رصد باحثو الأمن السيبراني حملة خبيثة جديدة تستغل اسم وشعار تطبيق Microsoft Teams الشهير لاستدراج المستخدمين نحو تحميل برنامج تجسس خطير يُعرف بـ ValleyRAT، في عملية تُنسب إلى مجموعة قرصنة صينية متقدمة تُدعى Silver Fox أو ما يُعرف كذلك بـ Void Arachne. وتكشف تفاصيل الحملة عن مستوى لافت من الاحترافية في التمويه والتخفي، مما يجعلها من بين أخطر التهديدات السيبرانية المرصودة في عام 2026.
كيف تبدأ عملية الاصطياد: مواقع مزيفة تحتل نتائج البحث
تتمحور الحملة حول نطاق مزيف يحمل اسم “teamscn.com”، مصمم خصيصاً لاستهداف المستخدمين الناطقين بالصينية، إذ يتضمن الاختصار “cn” في إشارة صريحة إلى الصين ضمن هجوم من نوع “typosquatting” يستغل التشابه البصري مع العناوين الرسمية. وإلى جانب ذلك، تشمل النطاقات الخبيثة المستخدمة في الحملة عناوين مثل “teams-securecall.com” و”teamszs.com”، وهي مصممة لتحاكي صفحة تحميل Microsoft Teams الرسمية وإيهام المستخدمين بمشروعيتها.
والأخطر من ذلك أن المهاجمين لا يكتفون بإنشاء مواقع مزيفة، بل يعمدون إلى تسميم محركات البحث بأسلوب يُعرف بـ SEO Poisoning، إذ أُنشئ الموقع الخبيث في مارس 2025 بعنوان HTML يحاكي الصفحة الرسمية تماماً، ثم خضع لتعديلات طفيفة في مطلع نوفمبر قبيل تصاعد موجة الاستهداف. هذا الأسلوب يضمن ظهور الموقع المزيف في مقدمة نتائج البحث حين يبحث الموظف عن رابط تحميل Teams، مما يوقعه في الفخ دون أي شك أو ريبة.
سلسلة عدوى معقدة تنتهي بتثبيت تروجان متكامل
حين يقوم المستخدم بتحميل ما يظنه برنامج Microsoft Teams الأصلي، يحصل في الواقع على ملف ZIP مُلغَّم يحتوي على مثبِّت خبيث. وبمجرد تشغيل هذا المثبِّت، يعمل بصمت تام على إسقاط مكونات خبيثة في الخلفية بينما يقوم في الوقت ذاته بتثبيت نسخة حقيقية من Microsoft Teams على جهاز الضحية، وحتى إضافة اختصار على سطح المكتب حتى لا يثير أي اشتباه.
يعتمد المثبِّت على تقنية NSIS، ويستغل ملف GameBox.exe الأصيل الصادر عن شركة تينسنت الصينية لتحميل مكتبة DLL خبيثة تحمل اسم utility.dll عبر أسلوب يُعرف بـ DLL Sideloading. هذا الأسلوب يستغل ثقة نظام التشغيل في الملفات الموقَّعة رقمياً من شركات معروفة، ليُخفي النشاط الخبيث خلف واجهة برنامج شرعي تماماً.
وللإفلات من أدوات الحماية، يُشغِّل البرنامج الخبيث أوامر PowerShell تُعدِّل إعدادات Windows Defender لإضافة استثناءات تشمل مجلد العمل وملف utility.dll الخبيث، ثم ينسخ نفسه إلى مجلد ProgramData ويُخفي الملفات المُسقَطة لتفادي أي فحص عرضي.
ValleyRAT: أداة تجسس وسرقة في خدمة جماعة
يُعدّ ValleyRAT متغيراً متطوراً من عائلة Gh0st RAT، ويمنح المهاجمين سيطرة شاملة على الجهاز المخترق، مما يجعله أداةً مثاليةً لعمليات التجسس وسرقة البيانات. وتشمل قدراته تسجيل نقرات لوحة المفاتيح، وسرقة بيانات الاعتماد، والمراقبة عن بُعد، وتنفيذ أوامر النظام بصلاحيات واسعة.
تسعى مجموعة Silver Fox من خلال نشر هذا البرنامج إلى تحقيق هدفين متوازيين: التجسس الممنهج لصالح الدولة بهدف الحصول على معلومات استخباراتية حساسة، والاحتيال المالي وسرقة الأموال لتمويل عملياتها.
والجدير بالذكر أن هذه المجموعة لجأت إلى تضمين عناصر سيريلية روسية في أداة تحميل ValleyRAT المُعدَّلة، في ما يبدو أنه عملية تضليل متعمدة للإيهام بأن الهجوم صادر عن جهات روسية، وإرباك جهود التتبع والإسناد.
ولا تقتصر أنشطة Silver Fox على هذه الحملة وحدها، إذ سبق للمجموعة في وقت سابق من عام 2025 استغلال برنامج تشغيل موقَّع من Microsoft مرتبط بتطبيق WatchDog لنشر ValleyRAT، وهو ما أتاح للبرنامج التحايل على أنظمة الكشف عن التهديدات والتخفي عن أدوات الحماية من نقاط النهاية.
استهداف ممنهج للمؤسسات والشركات العالمية العاملة في الصين
تركّز الحملة بشكل رئيسي على المستخدمين الناطقين بالصينية، بمن فيهم موظفو المنظمات الغربية العاملة داخل الصين. ومن الناحية التقنية، يعمل البرنامج الخبيث بعد تثبيته على إنشاء قناة اتصال مخفية مع خوادم تحكم وسيطرة خارجية لتلقي الأوامر وإرسال البيانات المسروقة.
تمثل هذه الحملة تطوراً لافتاً في أساليب الهجوم، إذ تجمع بين التلاعب بنتائج محركات البحث، والهندسة الاجتماعية، وتقنيات متقدمة لتسليم البرامج الخبيثة بمراحل متعددة. وما يزيد الأمر خطورةً أن الضحية تُنهي عملية التثبيت مقتنعةً تماماً بأنها ثبَّتت تطبيقاً أصلياً، في حين يكون نظامها قد وقع تحت سيطرة كاملة لأطراف خارجية.
يُذكِّر هذا النوع من الهجمات بأن أخطر التهديدات السيبرانية لا تأتي دائماً عبر رسائل تصيد واضحة أو ثغرات برمجية معقدة، بل كثيراً ما تتسلل من خلال ما يبدو برامج يومية مألوفة. ولذا يُوصي خبراء الأمن بالتحقق دائماً من المصدر الرسمي قبل تحميل أي برنامج، وعدم الاعتماد على نتائج محركات البحث وحدها، وتفعيل أنظمة الكشف عن التهديدات المتقدمة في بيئات العمل.
