أفادت شركة الأمن السيبراني ESET أن حملات توزيع برمجية GuLoader المعروفة أيضاً باسم CloudEyE بلغت مستويات قياسية بين شهري سبتمبر ونوفمبر 2025، حيث سُجلت أعلى نسبة رصد في بولندا بتاريخ 18 سبتمبر. هذا التصاعد يعكس اتساع نطاق الهجمات التي تستهدف مستخدمي الحواسيب عبر تقنيات متعددة، ويؤكد أن GuLoader لا تزال واحدة من أكثر البرمجيات الخبيثة انتشاراً في المشهد الرقمي العالمي.
طبيعة البرمجية متعددة المراحل
تُصنف GuLoader كبرمجية خبيثة متعددة المراحل، حيث يبدأ الهجوم عبر الـ Downloader الذي يُوزع باستخدام PowerShell scripts وملفات JavaScript وتنفيذيات NSIS. هذه المرحلة الأولى تعمل على تنزيل المرحلة التالية التي تحتوي على مكوّن Crypter، وهو المسؤول عن إخفاء الحمولة النهائية داخل طبقات مشفرة ومضغوطة. هذا التصميم يجعل من الصعب على أدوات الحماية اكتشاف البرمجية أو تحليلها بشكل مباشر.
تقنيات الإخفاء والتعقيد
أوضحت ESET أن جميع مراحل CloudEyE تتميز بدرجة عالية من التضليل البرمجي (Obfuscation)، حيث يتم ضغط المحتوى وتشفيره وترميزه بطرق متعددة لإعاقة التحليل الأمني. هذه الاستراتيجية تهدف إلى إرباك الباحثين الأمنيين وإطالة الوقت اللازم لكشف البرمجية، مما يمنح المهاجمين فرصة أكبر لتنفيذ أهدافهم قبل اكتشاف الهجوم.
خلفية على GuLoader في المشهد السيبراني
ظهرت GuLoader لأول مرة قبل عدة سنوات كأداة تحميل للبرمجيات الخبيثة، لكنها تطورت لتصبح منصة متكاملة لنشر حمولة متنوعة من البرمجيات الضارة، بما في ذلك أدوات التجسس وأحصنة طروادة للوصول عن بُعد. انتشارها الأخير في أوروبا، وخاصة بولندا، يعكس استمرار اعتماد المهاجمين عليها كوسيلة فعالة لتجاوز أنظمة الحماية التقليدية. كما أن اعتمادها على تقنيات متعددة المراحل يجعلها أكثر مرونة وقابلية للتكيف مع بيئات مختلفة، ما يزيد من خطورتها على المؤسسات والأفراد.
