كشفت شركة “سيسكو تالوس” للأمن السيبراني عن حملة خبيثة غير موثقة سابقاً تحمل اسم UAT-10027، بدأت منذ ديسمبر 2025، وتستهدف قطاعات التعليم والرعاية الصحية في الولايات المتحدة. الهدف الرئيس لهذه الحملة هو نشر باب خلفي جديد أطلق عليه الباحثون اسم Dohdoor، وهو أداة متقدمة للتسلل والتحكم عن بعد.
ويأتي هذا الاستهداف في وقت حساس، حيث تُعد المؤسسات التعليمية والصحية من أكثر القطاعات عرضة للهجمات بسبب اعتمادها الكبير على الأنظمة الرقمية وضعف إمكانياتها الأمنية مقارنة بالقطاعات الدفاعية أو المالية.
خصائص باب خلفي جديد باسم Dohdoor
يتميز Dohdoor باستخدام تقنية DNS-over-HTTPS (DoH) لإخفاء اتصالاته مع خوادم التحكم والسيطرة (C2)، ما يجعل حركة المرور تبدو طبيعية عبر بنية تحتية موثوقة مثل Cloudflare. هذه التقنية تعطل قدرة أنظمة المراقبة التقليدية على رصد الاستعلامات المشبوهة، وتمنح المهاجمين قدرة عالية على التخفي.
كما يعتمد الباب الخلفي على أسلوب DLL side-loading، حيث يتم تحميل مكتبات خبيثة مثل “propsys.dll” أو “batmeter.dll” عبر برامج نظام شرعية . هذا الأسلوب يتيح تشغيل الحمولة الخبيثة دون إثارة الشبهات، ويؤدي في النهاية إلى زرع أداة Cobalt Strike Beacon داخل ذاكرة الجهاز المصاب، وهي أداة معروفة بقدرتها على تنفيذ أوامر إضافية وتوسيع نطاق الهجوم.
أسلوب الوصول الأولي والتقنيات المستخدمة
رغم أن وسيلة الدخول الأولى لم تُحدد بشكل قاطع، إلا أن الباحثين يرجحون اعتماد المهاجمين على هجمات التصيّد الاجتماعي التي تؤدي إلى تشغيل سكربت PowerShell، ومن ثم تنزيل سكربت Batch إضافي، ليقوم بدوره بتحميل مكتبة DLL الخبيثة.
الأخطر أن Dohdoor قادر على تجاوز أنظمة الحماية المتقدمة مثل EDR عبر فك ارتباط استدعاءات النظام ف. هذا يعني أن أدوات المراقبة التي تعتمد على تتبع استدعاءات واجهات برمجة التطبيقات (API) تصبح عاجزة عن رصد النشاط الخبيث.
خلفيات ودلالات استراتيجية
تشير التحليلات إلى أن الحملة أصابت عدة مؤسسات تعليمية، بينها جامعة ترتبط بشبكات مؤسسات أخرى، ما يوسع نطاق الهجوم المحتمل. كما أصابت منشأة صحية متخصصة برعاية كبار السن، وهو ما يعكس خطورة التوجه نحو قطاعات حساسة تمس حياة الأفراد بشكل مباشر.
حتى الآن لم تُرصد أدلة على تسريب بيانات، لكن وجود Cobalt Strike يوحي بأن المهاجمين يهيئون بيئة خلفية لعمليات لاحقة قد تشمل سرقة بيانات أو ابتزاز مالي.
من الناحية الجيوسياسية، لاحظت “سيسكو تالوس” تشابهات تكتيكية بين Dohdoor وأداة LazarLoader التي استخدمتها مجموعة “لازاروس” الكورية الشمالية في هجمات سابقة. ورغم أن تركيز الحملة الحالية على التعليم والرعاية الصحية يختلف عن أهداف “لازاروس” التقليدية المرتبطة بالعملات الرقمية والدفاع، إلا أن هناك تقاطعات مع حملات أخرى نفذتها مجموعات كورية شمالية مثل “Kimsuky” التي استهدفت التعليم، و”Maui” التي ضربت قطاع الصحة.
هذا التداخل يعزز فرضية أن الهجوم قد يكون مرتبطاً بجهات مدعومة من دول، أو على الأقل مستلهمة من أساليبها، ما يرفع مستوى التهديد ويستدعي يقظة أكبر من المؤسسات المستهدفة.
