راقب باحثون نشاطًا جديدًا لانتحال هوية شركة الأمن السلوفاكية ESET ضمن حملات تصيّد (spear-phishing) استهدفت جهات أوكرانية، بعدما قُدِّرت بداية الحملة في مايو 2025، وسُجلت مؤشرات تربطها بعُنقود نشاطٍ يُسمّى InedibleOchotense ويُقيَّم بأنه محالف لروسيا.
انتحال هوية ESET واستهداف أوكرانيا
أرسلت المجموعة رسائل بريد إلكتروني موجهة ورسائل نصية عبر تطبيق Signal تحتوي على روابط تُحيل إلى مُثبّتات ESET مُزوَّرة (trojanized installers) لعدد من الكيانات الأوكرانية، بحسب تقرير APT Activity Report (الربع الثاني – الربع الثالث 2025) الذي شاركته ESET مع The Hacker News.
استُخدمت نطاقات مضيفة مزوّرة مثل: esetsmart[.]com، esetscanner[.]com، وesetremover[.]com لخداع الضحايا، مستغَلّةً انتشار برمجيات ESET وشهرته داخل البلد. ولاحظ الباحثون أن رسالة البريد كُتبت باللغة الأوكرانية لكن السطر الأول احتوى كلمة روسية، ما قد يشير إلى خطأ ترجمي أو تداخل لغوي.
آلية الهجوم والبرمجيات المُسقَطة
صُمِّم المُثبّت ليقوم بتسليم الأداة الشرعية ESET AV Remover إلى جانب متغيّر من باب خلفي بلغة C# يُطلَق عليه Kalambur (المعروف أيضًا باسم SUMBUR). يستعمل الباب الخلفي شبكة Tor لقنوات القيادة والتحكّم (C2)، وقادر كذلك على إسقاط OpenSSH وتمكين الوصول عن بُعد عبر RDP على المنفذ 3389.
كما رُصدت قدرات لجمع بيانات الاعتماد ونقل البيانات، ما يجعل الحملة خطيرة من ناحية التغلغل والاستدامة.
الارتباطات والتحريات الاستخباراتية
قدّمت ESET تقييمًا بأن InedibleOchotense يشارك تداخلات تكتيكية مع حملة وثّقتها EclecticIQ اشتركت فيها بنية تُدعى BACKORDER، كما أدرجته CERT-UA تحت المُعرّف UAC-0212 واعتبرته تجمّعًا فرعيًا ضمن مجموعة Sandworm (المعروفة أيضًا باسم APT44).
في المقابل، أبلغت CERT-UA في تقرير مستقل نشر الشهر الماضي عن حملة شبه متطابقة نُسبت إلى UAC-0125، وهو عنقود فرعي آخر ضمن Sandworm. وأقرّ باحث ESET، Matthieu Faou، بوجود تشابهات مع تقارير CERT-UA لكنه قال إن الشركة لم تتمكن من التأكيد المستقل لرابط مباشر بين هذه العناقيد.
تهديدات موازية واستغلال ثغرات أخرى
أشارت ESET إلى أن مجموعة Sandworm واصلت تنفيذ حملات مُدمِّرة في أوكرانيا خلال الفترة نفسها، عبر نشر برمجيات مدمِّرة (wipers) مثل ZEROLOT وSting استهدفت مؤسسات تعليمية وقطاعات حكومية وطاقة ولوجستيات وزراعة. كما رُصِدَت أنشطة أولية نفذها عنقود UAC-0099 ثم نُقلت أهدافها إلى Sandworm للمتابعة.
وبالموازاة، نشط فاعل تهديد روسي آخر يُعرف باسم RomCom (مختصرات وإصداراته: Storm-0978, Tropical Scorpius, UNC2596, Void Rabisu)؛ حيث شَنّ في منتصف يوليو 2025 حملات تصيد استغلت ثغرة WinRAR (CVE-2025-8088, CVSS 8.8) لتسليم برمجيات خبيثة وحقن أبواب خلفية مثل SnipBot (SingleCamper / RomCom RAT 5.0) وRustyClaw وعميل Mythic. وثّقت تحليلات لاحقة تحول RomCom من أداة إلكترونية مزدوجة-الغاية إلى مورد تُوظِّفه عمليات الدولة لأهداف استخباراتية وخرق بيانات.
