رصد الباحثون الأمنيون مجموعة Velvet Tempest المعروفة أيضاً باسم DEV-0504 وهي تنفذ هجوماً يعتمد على تقنية ClickFix، تلاه نشاط مباشر على الأنظمة (hands-on-keyboard) يتماشى مع أساليب Termite ransomware. التقرير الصادر عن Deception.Pro أوضح أن الهجوم استند إلى أسلوب الهندسة الاجتماعية لإسقاط حمولة خبيثة تضمنت أدوات مثل DonutLoader و CastleRAT.
مراحل الهجوم
- تنفيذ استطلاع على Active Directory شمل اكتشاف الثقة بين النطاقات، التعرف على الخوادم، وإعداد قائمة بالمستخدمين.
- محاولة سرقة بيانات اعتماد المتصفح عبر سكربت PowerShell تم تنزيله من عنوان IP (143.198.160[.]37).
- استخدام مكثف لتقنيات Living-off-the-land binaries (LOLBins) لتجنب الكشف.
- إنشاء حركة مرور طويلة الأمد مع خوادم التحكم (C2) تتنكر ضمن الضوضاء الطبيعية لحركة المتصفح.
ملاحظات أمنية
الهجوم الذي وقع بين 3 و16 فبراير 2026 لم يشهد نشر فعلي لبرمجيات الفدية، لكنه أظهر بوضوح اعتماد المهاجمين على كتاب تكتيكات حديث للوصول الأولي، يتميز بسرعة التهيئة، استغلال أدوات النظام الأصلية، وإخفاء الاتصالات ضمن النشاط الطبيعي.
دلالات على التهديد
هذا النوع من الهجمات يعكس تطوراً في أساليب المهاجمين، حيث لم يعد الهدف المباشر هو نشر الفدية فوراً، بل بناء موطئ قدم قوي داخل الشبكة عبر أدوات تحميل خبيثة، استطلاع شامل، وسرقة بيانات الاعتماد، مما يفتح المجال أمام هجمات لاحقة أكثر خطورة.
