برزت المؤسسات الكندية كهدف رئيسي لحملة سيبرانية مركّزة تقودها مجموعة التهديد STAC6565، وفقًا لتحقيقات شركة Sophos التي رصدت ما يقرب من 40 اختراقًا بين فبراير 2024 وأغسطس 2025. وتشير التحليلات إلى تداخل واضح بين نشاط هذه المجموعة وعمليات مجموعة Gold Blade، المعروفة أيضًا بأسماء Earth Kapre وRedCurl وRed Wolf، وهي جهة تهديد مالية الدوافع تنشط منذ أواخر 2018.
بدأت المجموعة باستهداف كيانات في روسيا قبل أن توسّع عملياتها لتشمل كندا وألمانيا والنرويج وسلوفينيا وأوكرانيا والمملكة المتحدة والولايات المتحدة. وعلى الرغم من تاريخها في التجسس التجاري عبر رسائل التصيّد، فقد تحوّلت مؤخرًا إلى تنفيذ هجمات فدية باستخدام برمجية مخصّصة تُعرف باسم QWCrypt.
أدوات متقدمة لجمع البيانات وتنفيذ الفدية
تعتمد المجموعة على أداة RedLoader، وهي أداة تقوم بإرسال معلومات الجهاز المصاب إلى خادم تحكم وسيطرة، ثم تنفيذ سكربتات PowerShell لجمع تفاصيل بيئة Active Directory المخترقة. ويصف باحثو Sophos هذا التحول بأنه انتقال من التجسس السيبراني إلى عمليات هجينة تمزج بين سرقة البيانات ونشر الفدية بشكل انتقائي.
وتشير البيانات إلى أن 80% من الهجمات الأخيرة استهدفت مؤسسات كندية، بينما شملت الأهداف الأخرى الولايات المتحدة وأستراليا والمملكة المتحدة، مع تركّز الهجمات على قطاعات الخدمات والتصنيع والتجزئة والتكنولوجيا والمنظمات غير الحكومية والنقل.
وتعمل المجموعة وفق نموذج “الاختراق مقابل أجر”، حيث تنفّذ عمليات مخصّصة لصالح عملاء، مع نشر الفدية كوسيلة إضافية لتحقيق الربح. ورغم وجود تقارير سابقة ترجّح أن المجموعة ناطقة بالروسية، لا توجد أدلة مؤكدة على ذلك.
استغلال منصات التوظيف لنشر البرمجيات الضارة
تبدأ سلسلة الهجوم برسائل تصيّد موجّهة إلى موظفي الموارد البشرية، تتضمن سيرًا ذاتية أو خطابات تغطية مزيفة. ومنذ نوفمبر 2024، استغلت المجموعة منصات توظيف شرعية مثل Indeed وJazzHR وADP WorkforceNow لرفع السير المزيفة، ما يزيد احتمالات فتحها ويقلل فرص اكتشافها عبر أنظمة الحماية البريدية.
وفي إحدى الحوادث، أدى فتح سيرة ذاتية مزيفة على منصة Indeed إلى إعادة توجيه المستخدم إلى رابط خبيث انتهى بنشر فدية QWCrypt عبر سلسلة RedLoader. وقد رُصدت ثلاث سلاسل مختلفة لتسليم RedLoader خلال سبتمبر 2024 ومارس/أبريل 2025 ويوليو 2025.
مراحل متقدمة للتنفيذ وتجاوز الدفاعات
شهد يوليو 2025 تطورًا مهمًا في آلية الهجوم، حيث استخدمت المجموعة أرشيف ZIP يحتوي على اختصار LNK يتظاهر بأنه ملف PDF. يقوم هذا الاختصار بجلب نسخة معدّلة من ADNotificationManager.exe من خادم WebDAV، ثم تشغيل ملف Adobe شرعي لتحميل DLL خبيث (srvcli.dll أو netutils.dll) عبر تقنية Sideloading.
يتصل DLL بخادم خارجي لتنزيل حمولة المرحلة الثانية، والتي بدورها تجلب حمولة ثالثة تشمل ملفًا تنفيذيًا وملف DAT خبيثًا ونسخة معدّلة من 7-Zip. وتعتمد المرحلتان على أداة pcalua.exe لتنفيذ الحمولات، بينما انتقلت المجموعة في أبريل 2025 من استخدام DLLs إلى EXEs.
وتقوم الحمولة بتحليل ملف DAT، وفحص الاتصال بالإنترنت، ثم إنشاء سكربت BAT لجمع معلومات النظام، بما في ذلك تفاصيل الأجهزة والأقراص والعمليات والبرامج المضادة للفيروسات. تُرسل النتائج داخل أرشيف 7-Zip مشفر إلى خادم WebDAV تابع للمهاجم.
كما استخدمت المجموعة أدوات مثل RPivot وChisel SOCKS5 للاتصال بخوادم C2، إضافة إلى نسخة معدّلة من أداة Terminator التي تستغل برنامج تشغيل Zemana AntiMalware لتنفيذ هجوم BYOVD لتعطيل برامج الحماية.
نشر فدية QWCrypt واستهداف البنية التحتية الافتراضية
رغم نجاح الدفاعات في إيقاف معظم الهجمات قبل نشر الفدية، فقد نجحت ثلاث هجمات في أبريل ويوليو 2025 في تنفيذ QWCrypt. وفي إحدى الحالات، جمع المهاجمون ملفات حساسة يدويًا قبل الانتظار خمسة أيام ثم نشر الفدية، ما يشير إلى محاولة بيع البيانات قبل اللجوء للتشفير.
وتُعد سكربتات نشر QWCrypt مخصّصة لكل ضحية، وتتحقق من تشغيل خدمة Terminator قبل تعطيل الاستعادة وتنفيذ الفدية على الأجهزة، بما في ذلك خوادم Hypervisor. وفي المرحلة الأخيرة، تُحذف النسخ الظلية وسجلات PowerShell لإعاقة التحقيقات.
وتأتي هذه التطورات في ظل ارتفاع كبير في هجمات الفدية على الـHypervisors، حيث ارتفعت من 3% إلى 25% خلال النصف الثاني من العام، مدفوعة بنشاط مجموعة Akira. ويشير الخبراء إلى أن استهداف البنية التحتية الافتراضية يضاعف تأثير الهجمات بشكل كبير.
