تعرضت شركات التصنيع الروسية في أكتوبر ونوفمبر 2025 لهجمات سيبرانية متقدمة نفذتها مجموعة تهديد تُعرف باسم Arcane Werewolf أو Mythic Likho. الحملة اعتمدت على رسائل تصيّد إلكتروني (Phishing) كوسيلة للوصول الأولي، حيث تضمنت روابط تؤدي إلى أرشيفات خبيثة مستضافة على خوادم المهاجمين. هذه الروابط كانت توجه الضحايا إلى مواقع مزيفة تحاكي شركات تصنيع روسية، ما سمح للمهاجمين بخداع المستخدمين وتحقيق اختراق ناجح.
سلسلة الهجوم وأدوات النشر
الهدف النهائي للهجمات كان نشر برمجية خبيثة مخصصة تحمل اسم Loki 2.1. عملية النشر تمت عبر Loader يتم تسليمه باستخدام Dropper مكتوب بلغة Go، يُحمّل من خادم خارجي باستخدام أوامر PowerShell مضمنة داخل اختصار ويندوز (LNK) موجود في ملف مضغوط (ZIP). وفي نوفمبر 2025، رُصدت سلسلة هجوم جديدة استخدمت Dropper مطور بلغة ++C، ما يعكس تطور المجموعة في تنويع أدواتها وتحديث تقنياتها لتفادي الكشف.
قدرات البرمجية Loki 2.1
البرمجية Loki 2.1 تتمتع بقدرات متقدمة تجعلها أداة خطيرة في أيدي المهاجمين، ومن أبرز وظائفها:
- رفع وتنزيل الملفات من وإلى الأجهزة المستهدفة
- حقن التعليمات البرمجية داخل العمليات النشطة
- إنهاء عمليات عشوائية على النظام
- استخراج متغيرات البيئة (Environment Variables)
- إيقاف نفسها ذاتياً لتفادي التحليل أو الكشف
هذه القدرات تمنح المهاجمين سيطرة شبه كاملة على الأجهزة المصابة، وتتيح لهم تنفيذ عمليات تخريبية أو سرقة بيانات حساسة.
دلالات الهجوم على الأمن الصناعي الروسي
الهجمات الأخيرة تؤكد أن القطاعات الصناعية الروسية أصبحت هدفاً مباشراً لمجموعات تهديد متقدمة، حيث تسعى هذه المجموعات إلى تعطيل الإنتاج أو سرقة بيانات استراتيجية. استخدام تقنيات التصيّد، المواقع المزيفة، والـ Loaders متعددة اللغات يعكس مستوى عالٍ من التنظيم والخبرة لدى Arcane Werewolf، ويشير إلى أن هذه المجموعة تستثمر في تطوير أدواتها بشكل مستمر لمواكبة أنظمة الحماية الحديثة.
