خلال أغسطس وما يليه من 2025 رصدت شركات أمنية حملات منظمة استهدفت المستخدمين الناطقين بالصينية عبر سُمّاد تحسين محركات البحث (SEO) وصفحات مستضافة على GitHub، حيث استُخدمت مواقع مزيفة لتوزيع أحجام متعددة من برامج التحكم عن بعد (RAT) تنتمي إلى عائلات مثل HiddenGh0st وWinos وkkRAT.
خداع نتائج البحث وتزوير مواقع التحميل
قنّن المهاجمون نتائج البحث من خلال ملحقات SEO وتسجيل نطاقات تشبه صفحات البرامج المشروعة مع تغييرات حرفية دقيقة في النصوص، ما جعل صفحات التحميل المزيفة تظهر ضمن نتائج بحث مرتفعة. استُهدِفَت عمليات البحث عن تطبيقات وخدمات شائعة مثل DeepL Translate وGoogle Chrome وSignal وTelegram وWhatsApp وWPS Office، حيث تُعيد نتائج البحث المستخدمين إلى صفحات محاكاة تحتوي على مُثبّتات مُحصنة بالبرمجيات الخبيثة.
الصفحات الخبيثة على GitHub Pages استُخدمت كحاملٍ موثوق لتوزيع هذه المثبتات المزيفة، مستغلة ثقة المستخدمين بالمنصة. وصف باحثون بشركة Fortinet سكربتًا باسم nice.js كجزء من سلسلة تسليم متعددة المراحل: الطلب الأول يعيد JSON يحوي رابطًا ثانويًا، والذي بدوره يُعيد JSON آخر يحيل إلى رابط التحميل النهائي للمثبت الضار.
سلسلة العدوى وتقنيات التمويه والمُقاومة للتحليل
المثبت يحتوي على مكتبة ديناميكية خبيثة اسمها EnumW.dll تقوم بفحوصات لمقاومة التحليل، ثم تستخرج DLL ثانية اسمها vstdlib.dll تهدف إلى زيادة استهلاك الذاكرة لإرباك أدوات التحليل وتشغيل حمولات أخرى. تقوم vstdlib.dll بفكّ تشغيل الحمولات وإطلاق الحمولة الرئيسية بعد التحقق من وجود برنامج الحماية 360 Total Security. إذا تواجد هذا البرنامج، تستخدم الحزمة تقنية TypeLib COM hijacking لإقامة الإصرار (persistence) ثم تشغيل ملف تنفيذي باسم insalivation.exe.
في حال عدم وجود برنامج الحماية المذكور، تُنشئ الحملة اختصارًا في نظام ويندوز يشير إلى نفس الملف التنفيذي لضمان التشغيل عند بدء النظام. الهدف النهائي في هذه المرحلة هو تحميل ملف جانبٍ ثالث (sideload) باسم AIDE.dll الذي يطلق ثلاث وظائف أساسية: قناة القيادة والتحكم (C2) لتبادل بيانات مشفّرة مع خادم بعيد، نبضات للحفاظ على حالة الاتصال وجمع بيانات النظام، ووحدة مراقبة لتقييم بيئة الضحية وتتبع النشاطات وإبلاغ خادم C2.
القنوات التي تقدمها هذه الحزم تسمح بتنزيل مكوّنات إضافية، تسجيل ضغطات المفاتيح وبيانات الحافظة، وحتى سرقة محافظ العملات المشفرة مثل محفظات Ethereum وTether. بعض الإضافات الموثقة قادرة على التقاط شاشة الضحية وتشغيل أدوات مراقبة عن بُعد سبق ربطها بإطار عمل Winos.
kkRAT والحملة المصاحبة ووسائل تعطيل برامج الحماية
أبلغت Zscaler عن حملة منفصلة استهدفت الناطقين بالصينية منذ مايو 2025 تضمنت حمولة جديدة لم تُسجّل سابقًا باسم kkRAT إلى جانب Winos وFatalRAT. يشارك kkRAT تشابهات برمجية مع Gh0st RAT وBig Bad Wolf، ويستخدم بروتوكول اتصال شبيهًا بـGh0st مع طبقة تشفير إضافية بعد ضغط البيانات. من خصائصه التحكم في الحافظة لاستبدال عناوين محافظ العملات المشفرة وتنفيذ أدوات مراقبة عن بعد مثل Sunlogin وGotoHTTP.
مُثبتات الحملة تجري فحوصات لاكتشاف بيئات الصناديق الرملية والآلات الافتراضية وتطالب بصلاحيات المسؤول. عند منح الصلاحيات، تقوم الحمولات بتعداد وتعطيل مُؤقت لمُعالجات محركات الشبكة لتعطيل حماية النظام، كما تنفّذ تقنية “إحضار برنامج تشغيل ضعيف” (BYOVD) لإبطال مفعول برامج الحماية عبر إعادة استخدام شيفرات من مشروع RealBlindingEDR مفتوح المصدر.
تستهدف الحملة بالخصوص خمسة برامج وحلول ذات صلة بالأمن: حزم 360 Internet Security و360 Total Security، وأداة HeroBravo System Diagnostics، وKingsoft Internet Security، وبرنامج QQ电脑管家 (QQ PC Manager). بعد قتل العمليات المتعلقة ببرامج الحماية، تنشئ الحملة مهمة مجدولة تعمل بامتيازات SYSTEM لتنفيذ سكربت دفعي يقتل هذه العمليات تلقائيًا عند كل تسجيل دخول، كما تعدّل مفاتيح سجل ويندوز المرتبطة ببرنامج 360 Total Security بهدف تعطيل فحوصات الشبكة ثم تعيد تمكين منافذ الشبكة بعد ذلك لضمان استمرارية الاتصال.
آلية التحميل النهائية والوظائف التشغيلية
تبدأ العملية التنفيذية بإطلاق شل كود يقوم بتنزيل شل كود آخر مُفلتر باسم “2025.bin” من عنوان مُشفّر داخل الشيفرة. هذا الشل كود يعمل كمنزلٍ لملف باسم output.log الذي يتواصل مع رابطين خارجيين لتحميل ملفي ZIP: trx38.zip الذي يحتوي على ملف تنفيذي شرعي وDLL خبيث يُطلق عبر تقنية DLL sideloading، وp.zip الذي يحتوي ملفًا مشفَّرًا باسم longlq.cl يحمل الحمولة النهائية.
تقوم الحملة بإنشاء اختصار للتطبيق الشرعي المستخرج من trx38.zip وإضافته إلى مجلد بدء التشغيل لتنفيذ sideload على DLL الخبيث، والذي بدوره يفك تشفير longlq.cl وينفّذ الحمولة الفعلية. من بين الحمَلات المحتملة يظهر kkRAT الذي يُقيم اتصالًا بالمخدم الموجه، يجمع بيانات النظام، ويحصل على إضافات لسرقة الحافظة، التقاط الشاشة، تنفيذ أوامر عن بُعد، إدارة العمليات والبرامج المثبتة، والعمل كوكيل SOCKS5 لتمرير الحركة عبر الضحية.
هذه السلسلات الهجومية تُبيّن قدرة المهاجمين على توظيف تقنيات هندسة اجتماعية متقنة مع استغلال منصات تبدو موثوقة لتوسيع نطاق إصابتهم، كما تؤكد الحاجة الملحّة إلى فحص أسماء النطاقات بعناية وتجنّب التنزيل من مصادر غير موثوقة حتى لو بدا رابط التحميل ظاهرًا ضمن نتائج البحث العالية الترتيب.
