باتت منصة Microsoft Teams، أحد أبرز أدوات التواصل المؤسسي في العالم، تشكّل ساحة جديدة تستغلها جهات التهديد الإلكتروني بأساليب بالغة الخداع والتطور. ولم يعد التصيد الاحتيالي حكراً على البريد الإلكتروني، بل تجاوزه ليطال منصات التعاون التي اعتادت عليها الملايين في بيئات عملهم اليومية، مستثمراً الثقة العمياء التي يمنحها الموظفون للرسائل القادمة عبر قنوات العمل الرسمية.
القنبلة البريدية مدخلاً للاستغاثة المزيفة
منذ مطلع عام 2026، رصدت شركة eSentire المتخصصة في الكشف عن التهديدات ارتفاعاً ملحوظاً في هجمات التصيد المرتكزة على Microsoft Teams، حيث ينتحل المهاجمون هويات فرق دعم تقنية وخدمات مكتب المساعدة لخداع المستخدمين ودفعهم إلى منح وصول عن بُعد لأجهزتهم. وكثيراً ما ترتبط هذه الهجمات بما يُعرف بالقنبلة البريدية، إذ يُغرق المهاجمون صندوق بريد الضحية بآلاف الرسائل لإثارة الفزع والارتباك، ثم يتواصلون معه عبر Teams بحجة تقديم المساعدة في حل المشكلة.
وفي نهاية ديسمبر 2025، شنّت مجموعة UNC6692 حملة قنبلة بريدية واسعة ضد أهدافها، قبل أن تنتقل إلى إرسال رسائل تصيد مباشرة عبر Teams، متنكرةً في هيئة موظفي دعم تقني يعرضون المساعدة في التعامل مع الوابل البريدي. هذا التسلسل الهجومي يُبرهن على قدر عالٍ من التخطيط، إذ تُهيئ القنبلة البريدية الأرضية نفسياً للضحية وتجعلها في حاجة ماسة لمن يُقدم له يد العون.
هويات مزيفة موثوقة ونطاقات مُعدّة للتضليل
تكشف بيانات eSentire أن غالبية رسائل Teams الخبيثة تصدر من مزودي استضافة محصّنين، من بينهم NKtelecom وWorkTitans وGlobal Connectivity Solutions وGWY IT، فيما رُصدت عناوين IP مفردة تستهدف مؤسسات متعددة في الوقت ذاته، مما يدل على عمليات منظمة مدعومة ببنية تحتية متكاملة. ويوظّف المهاجمون نطاقات onmicrosoft.com حديثة الإنشاء بأسماء تحاكي الأقسام التقنية الرسمية، مثل “IT Protection Department” و”Windows Security Help Desk”، إلى جانب شخصيات تحمل أسماء بشرية واقعية كـmichaelturner@ وdanielfoster@ عوضاً عن الأسماء الوظيفية العامة، وذلك لرفع مستوى المصداقية الظاهرية.
والجدير بالذكر أن هذا الأسلوب المزدوج الجامع بين القنبلة البريدية وانتحال هوية مكتب المساعدة عبر Teams ليس وليد اليوم، بل يعود في أصوله إلى منهجيات تبنّتها عصابة Black Basta سابقاً، وقد استمر توظيفه دون أي تراجع حتى بعد انهيار عمليات تلك المجموعة.
الوصول عن بُعد بوابة إلى نهب البيانات ونشر الفدية
ما إن يُقنع المهاجمون ضحاياهم بقبول المساعدة حتى يطلبوا منهم تشغيل أدوات وصول عن بُعد مثل Quick Assist أو AnyDesk. وقد وثّقت eSentire حوادث متعددة قام فيها المهاجمون فور الحصول على الوصول بتنزيل نسخ محمولة من WinSCP لتسريب بيانات حساسة. وفي حالات أخرى، نشروا حمولات خبيثة تمثّلت في أرشيف مضغوط يحمل اسم “Email-Deployment-Process-System.zip” يحتوي على باب خلفي مكتوب بلغة Java يُستخدم لاختراق الأجهزة وسرقة البيانات.
وأشارت بيانات ReliaQuest إلى أن 77 بالمئة من الحوادث المرصودة بين مارس وأبريل 2026 استهدفت موظفين من المستويات الإدارية العليا، بارتفاع عن 59 بالمئة في الفترة السابقة، مما يكشف عن توجه ممنهج نحو اصطياد أصحاب الصلاحيات الواسعة والوصول إلى أنظمة حساسة.
مجموعة UNC6692 ومنظومة SNOW الخبيثة
كشف باحثو Google Threat Intelligence Group ومانديانت في أبريل 2026 عن مجموعة UNC6692 التي تشنّ حملات اختراق مؤسسي متعددة المراحل تعتمد على انتحال هوية Teams ومجموعة برمجيات خبيثة معيارية تُعرف بـSNOW، وذلك دون استغلال أي ثغرة برمجية واحدة، بل بالاعتماد الكامل على التلاعب بثقة الموظفين في الأدوات المؤسسية. وتتألف منظومة SNOW من ثلاثة مكوّنات متكاملة: SNOWBELT وهو باب خلفي بلغة JavaScript، وSNOWGLAZE وهو أداة نفق بلغة Python، وSNOWBASIN وهو باب خلفي دائم يُتيح تنفيذ الأوامر عن بُعد والتقاط لقطات الشاشة ورفع الملفات وتنزيلها.
وقد نبّهت مايكروسوفت في استشارة أبريل 2026 إلى أن هذه الهجمات تُسيء استخدام ميزات التعاون الخارجي المشروعة في Teams، إذ يُقنع المهاجمون المستخدمين بتجاوز تحذيرات أمنية متعددة واضحة، ويُطلبون منهم قبول محادثة من حساب خارج منظمتهم، وهو إجراء يبدو بسيطاً لكن عواقبه كارثية.
