نسب باحثو Aryaka Threat Research Labs حملة جديدة إلى جهة تهديد فيتنامية تُدعى BatShadow، تعتمد على انتحال صفة مُوظفين توظيف لنشر ملفات خبيثة متنكرة كأوصاف وظائف ومستندات شركات. يستهدف المهاجمون خصوصًا الباحثين عن عمل والمتخصصين في التسويق الرقمي، مستخدمين ملفات مضغوطة (ZIP) تحوي مستند PDF خدّاعًا إلى جانب ملفات اختصار (LNK) أو تنفيذية متنكّرة بصيغة PDF لإقناع الضحايا بفتحها.
سلسلة العدوى: LNK → PowerShell → Edge → ZIP → تنفيذ القاعدة الخبيثة
يفتح ملف LNK نصّ PowerShell مضمنًا يحمّل من خادم خارجي مستند خداعي (مثال: وصف وظيفة تسويق في Marriott) وملف ZIP يحتوي على مثبت XtraViewer — وهو برنامج للتحكم المكتبي عن بُعد يُستخدم هنا على الأرجح لتأمين وصول دائم. عندما يضغط الضحية رابط “معاينة” داخل الـ PDF، تُوجَّه الضحية إلى صفحة تعرض رسالة خطأ تطلب فتح الرابط على Microsoft Edge، مستغلة أن النسخ/اللصق اليدوي في Edge يمكن أن يتجاوز حظر إعادة التوجيهات الآلية. عند فتح الصفحة عبر Edge يبدأ تنزيل ZIP أتمتياً ويحتوي على ملف تنفيذي باسم مخادع مثل “Marriott_Marketing_Job_Description.pdf.exe” (يخفي الامتداد بإضافة فراغات بين .pdf و .exe).
Vampire Bot بلغة Go: قدرات مراقبة وسرقة بيانات مرنة
الملف التنفيذي المكتشف هو برمجية خبيثة مكتوبة بلغة Go تُسمى Vampire Bot. تملك البرمجية قدرات متعددة تشمل: تجميع بصمة النظام، سرقة معلومات متنوعة، التقاط صور للشاشة بفواصل زمنية قابلة للتكوين، والتواصل مع خادم تحكم وقيادة (C2) بعنوان api3.samsungcareers[.]work لأجل تنفيذ أوامر أو تحميل حمولات إضافية. يستخدم المهاجمون كذلك عنوان IP مرتبطًا بفيتنام (103.124.95[.]161)، مما يدعم ربط الحملة بمصادر في المنطقة. كما تستغل الحملة تثبيت أدوات اتصال عن بُعد مثل XtraViewer لضمان الاستمرارية والتحكم اليدوي عند الحاجة.
خلفية التهديد والأنماط السابقة
ترتبط حملات استهداف الباحثين عن عمل والمتخصصين في التسويق الرقمي بسجل مجموعات فيتنامية تحبّذ سرقة حسابات الأعمال على فيسبوك وغيرها عبر برامج Stealer وRATs. في أكتوبر 2024 كشفت تقارير عن حملة متعددة المراحل استهدفت الضحايا نفسها باستخدام Quasar RAT. وتُظهر سجلات BatShadow حملات سابقة استخدمت نطاقات شبيهة (مثل samsung-work.com) لنشر برمجيات مثل Agent Tesla وLumma Stealer وVenom RAT، مما يشير إلى استمرار نشاط المجموعة على مدى سنة على الأقل. كما لوحظ توزيع نسخ مروّجة من أدوات RAT وBuilders ملوّثة تستهدف حتى المهاجمين الهواة.
