أصبح عرض جديد من نوع Packer-as-a-Service (PaaS) يُعرف باسم Shanya أداة رئيسية في يد المهاجمين السيبرانيين، بعد أن حل محل HeartCrypt في فك تشفير وتحميل برامج خبيثة قادرة على تعطيل حلول الحماية الطرفية. هذا التحول يعكس تطوراً في سوق الخدمات الإجرامية الرقمية، حيث يتم توفير أدوات متقدمة للهجمات كخدمة جاهزة للاستخدام.
استغلال برامج تشغيل ضعيفة
الهجمات تعتمد على مزيج من برنامج تشغيل شرعي ضعيف (ThrottleStop.sys) وسائق نواة خبيث غير موقّع (hlpdrv.sys) لتحقيق أهدافها. وفقاً لخبراء Sophos، يقوم “قاتل وضع المستخدم” بالبحث عن العمليات والخدمات المثبتة، وإذا وجد تطابقاً، يرسل أمراً إلى السائق الخبيث لإنهائها. السائق الخبيث يستغل البرنامج الشرعي الضعيف للحصول على صلاحيات كتابة، مما يمكّنه من إنهاء وحذف عمليات وخدمات منتجات الحماية.
أول ظهور في هجوم Medusa
أول استخدام موثق لأداة قتل أنظمة EDR المرتبطة بـ Shanya كان في نهاية أبريل 2025 ضمن هجوم فدية نفذته مجموعة Medusa. ومنذ ذلك الحين، تم توظيفها في عدة عمليات فدية أخرى، من بينها Akira وQilin وCrytox، ما يعكس انتشارها السريع بين مختلف المجموعات الإجرامية.
توزيع برمجيات إضافية عبر حملات خبيثة
لم يقتصر دور Shanya على دعم هجمات الفدية، بل استُخدم أيضاً في توزيع برمجية التجسس CastleRAT ضمن حملة تصيّد خبيثة تحمل طابع Booking.com، في إطار هجوم ClickFix. هذا الاستخدام المتعدد يبرز خطورة الخدمة، إذ أنها باتت أداة مرنة يمكن توظيفها في سيناريوهات مختلفة من الهجمات السيبرانية.
