كشفت شركة Infoblox عن أن جهة تهديد تُعرف باسم «دِيتور دوغ» تقوم بتشغيل حملات توزع سارق معلومات يُدعى Strela Stealer، بعد أن تبين أن الجهة تملك وتدير نطاقات تستضيف المرحلة الأولى من السارق — بوابة خلفية تُسمى StarFish. وتتابع Infoblox نشاط «دِيتور دوغ» منذ أغسطس 2023، مع آثار لنشاطات تعود حتى فبراير 2020، وفق التحقيقات التي طالعها فريق الشركة. في البداية كانت عمليات إعادة التوجيه هذه تقود لعمليات احتيال، لكن البرمجيات الضارة تطورت مؤخرًا لتنفّذ محتوى عن بعد عبر نظام قيادة وتحكّم يستند إلى سجلات DNS TXT، بحسب تقرير الشركة.
كيف تعمل السلسلة الهجومية
توضح التحليلات أن البوابة الخلفية StarFish عبارة عن شل عكسي بسيط يعمل كقناة لسحب Strela Stealer. تُوزع الملفات الخبيثة أحيانًا عبر ملفات SVG ضارّة تُشغّل وصولاً إلى موقع مُصاب، حيث يرسل الموقع المطلوب استعلام DNS TXT إلى خادم C2 المُسيطر عليه من طرف «دِيتور دوغ». يرد خادم الأسماء بسجل TXT مشفّر بصيغة Base64 يحتوي على رابط C2 خاص بـ Strela ومقدّم بكلمة بادئة «down». يزيل الموقع المصاب بادئة «down» ثم يستخدم أدوات مثل curl لجلب برنامج التنزيل StarFish من ذلك الرابط، ثم يعمل الموقع كوسيط لإيصال البرنامج الضار إلى الضحية. يتكرر هذا التسلسل بين نطاقات مُخترقة متعددة بحيث تُسحب كل مرحلة من مضيفات مختلفة تحت سيطرة المهاجم، مما يخفي أصل العمليات ويزيد من مرونتها أمام الصيد والتحقيق.
تعدّد المتحكّمين ووسائط التوزيع
توَصّلت Infoblox إلى أن نحو 69% من مضيفات مرحلة StarFish المؤكدة كانت تحت سيطرة «دِيتور دوغ». كما تضمنت سلسلة الهجوم شبكات بوتنت منها MikroTik المعروفة باسم REM Proxy — التي وُصفت بأنها مدعومة من SystemBC بحسب تحليل Black Lotus Labs التابع لشركة Lumen — وبوتنت آخر يُدعى Tofsee. في عدة حالات، جاءت رسائل البريد العشوائي الناقلة لـ Strela Stealer عبر REM Proxy وTofsee، فيما استُخدمت شيفرات تحميل سابقة مثل PrivateLoader لنشر الحمولات. وتكشف الأدلة أن «دِيتور دوغ» كان يستغل مواقع ووردبريس الضعيفة لحقن جافاسكربت خبيث، لكن أساليبه تطورت مع الزمن لتشمل القدرة على إصدار أوامر تنفيذ ملفات عن بُعد من خلال سجلات DNS.
التحوّل التجاري وجهود الإيقاف
تُمثّل هذه الحالة أول مرة يُلاحظ فيها «دِيتور دوغ» يوزّع برمجيات خبيثة بشكل مباشر، بعد أن كان يعرّف عن نفسه سابقًا كجهة توجيه حركة مرور لحملات احتيال وإعلانات خبيثة (مثل أعمال ارتبطت بـ Los Pollos وVexTrio Viper). تقول Infoblox إنها تشتبه في أن التحول كان بدافع الربح، لأنه مع تزايد ضغوط القطاع الأمني لتقويض أنواع الاحتيال السابقة تقلّت عائداتهم المحتملة. بالتعاون مع Shadowserver Foundation، قامت Infoblox بتوجيه عملية «سينكهول» لنطاقين تابعين للمهاجم (webdmonitor[.]io و aeroarrows[.]io) في 30 يوليو و6 أغسطس 2025. كما وجدت الشركة مؤشرات على أن «دِيتور دوغ» قد يعمل كمزوّد خدمة توزيع برمجيات ضارة كخدمة (Distribution-as-a-Service) وأن بنيته قد حملت ملفات أخرى لم تُتح الشركة من ثم التحقق من محتواها.
