لا تزال المنظمات المكسيكية تتعرض لهجمات من قبل جهات تهديد تستهدفها بنسخة معدّلة من البرمجية الخبيثة AllaKore RAT وأداة SystemBC، ضمن حملة مستمرة بدأت منذ عام 2021. وقد نسب باحثو Arctic Wolf Labs هذه الأنشطة إلى مجموعة قرصنة مالية تُعرف باسم Greedy Sponge، التي تستهدف قطاعات متعددة دون تمييز، بما في ذلك التجزئة، الزراعة، القطاع العام، الترفيه، الصناعة، النقل، الخدمات التجارية، السلع الرأسمالية، والقطاع المصرفي.
ووفقاً لتحليل أمني نُشر مؤخراً، فإن الحمولة الخاصة بـ AllaKore RAT قد خضعت لتعديلات كبيرة لتمكين الجهات المهاجمة من سرقة بيانات اعتماد مصرفية ومعلومات مصادقة فريدة، تُرسل لاحقاً إلى خوادم القيادة والتحكم (C2) بهدف ارتكاب عمليات احتيال مالي.
سلسلة الهجوم والتقنيات المستخدمة
جرى توثيق تفاصيل هذه الحملة لأول مرة في يناير 2024 من قبل فريق الأبحاث التابع لشركة BlackBerry، والذي أصبح جزءاً من Arctic Wolf لاحقاً. وتعتمد الهجمات على أساليب التصيّد أو الاستغلال عبر التصفح، من خلال نشر ملفات ZIP مفخخة تؤدي في النهاية إلى تنصيب برمجية AllaKore RAT.
تشير التحليلات إلى أن هذا التروجان صُمم ليكون قادراً على تحميل برمجيات خبيثة إضافية مثل SystemBC، وهي أداة مكتوبة بلغة C تُحول الأنظمة المصابة إلى وكلاء SOCKS5، ما يتيح للمهاجمين إنشاء قنوات اتصال مخفية وآمنة مع خوادمهم.
ولم تكتف مجموعة Greedy Sponge باستخدام أدوات الوكيل الخبيثة، بل حسّنت كذلك أساليبها عبر إضافة تقنيات التسييج الجغرافي منذ منتصف 2024، بهدف عرقلة محاولات التحليل. وكانت هذه القيود تُطبق سابقاً من خلال برنامج تحميل أولي مبني بلغة .NET ضمن مُثبت MSI مُزوّر يبدو كبرنامج من مايكروسوفت، أما الآن فقد نُقلت إلى الخوادم للتحكم بشكل أكثر دقة في الوصول إلى الحمولة النهائية.
الإصدار الأحدث من الهجوم لا يزال يتبع النمط ذاته، حيث يُوزَّع ملف مضغوط باسم “Actualiza_Policy_v01.zip”، يحتوي على برنامج وكيل Chrome شرعي، إضافة إلى ملف MSI مفخخ يقوم بنشر برمجية AllaKore RAT. وتتيح هذه البرمجية وظائف مثل تسجيل النقرات، التقاط لقطات الشاشة، تنزيل ورفع الملفات، والتحكم الكامل عن بُعد.
الملف التنفيذي MSI يتضمن أداة تحميل مكتوبة بلغة .NET مسؤولة عن تنزيل وتنفيذ التروجان من خادم خارجي (“manzisuape[.]com/amw”)، إلى جانب سكربت PowerShell يُستخدم في مهام التنظيف.
استخدامات سابقة للبرمجية في أمريكا اللاتينية
لم تكن هذه هي المرة الأولى التي يُستخدم فيها AllaKore RAT في استهداف أمريكا اللاتينية. ففي مايو 2024، كشفت كل من HarfangLab وCisco Talos أن نسخة مشتقة من البرمجية تُعرف باسم AllaSenha (أو CarnavalHeist) جرى استخدامها لاستهداف المؤسسات المصرفية البرازيلية، عبر جهات تهديد محلية.
