حملة Confucius تستهدف باكستان بـ WooperStealer وAnondoor — تصاعد في أساليب الاختراق والتجسّس

حملة Confucius تستهدف باكستان بـ WooperStealer وAnondoor — تصاعد في أساليب الاختراق والتجسّس
حملة Confucius تستهدف باكستان بـ WooperStealer وAnondoor — تصاعد في أساليب الاختراق والتجسّس
شارك هذا الخبر

رصد باحثو الأمن موجة تصيّد متقدمة استهدفت مؤسسات في باكستان تستخدم ملفات مخادعة وتقنيات تحميل ثانوي (DLL sideloading) لنشر برمجيات سرقة بيانات وزرع أبواب خلفية جديدة. تُنسَب الحملة إلى مجموعة Confucius الطويلة النشاط، التي عرفت عبر السنوات باستهدافها للدوائر الحكومية والعسكرية وقطاعاتٍ حساسة في جنوب آسيا، لكن ما يلفت في هذه الحملة هو الجمع بين أداة سرقة متطورة (WooperStealer) وزرعِ غرسات برمجية بلغة بايثون باسم Anondoor، في مؤشر على تطورٍ في تكتيكات المجموعة وقدرتها على التبدّل الفني.

أساليب التوزيع والزمنيات الميدانية

توثق Fortinet FortiGuard Labs سلاسل هجوم استُخدمت فيها مستندات خبيثة وملفات روابط سريعة (.PPSX و.LNK) كطعم أولي:

  • ديسمبر 2024: حملة اعتمدت ملف .PPSX يُغري الضحية بفتحه، ما أدى إلى تحميل WooperStealer عبر آلية DLL side-loading.

  • مارس 2025: موجة ثانية استخدمت ملفات .LNK (اختصارات ويندوز) لتشغيل DLL خبيثة تفعّل WooperStealer.

  • أغسطس 2025: استخدام آخر لـ .LNK أدى إلى تحميل DLL تمهّد لنشر Anondoor، وهو زرع بايثوني يُبلغ خوادم التحكم ويستقبل أوامر تنفيذية مثل التقاط لقطات شاشة، تفريغ كلمات المرور من متصفحات، ومسح بنى الملفات.

ما الذي تفعله WooperStealer وAnondoor؟

  • WooperStealer: برنامج سرقة بيانات مصمّم لجمع ملفات حساسة، نسخ احتياطية للدردشات، وقوائم الاتصالات من الأجهزة المصابة، ويُطلق غالبًا عبر تحميل ثانوي للـDLL لتجاوز التحكمات التقليدية.

  • Anondoor: زرع بايثوني ذُكِر سابقًا في تقارير يوليو 2025 من قِبل فريق KnownSec 404/Seebug؛ يؤدي مهام استخباراتية ميدانية: جمع معلومات الجهاز، تنفيذ أوامر عن بُعد، التقاط شاشات، واستنزاف بيانات متصفح (مثل كلمات المرور). استخدام بايثون يشير إلى رغبة المهاجمين في مرونة التطوير وسهولة إعادة الاستخدام عبر منصات مختلفة.

قدرة التمويه والمرونة التشغيلية للمهاجمين

تُبرز Fortinet أن المجموعة طبّقت طبقات من التعتيم بهدف التهرب من الكشف، وغيّرت بنية أدواتها وشبكات بنيتها التحتية بسرعة، ما سمح لها بالتحول بين تقنيات التوزيع والبروباغندا لصالح أهداف جمع الاستخبارات. كذلك وثّقت تقارير K7 Security سلاسل مشابهة لجهات أخرى (Patchwork) تعتمد ماكروهات خبيثة لتحميل ملفات .LNK التي بدورها تستخدم DLL sideloading لتشغيل الحمولات الأساسية، مع عرض ملف PDF خداعي لمستخدمي الضحية لإخفاء النشاط الخبيث.

وسوم
محمد وهبى
محمد وهبى
المقالات: 555

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة