رصدت شركة Securonix المتخصصة في الأمن السيبراني حملة هجومية نشطة أُطلق عليها اسم TAX#TRIDENT، تستغل إشعارات ضريبية مزيفة منسوبة إلى مصلحة ضريبة الدخل الهندية لإيقاع الضحايا في فخ تحميل برمجيات خبيثة تمنح المهاجمين سيطرة كاملة وصامتة على أجهزتهم. وما يجعل هذه الحملة مثيرة للقلق بشكل خاص هو تعدد مساراتها الهجومية وقدرتها على التكيف، مما يجعل أساليب الكشف التقليدية القائمة على التوقيعات الرقمية عاجزة عن التصدي لها.
لماذا ضريبة الدخل الهندية تحديداً وكيف تبدأ الهجوم
تبني الحملة نجاعتها على صفحات إشعارات ضريبية هندية مزيفة مصممة لإقناع الزوار بتحميل ما يبدو وثيقة حكومية رسمية. وما إن يصل المستخدم إلى الصفحة حتى يجد زر تحميل لما يبدو إشعاراً حكومياً مهماً، في حين يقبع خلف ذلك الزر ملف خبيث قادر على اختراق النظام بالكامل. وتستغل رسائل ضريبة الدخل طاقة الاستعجال والإلحاح، إذ يمكن أن تصل منطقياً إلى موظفين في الأقسام المالية والقانونية وإدارة الموارد البشرية وحتى الإدارة التنفيذية.
والسياق الذي تعمل فيه الحملة يزيدها خطورة، إذ تتزامن مع موجة إعادة هيكلة تشريعية كبرى في الهند تخص نظام ضريبة الدخل، مما يجعل تلقي إشعارات رسمية جديدة أمراً وارداً في ذهن المستهدفين ويقلل من شكوكهم تجاه هذه المراسلات.
وتشير أدلة تقنية متعددة إلى احتمال ارتباط الحملة بأدوات برمجية صينية المصدر، إذ رصدت شركة eSentire في ديسمبر 2025 حملة مماثلة تستخدم بريد إلكتروني تصيدي ينتحل هوية مصلحة ضريبة الدخل الهندية لتحميل ضحاياه برنامج SyncFuture TSM للإدارة الأمنية للأطراف الطرفية.
ثلاثة مسارات هجومية، هدف واحد: الاستيلاء الصامت على الجهاز
تتميز حملة TAX#TRIDENT بتشغيل ثلاث سلاسل إصابة مستقلة في آنٍ واحد، مما يعني أن اعتراض أحدها لا يحيّد الأخريين، وهو ما يمنح المهاجمين مرونة تشغيلية استثنائية.
في المسار الأول، تبدأ الإصابة من موقع مزيف يحاكي صفحة مصلحة الضرائب الهندية. بالنقر على زر التحميل يصل المستخدم إلى ملف ZIP باسم Assessment Letter.zip يحتوي على ملف تنفيذي موقَّع رقمياً يثبت عميل إدارة عن بُعد متكاملاً. يقرأ المثبِّت قيمة عنوان الخادم المُضمَّنة مباشرة داخل اسم الملف ويكتبها في إعدادات التكوين المحلية. ثم ينشئ مجلداً مخفياً ضمن مجلد نظام Windows ويسقط ملف svchost.exe مزيفاً إلى جانب ملفات تشغيل وهمية.
أما المسار الثاني، فيحافظ على نفس الحمولة الخبيثة لكن يُضيف طبقات تمويه إضافية. يعمل سكريبت VBScript باسم Assessment_Order.vbs على عرض صورة خداعية مرتبطة بأوامر ضريبية لطمأنة الضحية، ثم يُنزِّل الحمولة الخبيثة في الخلفية ويكتب ملف إعدادات YTSysConfig.ini ويُشغِّل المثبِّت في وضع مخفي تام.