ووفقاً لـ Arctic Wolf، فإن استمرارية هذا الفاعل منذ أكثر من أربع سنوات في استهداف كيانات مكسيكية تدل على إصراره، وإن لم يكن متقدماً تقنياً بشكل لافت. ويُعزى هذا النجاح المستمر إلى البنية التحتية الثابتة التي حافظت عليها المجموعة طوال حملاتها.
حملة جديدة توظف Ghost Crypt لنشر PureRAT
في تطور متصل، كشفت شركة eSentire عن حملة تصيّد وقعت في مايو 2025، اعتمدت على خدمة Ghost Crypt لتشفير البرمجيات الخبيثة وإخفائها. وبدأت الهجمة عبر أسلوب الهندسة الاجتماعية، حيث ادّعى المهاجمون أنهم عملاء جدد، وأرسلوا ملف PDF يحتوي على رابط إلى مجلد Zoho WorkDrive يتضمن ملفات ZIP خبيثة. ثم عمد المهاجم إلى الاتصال بالضحية لحثه على فتح الملف فوراً، مما أضفى طابع الاستعجال والضغط.
الملف المضغوط احتوى على مكتبة DLL مشفّرة باستخدام Ghost Crypt، والتي قامت لاحقاً بحقن الحمولة داخل العملية الشرعية csc.exe التابعة لنظام ويندوز باستخدام أسلوب يُعرف باسم حقن التنويم العملياتي (process hypnosis injection).
ظهرت Ghost Crypt لأول مرة في منتديات الجريمة الإلكترونية في أبريل 2025، وتتميز بقدرتها على تجاوز Microsoft Defender Antivirus، كما تُستخدم لنشر برمجيات مثل Lumma وRhadmanthys وStealC وBlueLoader وPureLoader وDCRat وXWorm وغيرها.
ظهور نسخة جديدة من Neptune RAT
بالتوازي، ظهرت نسخة جديدة من البرمجية الخبيثة Neptune RAT – والمعروفة أيضاً باسم MasonRAT – والتي يتم توزيعها باستخدام ملفات JavaScript مموّهة. وتتيح هذه البرمجية سرقة البيانات الحساسة، التقاط صور الشاشة، تسجيل ضغطات المفاتيح، نشر برمجيات Clipper، وتنزيل مكتبات DLL إضافية.
وتشير تحليلات شركة Gen Digital إلى وجود تشابه كبير بين Neptune RAT والإصدار الأول من XWorm، ما يدل على أن النسخة الأولى من Neptune هي على الأرجح فرع مشتق منه. أما الإصدار الثاني Neptune V2، فيتضمن تغييرات كبيرة، مما يشير إلى إعادة كتابة أو إعادة هيكلة واسعة للبرمجية.
وبحسب الباحث الأمني Ajin Deepak، فإن كل من XWorm وNeptune V1 يستخدمان نفس خوارزمية التشفير، حيث يُستخدم تجزئة MD5 لمُعرف mutex لتوليد مفتاح تشفير AES بطول 32 بايت في وضع ECB غير الآمن. كما أن كلا التروجانيْن يقوم بتحميل إعداداتهما التكوينية بالكامل في بداية التنفيذ، قبل تشغيل سلاسل المهام.
استخدام Hijack Loader مع Inno Setup لتوزيع RedLine
وفي سياق متصل، رصد باحثو Splunk سلسلة هجمات حديثة تستخدم مُثبّتات Inno Setup خبيثة لتوزيع أداة Hijack Loader (المعروفة أيضاً باسم IDAT Loader)، والتي بدورها تقوم بتنزيل برمجية RedLine المخصصة لسرقة المعلومات.
ويُشار إلى أن هذا الهجوم يستغل قدرات Inno Setup في تنفيذ سكربتات بلغة Pascal، ما يسمح بتنفيذ الحمولة التالية على الأجهزة المُستهدفة. وتُشبه هذه التقنية إلى حد كبير الأسلوب المستخدم في مُثبّت خبيث معروف باسم D3F@ck Loader، والذي يتبع نمط إصابة مماثل.
