نسبت شركة Volexity حملة تصيّد واسعة المنحى إلى فاعل تهديد مصنّف بأنه UTA0388، تهاجم أهدافًا في أميركا الشمالية وآسيا وأوروبا بهدف توصيل زرعٍ (implant) مكتوب بلغة Go يُعرف باسم GOVERSHELL.
بدأت الرسائل الإلكترونية المصمّمة بعنايةٍ لتبدو وكأنها مرسلة من باحثين أو محلّلين رفيعي المستوى من مؤسسات مفترَضة، ثم تطوّر التكتيك إلى موجات أكثر تكييفًا (rapport-building phishing) حيث يبني المهاجم ثقةً مع الضحية قبل إرسال الرابط الخبيث.
سلسلة العدوى والتحميل: أرشيفات مزوّرة وDLL side-loading
تُوجَّه الضحية إلى أرشيفات ZIP أو RAR مستضافة على سُحُبٍ عامة أو بنية المهاجم نفسها، تحوي DLL خبيثة تُشغّل عبر تقنية DLL side-loading. يتم إطلاق الحمولة الخلفية GOVERSHELL عبر هذه الآلية، وهي بدورها تفتح اتصالًا مع خوادم القيادة والسيطرة وتنفذ أوامر متنوّعة.
تتشابه هذه الحِرَف مع نشاط صنّفه Proofpoint باسم UNK_DropPitch، بينما تصف Volexity GOVERSHELL كخلفٍ لعائلة برمجية سابقة بلغة C++ عُرفت باسم HealthKick.
خمسة نماذج مميِّزة لـGOVERSHELL وقدراتها
حددت فرق الاستجابة خمس نسخ متميزة تمّ رصدها عبر 2025، لكلٍ منها أدوات تنفيذ مختلفة:
-
HealthKick (أُرصد أولًا في أبريل 2025): تنفيذ أوامر عبر cmd.exe.
-
TE32 (يونيو 2025): تنفيذ أوامر عبر قشرة PowerShell عكسية.
-
TE64 (أوائل يوليو 2025): أوامر محلية وديناميكية باستخدام PowerShell، استعلام معلومات النظام وتنفيذ أوامر عبر powershell.exe.
-
WebSocket (منتصف يوليو 2025): تنفيذ أوامر PowerShell ووجود بنية لتحديث (update) غير مطبّقة بعد.
-
Beacon (سبتمبر 2025): أوامر محلية وديناميكية، وضبط فترات الاستطلاع وتعمية جدولها، وتنفيذ أوامر PowerShell.
إساءة استخدام خدمات شرعية ودمج الذكاء الاصطناعي في التجارة
استُخدمت خدمات استضافة شرعية مثل Netlify, Sync, OneDrive لاحتضان الأرشيفات الخبيثة، كما استُخدمت حسابات بريد إلكتروني من Proton Mail وOutlook وGmail لإرسال الرسائل. لافت أن UTA0388 استخدمت نماذج لغوية كبيرة (LLM) — بما في ذلك حسابات ChatGPT — لتوليد نصوص التصيّد بعدة لغات (الإنجليزية، الصينية، اليابانية) ولأتمتة بعض جوانب سير العمل الضار؛ وقد أُغلقَت حسابات ChatGPT المرتبطة بهذه العمليات لاحقًا.
كما أبلغت مجموعات أمنية أخرى عن حملة متقاربة استهدفت مؤسسات أوروبية، تضمنت خدعة صفحة CAPTCHA مزيفة على Cloudflare تؤدي إلى ZIP يحوي اختصار LNK ينفذ PowerShell الذي يطلق برمجية PlugX عبر DLL side-loading.