أما المسار الثالث فيتبنى تقنية مغايرة كلياً؛ بدلاً من إيصال حمولة ClientSetup، يستخدم المهاجمون نقطة نهاية تبدو بامتداد PHP لكنها ترجع محتوى VBScript فعلياً. يُنزِّل هذا السكريبت مراحل إضافية من خدمة التخزين السحابي S3، ويعدّل سلوك نافذة UAC لتقليل تنبيهات الأمان، ويثبت عميل ManageEngine UEMS الموقَّع رقمياً بصمت تام. يُهيَّأ العميل للاتصال ببنية تحتية يسيطر عليها المهاجمون، مما يحوّل الجهاز المخترق إلى نقطة نهاية مُدارة عن بُعد بالكامل.
استغلال البرمجيات الموقَّعة: السلاح الأصعب كشفاً
تُسلط الحملة الضوء على أسلوب متصاعد في استغلال البرمجيات الشرعية الموقَّعة رقمياً لأغراض خبيثة. فالحمولة الخبيثة ClientSetup تحمل صلات بأدوات تجارية صينية من بينها SyncFuture وYangtu، غير أن الباحثين يتحفظون على الإسناد القاطع لجهة بعينها، مشيرين إلى أن ذلك يدل على توظيف أدوات مؤسسية قائمة لأغراض إجرامية لا أكثر.
والخطورة الحقيقية في هذا الأسلوب أن التوقيع الرقمي يُعطي وهم المشروعية لكثير من أدوات الأمن، إذ اعتادت هذه الأدوات على معاملة الملفات الموقَّعة بدرجة من الثقة تختلف عن الملفات المجهولة. وعلى المدافعين رصد سلوكيات محددة كتشغيل محركات السكريبت لملفات بامتدادات ويب، وتنفيذ svchost.exe من مسارات غير معتادة، ومراقبة تغييرات سياسة UAC حين يُضبط ConsentPromptBehaviorAdmin على صفر، وكذلك التنبه لعمليات تثبيت صامتة من المسار Public\Documents\MSUpdate وظهور خدمات ManageEngine UEMS غير معتمدة.
وتتجلى القوة الحقيقية للحملة ليس في الإطار الخادع للضريبة وحده، بل في قدرتها على تسليم البرمجيات الخبيثة عبر مسارات إصابة متعددة مع الحفاظ على الموضوع ذاته طوال الوقت. كما تبرز أهمية تدوير البنية التحتية بانتظام: الحملة تبدل مسارات التوصيل وأسماء الملفات والخوادم، مما يُعقّد التتبع القائم على الهاشات والتوقيعات الثابتة.
التهديدات الضريبية الرقمية: نمط عالمي يستهدف الهند بعناية
لا تعمل TAX#TRIDENT في فراغ، بل هي جزء من موجة أوسع من التهديدات الإلكترونية التي تستغل موسم الضرائب لاختراق الأجهزة. فعلى الصعيد العالمي، رصدت Microsoft Threat Intelligence في فبراير 2026 رسائل تصيد ضريبية المحتوى أُرسلت إلى نحو مئة مؤسسة في قطاعات التصنيع والتجزئة والرعاية الصحية في الولايات المتحدة، مستخدمةً مستندات Word مخصصة لكل مستلم تتضمن رمز QR يقود إلى صفحة تصيد تنتحل هوية Microsoft 365.
ويُشير توثيق eSentire المستقل إلى أن استهداف الهند بلافتة ضريبة الدخل لم يبدأ مع TAX#TRIDENT، إذ رصدت الشركة منذ ديسمبر 2025 حملة تجسس متطورة تستهدف المقيمين في الهند عبر رسائل بريد إلكتروني تنتحل هوية مصلحة ضريبة الدخل، هدفها المُعلن الحصول على وصول دائم ومُعزَّز للجهاز لمراقبة نشاط المستخدم وعمليات الملفات وسرقة المعلومات الحساسة باستمرار.
ويُوصي باحثو Securonix بتجنب تحميل أي ملفات من روابط ضريبية أو إشعارات عقوبات غير مطلوبة مهما بدت رسمية، وبمراقبة السلوك البرمجي لا التوقيعات الثابتة فقط، نظراً لأن الحملة تُجدد بنيتها التحتية بانتظام مع الإبقاء على أساليبها الجوهرية دون تغيير.
