تُعرف مجموعة ScarCruft بأنها إحدى أبرز الجهات الفاعلة في التهديدات السيبرانية المرتبطة بكوريا الشمالية، وقد ظهرت في السنوات الأخيرة بقدرات متقدمة في استغلال الثغرات وتطوير أدوات مخصصة للتجسس الرقمي. الجديد في حملتها الأخيرة، التي أطلقت عليها شركة Zscaler ThreatLabz اسم “روبي جمبر”، هو دمج تقنيات غير مألوفة مثل استخدام خدمات التخزين السحابي الشرعية (Zoho WorkDrive) كقنوات للتحكم والسيطرة، إلى جانب استغلال وسائط USB لنقل الأوامر والبيانات بين الأنظمة المعزولة عن الإنترنت.
آلية الهجوم متعددة المراحل
بدأت الحملة في ديسمبر 2025، حيث اعتمدت على ملفات LNK خبيثة تعمل على تشغيل أوامر PowerShell فور فتحها. هذه الأوامر تستخرج عدة حمولة مدمجة داخل الملف، تشمل وثيقة وهمية، ملف تنفيذي، سكربت إضافي، وملف باتش.
الملف التنفيذي المعروف باسم RESTLEAF يُحمّل في الذاكرة ويستخدم Zoho WorkDrive كخادم تحكم، وهي المرة الأولى التي يتم فيها توثيق استغلال هذه الخدمة في هجمات ScarCruft. بعد المصادقة باستخدام رمز وصول صالح، يقوم RESTLEAF بتنزيل شيفرات إضافية تؤدي إلى نشر أدوات أخرى مثل SNAKEDROPPER وTHUMBSBD وVIRUSTASK.
وسائط USB كسلاح لاختراق الشبكات المعزولة
من أبرز ما يميز الحملة هو الاعتماد على وسائط التخزين القابلة للإزالة كوسيلة لاختراق الشبكات المعزولة (Air-Gapped). أداة THUMBSBD، التي تُموّه كملف روبي، قادرة على جمع معلومات النظام، وتنزيل حمولة ثانوية، وتنفيذ أوامر، ونقل البيانات عبر USB. عند اكتشاف وجود وسائط قابلة للإزالة، ينشئ البرنامج مجلدًا مخفيًا لتخزين الأوامر الصادرة من المهاجمين أو نتائج التنفيذ.
أما أداة VIRUSTASK، فهي تركز على نشر العدوى عبر وسائط USB، مما يسمح بالوصول الأولي إلى أنظمة غير متصلة بالإنترنت، وهو ما يمثل تهديدًا بالغًا للبنى التحتية الحساسة التي تعتمد على العزل الشبكي كطبقة حماية أساسية.
أدوات مراقبة وتجسس متقدمة
تتضمن الحملة أيضًا أداة FOOTWINE، وهي حمولة مشفرة مزودة بقدرات تسجيل ضغطات المفاتيح والتقاط الصوت والفيديو، إضافة إلى التواصل مع خادم التحكم عبر بروتوكول ثنائي مخصص. هذه الأداة تدعم أوامر متعددة تشمل إدارة الملفات، تعديل السجل، مراقبة العمليات، والتقاط لقطات شاشة، فضلًا عن تشغيل مراقبة صوتية ومرئية مباشرة.
كما أعادت المجموعة استخدام أداة BLUELIGHT، وهي باب خلفي معروف منذ 2021، يستغل خدمات سحابية مثل Google Drive وOneDrive وpCloud وBackBlaze لتنفيذ أوامر وتحميل أو رفع ملفات، مما يعكس استراتيجية ثابتة لدى ScarCruft في استغلال المنصات الشرعية لتضليل أنظمة الحماية.
دلالات أمنية واستراتيجية
تكشف حملة “روبي جمبر” عن تطور ملحوظ في أساليب الهجوم السيبراني، حيث لم يعد الاعتماد مقتصرًا على البرمجيات الخبيثة التقليدية، بل توسع ليشمل استغلال خدمات سحابية موثوقة ووسائط USB كجسر لاختراق الشبكات المعزولة. هذا النهج يعكس إدراكًا متزايدًا لدى الجهات المهاجمة لأهمية تجاوز العزل الشبكي الذي تعتمد عليه المؤسسات الحكومية والعسكرية والمالية لحماية بياناتها.
كما أن استخدام وثائق تتناول قضايا سياسية حساسة مثل الصراع الفلسطيني–الإسرائيلي كطُعم، يعكس البعد الدعائي والنفسي للهجمات، حيث يتم توظيف محتوى إعلامي مترجم لاستدراج الضحايا وفتح الملفات الخبيثة.
