راقب باحثون نشاطًا لعامل تهديد يشارك تداخلات مع مجموعة معروفة باسم YoroTrooper، وقد استُهدف من خلاله القطاع العام الروسي ببرمجيات خبيثة تضم عائلات مثل FoalShell وStallionRAT، وفقًا لما رصدته شركة الأمن السيبراني الروسية BI.ZONE.
من يقف وراء الهجوم؟
تتبع BI.ZONE هذا النشاط تحت تسمية Cavalry Werewolf، ورأت وجود اشتراكات وتقاطعات مع مجموعات أو مجموعات ملاحَظة سابقًا حملت تسميات مثل SturgeonPhisher وSilent Lynx وComrade Saiga وShadowSilk وTomiris. وتزداد الدلائل التي تربط Tomiris بجهة قد تكون مرتبطة بكازاخستان، إثر تقرير سابق لِـ Microsoft نسبَ برمجية Tomiris إلى فاعل تهديد مقره كازاخستان (المعروف بـ Storm-0473).
أساليب الوصول والبرمجيات المستخدمة
للحصول على الوصول الابتدائي، أرسل المهاجمون رسائل تصيُّد مستهدفة متنكرة في هيئة مراسلات رسمية من مسؤولين في حكومة قيرغيزستان، تقول BI.ZONE. بين مايو وأغسطس 2025، وزع المهاجمون أرشيفات RAR عبر عناوين بريد مزيفة تُحاكي موظفي حكومة قيرغيزستان، وفي حالة واحدة على الأقل استخدموا عنوان بريد شرعي تابع لهيئة تنظيمية في الجمهورية القيرغيزية لإرسال الرسائل.
البرمجيات التي استُخدمت تتضمن:
-
FoalShell: شيل عكسي خفيف الوزن يتوفر بإصدارات مكتوبة بـ Go وC++ وC#، يتيح تنفيذ أوامر عشوائية عبر cmd.exe.
-
StallionRAT: متوفر بكتابات Go وPowerShell وPython، ويُمكّن المهاجمين من تنفيذ أوامر عشوائية، وتحميل ملفات إضافية، وتسريب البيانات عبر بوت على تليجرام. من الأوامر المدعومة بواسطة البوت:
/list لاستلام قائمة الأجهزة المخترقة (DeviceID واسم الحاسب)،
/go [DeviceID] [command] لتنفيذ أمر بواسطة Invoke-Expression،
/upload [DeviceID] لرفع ملف إلى جهاز الضحية.
كما نفّذ المهاجمون على الأنظمة المخترقة أدوات مثل ReverseSocks5Agent وReverseSocks5، وأوامر لجمع معلومات الأجهزة.
نطاق الاستهداف والنتائج الميدانية
استهدفت الحملة بشكل رئيسي الوكالات الحكومية الروسية، إلى جانب مؤسسات في قطاعات الطاقة والتعدين والتصنيع. وكشفت BI.ZONE أيضاً عن أسماء ملفات وجدت باللغتين الإنجليزية والعربية، ما يشير إلى أن دائرة استهداف Cavalry Werewolf قد تكون أوسع مما كان يُعتقد سابقًا.
في سياق متصل، كشفت تحليلات منشورات على قنوات تليجرام والمنتديات تحت الأرض أن مهاجمين ذوي دوافع مالية وهاكتيفيست ــ خلال العام الماضي ــ أعلنوا اختراق ما لا يقل عن 500 شركة روسية في قطاعات التجارة والمالية والتعليم والترفيه. في 86% من الحالات، نشر المهاجمون بيانات مسروقة من تطبيقات ويب ظاهرة للعامة، وبعد الوصول إلى هذه التطبيقات قاموا بتثبيت أدوات مثل gs-netcat لضمان الوصول الدائم، وأحيانًا حَمّلوا أصداف ويب إضافية، واستخدموا أدوات مشروعة مثل Adminer وphpMiniAdmin وmysqldump لاستخراج قواعد البيانات.
رؤى وتوصيات فنية
تؤكد BI.ZONE أن Cavalry Werewolf في طور توسيع ترسانة أدواته، وهو ما يبرز ضرورة الحصول سريعًا على معلومات فنية دقيقة عن الأدوات والأساليب المستخدمة للحفاظ على إجراءات كشف ووقاية محدثة وفعالة. كما تشير الأدلة إلى اعتماد المهاجمين مزيجًا من خدع التصيّد، استغلال حسابات بريدية مُخترَقة، واستخدام شيلز وبوتات تليجرام للقيادة والتحكم.
