كشفت مجموعة Insikt التابعة لشركة Recorded Future عن تفاصيل جديدة حول حملة التجسس السيبراني المعروفة باسم PurpleBravo، والتي استهدفت ما يصل إلى 3,136 عنوان IP في الفترة بين أغسطس 2024 وسبتمبر 2025. الحملة ركزت على 20 مؤسسة محتملة في قطاعات الذكاء الاصطناعي، العملات الرقمية، الخدمات المالية، خدمات تقنية المعلومات، التسويق، وتطوير البرمجيات، موزعة عبر أوروبا، جنوب آسيا، الشرق الأوسط، وأمريكا الوسطى.
الضحايا المحتملون شملوا شركات في دول مثل بلجيكا، بلغاريا، كوستاريكا، الهند، إيطاليا، هولندا، باكستان، رومانيا، الإمارات العربية المتحدة، وفيتنام.
أسلوب الهجوم عبر مقابلات العمل
الحملة، المعروفة أيضاً بأسماء مثل CL-STA-0240 وDeceptiveDevelopment وGwisin Gang، اعتمدت على أسلوب “المقابلات المعدية” حيث يتم خداع المرشحين لوظائف وهمية لتنفيذ شيفرات خبيثة على أجهزة الشركات. هذا أدى إلى تعريض المؤسسات للخطر بشكل مباشر، وليس فقط الأفراد المستهدفين.
في نسخة حديثة من الهجوم، وثّقت Jamf Threat Labs استخدام مشاريع مزيفة في Visual Studio Code كوسيلة لنشر أبواب خلفية، ما يبرز استغلال المهاجمين لبيئات تطوير موثوقة لتحقيق أهداف التجسس والسرقة المالية.
البنية التحتية والأدوات الخبيثة
تم رصد أربعة حسابات مزيفة على LinkedIn مرتبطة بـ PurpleBravo، ادعت أنها لمطورين ومجندين من مدينة أوديسا الأوكرانية، إضافة إلى مستودعات خبيثة على GitHub لنشر برمجيات مثل:
- BeaverTail: أداة خبيثة بلغة JavaScript لسرقة البيانات وتحميل البرمجيات.
- GolangGhost (المعروفة أيضاً بـ FlexibleFerret أو WeaselStore): باب خلفي مكتوب بلغة Go يعتمد على أداة مفتوحة المصدر HackBrowserData.
أُديرت خوادم التحكم والسيطرة (C2) عبر 17 مزوداً مختلفاً باستخدام Astrill VPN من نطاقات IP في الصين، وهو أسلوب موثق سابقاً في هجمات كورية شمالية.
ارتباطات مع حملة PurpleDelta
الحملة تتقاطع مع حملة أخرى تُعرف باسم Wagemole أو PurpleDelta، حيث يسعى عمال تكنولوجيا المعلومات الكوريون الشماليون للحصول على وظائف غير مشروعة بهويات مزيفة في شركات أميركية ودولية. ورغم اعتبار الحملتين منفصلتين، إلا أن هناك تداخلات تكتيكية وبنيوية بينهما، مثل استخدام نفس عناوين VPN أو تواصل عناوين IP روسية مرتبطة بعمال كوريين شماليين مع خوادم PurpleBravo.
المخاطر على سلاسل التوريد
الأخطر أن بعض المرشحين المزيفين أجروا اختبارات برمجية على أجهزة الشركات نفسها، ما أدى إلى اختراق بيئات العمل الداخلية. هذا يوضح أن سلسلة توريد البرمجيات معرضة للاختراق بنفس القدر الذي تمثله تهديدات العمالة الكورية الشمالية.
بحسب التقرير، العديد من المؤسسات المستهدفة تخدم قواعد عملاء واسعة، ما يجعل الخطر مضاعفاً على الشركات التي تستعين بمصادر خارجية في هذه المناطق. لذلك، شددت Recorded Future على ضرورة أن تحظى مخاطر PurpleBravo بنفس مستوى الاهتمام الذي نالته تهديدات العمالة الكورية الشمالية، لضمان الاستعداد والدفاع ومنع تسرب البيانات الحساسة.
