميلانو مقرًا لها، وتأسست في أبريل 2019 نتيجة اندماج شركتي InTheCyber Group وHacking Team، الأخيرة معروفة ببيع أدوات الاختراق والمراقبة الحكومية، بما في ذلك برمجيات لتتبع متصفح Tor.
وقد تعرضت Hacking Team لاختراق ضخم في يوليو 2015 أدى إلى تسريب مئات الجيجابايت من بياناتها الداخلية، بما في ذلك أدوات استغلال شهيرة مثل VectorEDK التي أصبحت لاحقًا أساسًا لبرمجية الإقلاع الخبيثة MosaicRegressor. كما أوقفت السلطات الإيطالية في 2016 تراخيص تصديرها خارج أوروبا.
برمجية LeetAgent: أداة تجسس غير موثقة سابقًا
الهجمات التي وثّقتها Kaspersky استهدفت وسائل إعلام وجامعات ومراكز أبحاث ومؤسسات حكومية ومصرفية في روسيا وبيلاروسيا، وكان هدفها الرئيسي هو التجسس الانتقائي لا العشوائي.
وأوضح الباحث الأمني بوريس لارين من فريق Kaspersky GReAT أن العملية كانت “تصيّدًا موجّهًا بدقة، اعتمد على روابط مخصّصة تستهدف كيانات بعينها”.
التحقيقات كشفت أن البرمجية الجديدة التي تم نشرها تُعرف باسم LeetAgent، وهي أداة تجسس متقدمة من تطوير Memento Labs، سُمّيت بهذا الاسم بسبب استخدام لغة “Leetspeak” في أوامرها البرمجية.
تبدأ سلسلة العدوى بمرحلة تحقق أولية (Validator) داخل المتصفح للتأكد من أن الزائر “مستخدم حقيقي”، ثم تُفعّل الثغرة لتجاوز العزل وتنفيذ رمز خبيث عن بُعد يسمح بتحميل أداة تقوم بتشغيل LeetAgent.
وتستطيع البرمجية الاتصال بخوادم القيادة والسيطرة (C2) عبر HTTPS لتنفيذ أوامر متعددة تشمل:
تشغيل أوامر عبر cmd.exe، تنفيذ عمليات، قراءة وكتابة ملفات، إيقاف مهام، حقن شيفرات (Shellcode)، تغيير إعدادات الاتصال، تسجيل ضغطات المفاتيح، وسرقة ملفات من أنواع DOC وXLS وPPT وPDF.
ارتباط LeetAgent ببرمجية Dante التجسسية
يرجّح أن استخدام LeetAgent يعود إلى عام 2022، إذ ارتبطت به هجمات أوسع استهدفت روسيا وبيلاروسيا. وقد وثّقت Positive Technologies في يونيو 2025 حملة مشابهة استغلت الثغرة نفسها لتوزيع باب خلفي باسم Trinper.
وأكد لارين أن كلا الحملتين مرتبطتان، موضحًا أن “LeetAgent استخدم في بعض الحوادث لإطلاق برمجية تجسس أكثر تطورًا تُعرف باسم Dante.”
تُعد Dante خليفة للبرمجية القديمة Remote Control Systems (RCS)، وتتميز بتقنيات متقدمة لمقاومة التحليل، مثل إخفاء دوال الاستيراد، والتشفير الكامل للنصوص، وفحص بيئة التشغيل لاكتشاف أدوات تحليل البرمجيات أو الأجهزة الافتراضية.
بعد تجاوز الفحوص الأمنية، يبدأ الوحدة الرئيسية (Orchestrator) بالاتصال بخادم C2 وتحميل مكونات إضافية من الذاكرة أو النظام، كما تُبرمج البرمجية على حذف نفسها تلقائيًا في حال عدم تلقي أوامر خلال فترة محددة، لضمان التخفي الكامل.
تأكيد رسمي من Memento Labs
أكد المدير التنفيذي لـ Memento Labs، باولو ليتسي، لموقع TechCrunch أن برمجية التجسس المكتشفة بالفعل تعود لشركته، موجهًا اللوم إلى “أحد عملائها الحكوميين” الذي تسبّب في تسريب إصدار قديم من برمجية Dante المخصصة لنظام ويندوز.
وأضاف أن الشركة تعمل حاليًا فقط على أدوات مراقبة للمنصات المحمولة، وأنها طلبت رسميًا من عملائها التوقف عن استخدام البرمجيات المخصصة لأنظمة Windows.
تُبرز هذه الحادثة مجددًا كيف يمكن للأدوات الموجهة أصلاً للاستخدام الأمني أن تتحول إلى وسائل تجسس عابرة للحدود، مؤكدة على الانتشار المتزايد لتقنيات المراقبة الرقمية التي تهدد الخصوصية والأمن العالمي.
