كشفت شركة Google عن حملة إلكترونية خبيثة متواصلة تستهدف العاملين في مجالات الإعلان الرقمي والتسويق الإلكتروني، تنفذها مجموعة تهديد مالية المنشأ تُعرف باسم UNC6229 وتتخذ من فيتنام مقرًا لها. وتعتمد هذه المجموعة على خدعة الهندسة الاجتماعية المتمثلة في إعلانات وظائف وهمية تُنشر على منصات توظيف شرعية مثل LinkedIn، أو على مواقع مزيفة تديرها بنفسها مثل staffvirtual[.]website، بهدف اختراق حسابات الشركات والسيطرة على حسابات الإعلانات الرقمية عالية القيمة.
آلية الهجوم: من التوظيف إلى التسلل
تقوم مجموعة UNC6229 بإنشاء ملفات تعريف مزيفة لشركات رقمية وهمية — غالبًا ما تدّعي أنها وكالات تسويق أو إعلام رقمي — ثم تنشر عبرها عروض وظائف جذابة، خاصة تلك التي تتعلق بالعمل عن بُعد. وبمجرد أن يتقدّم الضحية بطلب توظيف، يتلقى رسالة بريد إلكتروني من الجهة المزعومة، تتضمن مرفقات ZIP خبيثة أو روابط تصيّد إلكتروني مصممة لسرقة بيانات الدخول إلى الحسابات المؤسسية.
وتؤدي هذه الملفات، عند فتحها، إلى تنزيل وتشغيل برمجيات تحكم عن بُعد (RATs) تمكّن المهاجمين من الوصول الكامل إلى النظام المستهدف، وسرقة بيانات الاعتماد أو الوصول إلى حسابات الإعلانات التي تُدار عبر Google Ads وMeta Ads وغيرها من المنصات.
“الثقة الزائفة” كأداة للهندسة الاجتماعية
أشارت Google في تقريرها إلى أن فعالية هذه الحملة تكمن في الاعتماد على ثقة الضحية، إذ تبدأ العملية عادةً عندما يبادر المستخدم نفسه بالتواصل عبر تقديم طلب التوظيف، مما يخلق ما وصفته الشركة بـ “أساس من الثقة” يجعل رسائل البريد اللاحقة تبدو مشروعة تمامًا. هذه الثقة الزائفة تقلل من حذر الضحية، وتزيد احتمالات فتح الملفات المرفقة أو النقر على الروابط دون تردد.
أهداف اقتصادية بغطاء مهني
تهدف المجموعة إلى تحقيق مكاسب مالية مباشرة من خلال الاستيلاء على حسابات الشركات أو التحكم في حملاتها الإعلانية الرقمية لتوجيه الإعلانات نحو مواقع ضارة أو حملات احتيالية. وتشير تحليلات Google إلى أن UNC6229 تُظهر احترافية متزايدة في تصميم حملاتها الاجتماعية، مستفيدة من واجهات مواقع التوظيف الأصلية وأسلوب المراسلات الرسمي لتجنّب الشكوك.
تحذيرات ومؤشرات على النشاط المستمر
توصي Google الشركات والأفراد العاملين في مجال الإعلان الرقمي بضرورة التحقق الدقيق من هوية الجهات المعلِنة، وتجنّب تنزيل الملفات المرفقة في طلبات التوظيف أو فتح روابط البريد الإلكتروني غير المؤكدة. وتشير البيانات إلى أن المجموعة لا تزال نشطة، وتستمر في تطوير أدواتها لاستهداف موظفين جدد في وكالات الإعلان وشركات التسويق الرقمي حول العالم.
