حذّرت تقارير أمنية حديثة من استخدام أداة التحقيق الجنائي مفتوحة المصدر Velociraptor في تنفيذ هجمات فدية متقدمة يُعتقد أنها منسقة من قبل جماعة التهديد Storm-2603، المعروفة أيضًا باسم CL-CRI-1040 أو Gold Salem، والتي اشتهرت سابقًا بنشر برمجيات Warlock وLockBit الخبيثة.
استغلال ثغرات SharePoint وتحوير الأداة الأمنية
وفقًا لتحقيق أجرته شركتا Sophos وCisco Talos، استغل المهاجمون ثغرات في أنظمة SharePoint الداخلية تُعرف باسم ToolShell للحصول على وصول أولي إلى الشبكات المستهدفة، ثم قاموا بتثبيت إصدار قديم من أداة Velociraptor (الإصدار 0.73.4.0) يعاني من ثغرة خطيرة في تصعيد الامتيازات (CVE-2025-6264) تتيح تنفيذ أوامر عشوائية والسيطرة الكاملة على الأجهزة.
وتشير الأدلة إلى أن الهجوم وقع منتصف أغسطس 2025، حيث أنشأ المهاجمون حسابات مسؤولي نطاق (Domain Admins) للتحرك أفقيًا داخل الشبكة، واستخدموا أداة Smbexec لتشغيل أوامر عن بُعد عبر بروتوكول SMB.
تعديل السياسات وتعطيل الحماية قبل نشر الفدية
قبل تنفيذ برمجيات Warlock وLockBit وBabuk، قام المهاجمون بتعديل كائنات سياسة المجموعة (GPOs) داخل Active Directory لتعطيل الحماية الفورية وتعطيل قدرات المراقبة، ما سمح لهم بإخفاء نشاطهم وتهيئة البيئة لتنفيذ التشفير.
ويُعدّ هذا أول توثيق رسمي يربط جماعة Storm-2603 باستخدام برمجية Babuk Ransomware، ما يؤكد تطورها نحو استراتيجية “التعدد الفدوي” التي تستخدم فيها أكثر من نوع فدية لتشتيت المحللين الأمنيين وصعوبة الإسناد (Attribution).
موقف Rapid7: سوء استخدام لا ثغرة في الأداة
أوضحت شركة Rapid7 — المالكة لأداة Velociraptor منذ استحواذها عليها عام 2021 — أنها على دراية بإساءة استخدام الأداة، مؤكدة أن المشكلة لا تكمن في عيب برمجي، بل في إعادة توظيف القدرات الأمنية من قبل المهاجمين لأغراض ضارة.
وقال كريستيان بيك، المدير الأول لتحليلات التهديدات في Rapid7:
“ما نراه ليس ثغرة في الأداة، بل نمط من إساءة الاستخدام. الخصوم ببساطة يعيدون توظيف قدرات الجمع والتنظيم الشرعية لتحقيق أهدافهم الخبيثة.”
مؤشرات على صلة بجهات تهديد صينية
بحسب شركة Halcyon، فإن جماعة Storm-2603 يُعتقد أن لها ارتباطات بجهات تهديد مدعومة من الدولة الصينية، وذلك استنادًا إلى حصولها المبكر على ثغرة ToolShell واستخدامها تقنيات تطوير احترافية تشير إلى وجود فريق مهيكل عالي الكفاءة.
كما كشفت التحليلات عن نمط عمل منظم يشمل دورات تطوير لا تتجاوز 48 ساعة لإضافة ميزات جديدة، إلى جانب استخدام توقيتات ترجمة (Compile Time) تتطابق مع التوقيت الموحّد في الصين (CST) بين الساعة 22:58 و22:59، يليها تجميع الملفات في حزم خبيثة بعد منتصف الليل.
سلوك احترافي وهيكل عمل منظم
تُظهر البنية التشغيلية للجماعة أن لديها فريق تطوير وإدارة مشاريع متكامل يستخدم أدوات مخصصة للبناء (Build Kits) وإدارة الأوامر (AK47 C2 Framework) تم إعدادها منذ مارس 2025.
وخلال أبريل من العام نفسه، تحولت الجماعة من نشر LockBit فقط إلى نشر مزدوج للفديتين LockBit وWarlock خلال 48 ساعة، ثم وسعت عملياتها لاحقًا لتشمل Babuk اعتبارًا من 21 يوليو 2025.
استراتيجية تعدد الفدية والتشويش على الإسناد
يؤكد تقرير Halcyon أن جماعة Storm-2603 — التي بدأت نشاطها في يونيو 2025 — اتبعت نهجًا مزدوجًا يجمع بين السرعة التشغيلية والتمويه في الإسناد، إذ استخدمت عدة عائلات فدية لتضليل التحليل الأمني وإرباك عمليات تتبع المصدر.
وأشار التقرير إلى أن Warlock كان آخر تابع (Affiliate) مسجل ضمن منظومة LockBit قبل أن تتعرض الأخيرة لتسريب داخلي كبير، ما يعزز فرضية أن الجماعة كانت تسعى لتأسيس مشروع فدية مستقل عالي التنظيم.
دلالات أعمق على تطور التهديدات
تكشف هذه الحملة عن تحوّل خطير في المشهد السيبراني، حيث بات المهاجمون يعيدون تسليح الأدوات الأمنية المفتوحة المصدر لتتحول من وسائل تحقيق رقمية إلى أدوات هجوم متقدمة. ويشير ذلك إلى تداخل متزايد بين بيئة الدفاع والهجوم، ما يجعل أدوات الأمن نفسها عرضة لأن تُستخدم ضد المدافعين عنها.
