حذّرت مايكروسوفت من حملة تصيّد جديدة استهدفت في الغالب مؤسسات مقرها الولايات المتحدة، استُخدمت فيها تقنيات مدعومة بنماذج اللغة الكبيرة (LLMs) لإخفاء سلوك الشيفرة الخبيثة داخل ملفات Scalable Vector Graphics (SVG)، ما مكّن المهاجمين من التحايل على أداوت أمان البريد الإلكتروني. وكشفت تحليلات فريق استخبارات التهديدات في مايكروسوفت أن النشاط رُصد لأول مرة في 28 أغسطس 2025، وأن المهاجمين وظّفوا تكتيكات تُظهر اعتمداً واضحاً على أدوات الذكاء الاصطناعي لصياغة شِفرات مُضلِّلة ومغريات تصيّدية مقنعة.
SVG كحاوية قابلة للبرمجة — خصائص جذّابة للمهاجمين
بيّنت مايكروسوفت أن ملفات SVG ملفتة لاهتمام المهاجمين لأنها نصية وقابلة للتنفيذ البرمجي، ما يسمح بتضمين جافاسكربت ومحتويات ديناميكية داخل الملف نفسه. يدعم تنسيق SVG عناصر غير مرئية، وسمات مشفَّرة، وتنفيذ نصوص مؤجَّل، وهي ميزات تُسهل التهرب من التحليل الساكن والصناديق الرملية (sandboxes). وفي الحملة الموثقة، كان الملف يُعرض كأنه مستند PDF أو إشعار مشاركة ملفات — مغرية للمستخدمين لفتح الملف والانتقال إلى صفحة تحقق (CAPTCHA) تسبق صفحة تسجيل دخول مزيفة لسرقة بيانات الاعتماد.
أسلوب إخفاء مبتكر يشير إلى استخدام LLM
ما يميّز هذه الحملة هو أسلوب الإخفاء القائم على تركيب شيفرة تشبه لوحات تحليلات أعمال شرعية؛ بدءًا من تنظيم الشيفرة ليوحي بأنها لوحة بيانات أعمال، إلى سلسلة طويلة من المصطلحات التجارية (مثل revenue، operations، quarterly) استخدمت بهدف تشويش محلِّلي الشيفرة وأدوات الفحص. اختبرت مايكروسوفت الشيفرة عبر أداة Security Copilot ولاحظت سمات غير بشرية في البنية: أسماء وظائف ومتحولات وصفية ومطولة بزيادة، هيكلية مفرطة التجزئة والتمديد، تعليقات عامة مطوَّلة، وتقنيات صياغية نمطية تُستخدم لإخفاء النوايا الحقيقية. هذه السمات دفعت الفريق إلى استنتاج احتمال كبير بأن جزءاً من الشيفرة جُمّل أو صيغ بمساعدة نموذج لغة كبير.
توسع التكتيكات وارتباطات الحملة وتوصيات الحماية
قالت مايكروسوفت إن الحملة كانت محدودة النطاق وقد تمّ إحباطها، لكنها تمثل اتجاهاً متزايداً لدى الجهات المهددة التي توظف الذكاء الاصطناعي لصقل مغريات التصيّد وتعقيد الإخفاء. تقارير أخرى لاحقة رصدت تسلسلات هجوم متعددة المراحل تستخدم مرفقات .XLAM لتحميل شيفرات Shellcode ومن ثم نشر أحمال ثانوية مثل XWorm RAT وملفات DLL محمّلة في الذاكرة عبر تقنيات انعكاسية، ما يعكس تطور تعقيد الحملات. نُفِذت أيضاً حملات أخرى باستخدام مغريات تتصل بإدارات حكومية أو دعاوى حقوق نشر لتوزيع برامج سرقة بيانات (مثل Lone None Stealer وPureLogs Stealer).
ينصح الخبراء بمراجعة سياسات استقبال المرفقات، فحص ملفات SVG كنص قابل للتنفيذ قبل الفتح، تمكين فحص محتوى متعدد الطبقات واشتراط التحقّق من المرسِل (DKIM/SPF/DMARC)، تدريب الموظفين على رصد إشارات التصيّد غير الاعتيادية (مثل رسائل ذات مرسل ومُستلِم متماثلين أو إخفاء المستهدفين في حقل BCC)، واعتماد أدوات قادرة على فحص سلوك النصوص المضمنة داخل الملفات.
