كشفت تقارير أمنية حديثة عن ارتباط مجموعة التهديد السيبراني المعروفة باسم Versatile Werewolf، والتي تُعرف أيضاً بـ HeartlessSoul، بسلسلة من الهجمات التي استهدفت مؤسسات حكومية روسية وشركات طيران، مستخدمةً أساليب متعددة تشمل رسائل تصيّد إلكتروني مرفقة بملفات أرشيف خبيثة وحملات إعلانات مضللة (Malvertising) لتوزيع برمجية خبيثة مكتوبة بلغة JavaScript.
أساليب الهجوم وتوزيع البرمجيات
اعتمدت المجموعة على رسائل بريد إلكتروني تحتوي على مرفقات خبيثة، بعضها استغل ثغرة ZDI-CAN-25373 لبدء سلسلة العدوى. كما لجأت إلى حملات إعلانية مزيفة عبر نطاقات مثل battleflight[.]pro، حيث يتم تقديم مثبتات وهمية لبرامج مرتبطة بالطيران، لكنها في الواقع تُطلق نفس البرمجية الخبيثة. إضافة إلى ذلك، استخدمت المجموعة منصة SourceForge الشرعية لتوزيع شيفراتها عبر مشروع يُسمى GearUP، ما يعكس قدرتها على استغلال منصات موثوقة لنشر البرمجيات الضارة.
سلسلة العدوى والأدوات المستخدمة
وفقاً لشركة Kaspersky، تبدأ العدوى بتنفيذ أوامر PowerShell أو سكربتات مصممة لتحميل مُحمّل JavaScript من خوادم التحكم والسيطرة (C2). هذا المُحمّل يقوم بدوره بتحميل وتشغيل برمجية JS-RAT في الذاكرة، إلى جانب وحدات إضافية تشمل أدوات لجمع البيانات وتسريبها، مسجلات ضغطات المفاتيح (Keyloggers)، أدوات لالتقاط الشاشة، تقنيات لتجاوز التحكم في حساب المستخدم (UAC bypass)، وحمولات أخرى متقدمة.
ارتباط محتمل مع مجموعة GOFFEE
أشارت التحليلات إلى أن النطاق battleflight[.]pro يرتبط بعنوان IP يستضيف أيضاً نطاقات مزيفة مرتبطة بمجموعة GOFFEE APT، ما يثير احتمال وجود تعاون أو تنسيق بين المجموعتين. كلاهما يعتمد بشكل مكثف على حمولة PowerShell لتوزيع وتشغيل الوحدات الخبيثة، مع استهداف مشترك للقطاع العام، ما يعزز فرضية الحملات المنسقة.
أهداف الهجمات وأبعادها
الهدف النهائي لهذه الهجمات هو الحصول على بيانات سرية، خصوصاً المعلومات الجغرافية المكانية (Geospatial Data)، التي تُعد ذات أهمية استراتيجية في مجالات الطيران والدفاع. النشاط المستمر للمجموعة منذ سبتمبر 2025 يعكس خطورة التهديد، خاصة مع قدرتها على المزج بين التصيّد والإعلانات المضللة واستغلال منصات شرعية لتوسيع نطاق انتشارها.
