في تطور جديد لتهديدات الأمن السيبراني، حذر باحثون من انتشار شبكة روبوتات خبيثة نشطة تحمل اسم “تسونديري” (Tsundere)، تستهدف مستخدمي نظام ويندوز. ما يميز هذه الشبكة هو تخصصها في استدراج عشاق الألعاب الإلكترونية عبر برامج مزيفة، واستخدامها لتقنية مبتكرة تعتمد على شبكة “إثيريوم” Blockchain للتواصل مع خوادم التحكم، مما يجعل تعقبها وإسقاطها أكثر صعوبة.
آلية الانتشار: استغلال شعبية الألعاب والإدارة عن بُعد
على الرغم من عدم وضوح الصورة الكاملة لآليات الانتشار، تشير الدلائل إلى أن القائمين على هذه الشبكة يستخدمون طُعماً مرتبطة بألعاب إلكترونية شهيرة مثل “فالورانت” و”رينبو سيكس سيج” و”كونتر-سترايك 2″. يُعتقد أن الضحايا المستهدفين هم من يبحثون عن نسخ مسربة أو مقرصنة من هذه الألعاب، ليقوموا عن غير قصد بتنزيل برامج ضارة disguised as legitimate game installers. في حالة واحدة موثقة، تمكن المهاجمون من استخدام أداة شرعية للإدارة والمراقبة عن بُعد (RMM) كقناة لتحميل ملف installer MSI من موقع إلكتروني تم اختراقه. يبدأ التنفيذ بتحميل وتثبيت Node.js على الجهاز المصاب، ليتم بعدها تشغيل سكريبت مسؤول عن فك تشفير وتنفيذ الحمولة الرئيسية للبرنامج الضار.
التمويه والاستمرارية: محاكاة البيئات الشرعية
لتعزيز قدرتها على التخفي والبقاء، تقوم “تسونديري” بمحاكاة البيئات البرمجية الشرعية بشكل لافت. فبعد الاختراق، تقوم تلقائياً بتحميل ثلاثة مكتبات برمجية قانونية ومعروفة وهي ws، ethers، وpm2 باستخدام أمر npm install المعتاد. تكمن الخطورة هنا في تحويل هذه الأدوات الشرعية إلى أدوات للشر. فحزمة pm2، على سبيل المثال، تُستخدم لضمان بقاء البرنامج الضار نشطاً وتحقيق “الاستمرارية” على النظام، حيث يتم تعديل سجل النظام (Registry) لتشغيل البرنامج تلقائياً في كل مرة يسجل فيها المستخدم الدخول إلى جهازه. حتى عندما ينتشر البرنامج عبر سكريبت “باورشيل”، فإنه ينشئ مفتاحاً في السجل يحقق نفس الهدف، مما يضمن بقاء الجهاز تحت سيطرة المهاجمين.
ابتكار في القيادة: استخدام blockchain الإثيريوم لإخفاء الخوادم
يُعتبر الجانب الأكثر براعة في “تسونديري” هو آلية الاتصال بخوادم القيادة والتحكم (C2). عوضاً عن استخدام عناوين إنترنت ثابتة يمكن حظرها بسهولة، تلجأ الشبكة إلى استخدام شبكة “إثيريوم” Blockchain العامة لاستعادة عنوان خادم الويب سوكيت (WebSocket) الحقيقي. تتيح هذه الآلية للمهاجمين تدوير وتغيير بنيتهم التحتية ببساطة عن طريق استخدام “عقد ذكي” على الشبكة، مما يخلق آلية مرنة ومقاومة للملاحقة. تم إنشاء العقد الذكي المعني في 23 سبتمبر 2024، وقد شهد 26 معاملة حتى الآن. بعد الحصول على عنوان الخادم، يقوم البرنامج الضار بالاتصال به لتلقي وتعليمات جافا سكريبت من الخوادم، مما يمنح مدراء الشبكة مرونة كبيرة في تكييف المهمة المطلوبة من الأجهزة المصابة.
منظمة إجرامية واحتمالات روسية
تشير عدة أدلة إلى الخلفية المحتملة لمن يقف وراء “تسونديري”. وجود اللغة الروسية في الكود المصدري لأغراض التسجيل يشير بقوة إلى أن المنفذين ناطقون بالروسية. كما أن القيود المفروضة على عملاء برنامج “123 Stealer” المسروق للمعلومات، والذي يستضيف خادمه نفس لوحة تحكم “تسونديري”، تمنع استخدامه لمهاجمة أهداف في روسيا أو دول رابطة الدول المستقلة (CIS)، وهو نمط شائع في البرامج الضارة ذات المنشأ الروسي. يتم بيع هذه البرامج الضارة عبر لوحة تحكم متطورة تتيح للمجرمين بناء عينات جديدة، وإدارة الوظائف الإدارية، وعرض عدد الأجهزة المصابة، وحتى تحويلها إلى خوادم وكيلة (Proxy) لتوجيه حركة مرور ضارة.
