رصد باحثون في الأمن السيبراني برمجية تجسس جديدة تُعرف باسم CastleRAT، وهي من فئة أحصنة طروادة للتحكم عن بُعد (RAT)، وتعمل بنسختين رئيسيتين: نسخة مكتوبة بلغة Python وأخرى مجمعة بلغة C. ورغم أن النسختين تقدمان قدرات متشابهة، فإن شركة Splunk أوضحت أن النسخة المكتوبة بلغة C أكثر قوة، وتستطيع تضمين ميزات إضافية تجعلها أكثر فعالية في البيئات المستهدفة.
وتعتمد CastleRAT على آليات تقليدية ومتقدمة في الوقت نفسه، ما يجعلها مناسبة لعمليات التجسس طويلة الأمد، خصوصًا لدى الجهات التي تبحث عن برمجيات مرنة وسهلة التخصيص.
جمع معلومات النظام وإرسالها إلى خادم التحكم
وفقًا لـ Splunk، تقوم CastleRAT بجمع مجموعة من المعلومات الأساسية عن الجهاز المصاب، تشمل: – اسم الحاسوب – اسم المستخدم – رقم GUID الخاص بالجهاز – عنوان الـ IP العام – تفاصيل النظام والإصدار
وبعد جمع هذه البيانات، تُرسل مباشرة إلى خادم التحكم والسيطرة (C2)، ما يمنح المهاجم رؤية كاملة عن البيئة المستهدفة قبل تنفيذ أي أوامر إضافية.
قدرات تنفيذ أوامر وتحميل ملفات إضافية
لا تقتصر CastleRAT على جمع المعلومات، بل تمتلك قدرات متقدمة تشمل: – تنزيل ملفات إضافية من خادم المهاجم – تنفيذ هذه الملفات مباشرة على الجهاز المصاب – توفير Remote Shell يسمح للمهاجم بتنفيذ أوامر مباشرة كما لو كان يعمل على الجهاز نفسه
هذه القدرات تجعل CastleRAT منصة تجسسية كاملة، قادرة على التوسع والتحكم في الأنظمة المصابة بمرونة عالية، خصوصًا عند استخدام النسخة المجمعة بلغة C التي توفر أداءً أعلى وصعوبة أكبر في التحليل.
الجهة المسؤولة: مجموعة تهديد تُعرف باسم TAG‑150
تنسب التحليلات CastleRAT إلى جهة تهديد تُعرف باسم TAG‑150، وهي مجموعة يُعتقد أنها تمتلك خبرة تقنية عالية وقدرة على تطوير برمجيات خبيثة متعددة المنصات. ويشير هذا الارتباط إلى أن CastleRAT ليست مجرد أداة تجسس عشوائية، بل جزء من حملة منظمة تستهدف بيئات محددة بعناية.
وتؤكد هذه التطورات أن مشهد التهديدات السيبرانية يشهد تصاعدًا في استخدام برمجيات RAT متعددة اللغات، تجمع بين سهولة التطوير في Python وقوة التنفيذ في C، ما يزيد من صعوبة اكتشافها والتعامل معها.
