كشف باحثون في مجال الأمن السيبراني عن تطوّر التروجان الشهير للوصول عن بُعد AsyncRAT، الذي نُشر لأول مرة على GitHub في يناير 2019، والذي بات يُستخدم كقاعدة أساسية للعديد من المتغيرات الخبيثة المنتشرة حاليًا في مختلف أنحاء العالم.
ووفقًا لتقرير صادر عن الباحث نيكولا كنزيفيتش من شركة ESET، فإن “AsyncRAT رسّخ مكانته كعنصر أساسي في مشهد البرمجيات الخبيثة الحديثة، وأصبح تهديدًا واسع الانتشار بفضل شبكة متشعبة من التعديلات والتفريعات”. وأضاف أن “السر لا يكمن في قدراته الفردية فقط، بل في طبيعته المفتوحة المصدر، والتي سمحت بتطويره بسهولة عبر هيكلية تعتمد على الإضافات (Plug-ins)، ما أدى إلى طفرة في الإصدارات المتفرعة منه”.
من GitHub إلى حملات التصيّد الخبيثة
رغم أن AsyncRAT يتمتع بمرونة تقنية، فإن تأثيره الحقيقي ينبع من كيفية استخدامه في حملات تصيّد عشوائية، حيث يُرفق بمحملات خبيثة مثل GuLoader أو SmokeLoader. وتُستخدم هذه الطرق لنشره بسرعة من خلال برمجيات مقرصنة، إعلانات خبيثة، أو تحديثات مزيفة، مستهدفًا كلًا من البيئات المؤسسية والمستخدمين الأفراد. وعند عدم اكتشافه مبكرًا، يُستخدم التروجان لسرقة المعلومات والسيطرة عن بُعد على الأنظمة المُخترقة.
جرى نشر AsyncRAT في الأصل بلغة #C بواسطة مطور يُعرف باسم NYAN CAT، ويتيح للمهاجمين التقاط لقطات شاشة، وتسجيل ضغطات المفاتيح، وسرقة بيانات الاعتماد، وتنفيذ أوامر خبيثة، وجمع البيانات من الأجهزة المصابة.
بنية مفتوحة… وتهديدات متزايدة
سهولة التعديل، والخصائص التخفيّة المتقدمة، والبنية المعيارية لـ AsyncRAT، جعلت منه خيارًا مغريًا لجهات التهديد. ووفقًا لـ ESET، فإن التهديدات الحالية تعود جذورها إلى RAT مفتوح المصدر آخر يُدعى Quasar RAT (المعروف أيضًا بـ CinaRAT أو Yggdrasil) والموجود على GitHub منذ عام 2015. ومع أن البرمجيتين مكتوبتان بلغة واحدة، إلا أن الفروقات الكبيرة بينهما تشير إلى أن AsyncRAT لم يكن مجرد تفريعة من Quasar، بل إعادة كتابة شاملة.
كلا التروجانيْن يستخدمان فئات تشفير مخصصة لفك إعدادات التكوين. ومنذ إطلاق AsyncRAT، ظهرت منه عدة متغيرات خطيرة، أبرزها DCRat وVenom RAT.
DCRat وVenom RAT: تصعيد في القدرات الخبيثة
يُعتبر DCRat (المعروف أيضًا باسم DarkCrystal RAT) تحسينًا كبيرًا على AsyncRAT، إذ يدمج تقنيات تجنب الكشف مثل تعطيل واجهات AMSI وETW الأمنية، ويضيف قدرات على جمع بيانات من كاميرا الويب، وتسجيل الصوت من الميكروفون، وسرقة رموز Discord، وحتى تشفير الملفات.
أما Venom RAT، فقد استلهم بعض عناصره من DCRat، وأضاف إليها تقنيات مراوغة أكثر تطورًا، مما جعله تهديدًا أكثر تقدمًا من الناحية الفنية، حسب تحليل أجرته آنا شيروكوفا من Rapid7 في نوفمبر 2024.
متغيرات خفية وقدرات متقدمة
حددت ESET أيضًا متغيرات أقل شهرة مثل NonEuclid RAT، الذي يضم إضافات لكسر كلمات مرور SSH وFTP، وجمع بيانات الموقع الجغرافي، واستخدام خاصية Clipper لتبديل محتوى الحافظة بعناوين محافظ العملات الرقمية التابعة للمهاجم، بالإضافة إلى انتشاره من خلال تعديل ملفات تنفيذية محمولة بحمولات خبيثة.
أما JasonRAT، فيقدم تغييرات خاصة مثل استهداف الأنظمة حسب البلد، في حين يتميز XieBroRAT بسرقة بيانات اعتماد المتصفحات، ويحتوي على إضافة للتفاعل مع خوادم Cobalt Strike عبر اتصال عكسي، كما تم تكييفه خصيصًا للسوق الصينية.
أداة مفتوحة المصدر تتحول إلى خدمة مدفوعة
قالت ESET إن صعود AsyncRAT وتفريعاته يسلط الضوء على المخاطر الكامنة في أطر العمل الخبيثة مفتوحة المصدر. إذ لم تؤدِ هذه التفريعات إلى توسيع القدرات الفنية فحسب، بل أظهرت أيضًا مدى سرعة وابتكار جهات التهديد في إعادة استخدام الكود البرمجي.
وأضاف التقرير أن توافر هذه الأدوات بشكل مفتوح يُخفض بشكل كبير عتبة الدخول إلى عالم الجريمة السيبرانية، مما يمكّن المبتدئين من نشر برمجيات متقدمة بأقل جهد ممكن. ومع تصاعد استخدام نماذج اللغة الكبيرة (LLMs)، يصبح من الأسهل تطوير أدوات خبيثة أكثر تعقيدًا، وهو ما يساهم في تعقيد مشهد التهديدات بشكل غير مسبوق.
وقد ساهم هذا الاتجاه في نمو نموذج البرمجيات الخبيثة كخدمة (MaaS)، حيث تُباع أدوات AsyncRAT الجاهزة ومكوناتها القابلة للتشغيل الفوري على قنوات Telegram ومنتديات الويب المظلم.
أما بالنسبة لفرق الأمن السيبراني، فإن هذا الواقع يتطلب التركيز بشكل أكبر على تحليل السلوك، وفك تشفير البنية التحتية C2، وفهم تقنيات التثبيت دون ملفات، وسرقة الحافظة، وسرقة بيانات الاعتماد، التي تتكامل جميعها في حملات البرمجيات الخبيثة الحديثة.
