كشفت تقارير أمنية حديثة عن حملة تجسس سيبراني موجهة ضد قطاعات الطيران والدفاع في روسيا، عبر نشر باب خلفي يُعرف باسم EAGLET بهدف سرقة البيانات وتنفيذ أوامر عن بُعد. وقد أُطلق على هذه الحملة اسم “عملية CargoTalon”، ونُسبت إلى مجموعة تهديد غير معروفة تُتابع تحت الرمز UNG0901 (اختصارًا لـ Unknown Group 901).
وبحسب تحليل نُشر هذا الأسبوع من قبل الباحث سوبهاجيت سينغا لدى مختبرات Seqrite، فإن الحملة تستهدف موظفي “جمعية إنتاج الطائرات فورونيج” (VASO)، وهي من أكبر الجهات المعنية بتصنيع الطائرات في روسيا، عبر استخدام مستندات TTN (товарно-транспортная накладная)، التي تُعد وثائق أساسية في عمليات الشحن والنقل الروسية.
بداية الهجوم عبر التصيّد
تبدأ الحملة برسائل تصيّد موجهة تتظاهر بأنها تتعلق بتوصيل شحنات، مرفقة بأرشيف بصيغة ZIP يحتوي على اختصار (LNK) لنظام Windows. هذا الملف يقوم، عند تشغيله، بعرض مستند Excel مزيف للمستخدم باستخدام PowerShell، وفي الوقت ذاته يُفعّل الباب الخلفي EAGLET على الجهاز المستهدف.
ووفقًا لـ Seqrite، فإن المستند الزائف يتضمن إشارات إلى شركة Obltransterminal، وهي مشغل روسي لمحطة شحن بالسكك الحديدية، خضعت لعقوبات من مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة الأمريكية (OFAC) في فبراير 2024.
قدرات الباب الخلفي EAGLET
تم تصميم EAGLET لجمع معلومات النظام وإنشاء اتصال بخادم بعيد يحمل العنوان “185.225.17[.]104″، وذلك لمعالجة استجابة HTTP واستخراج الأوامر المرسلة من المهاجم لتنفيذها على جهاز الضحية.
يدعم الباب الخلفي تنفيذ أوامر Shell، وتحميل وتنزيل الملفات. إلا أن طبيعة الحمولات التالية التي يتم تسليمها عبر هذا المسار لا تزال غير معروفة، خصوصًا مع توقف خادم القيادة والتحكم (C2) عن العمل حاليًا.
روابط مع حملات أخرى واستهداف للجيش الروسي
كشفت Seqrite أيضًا عن حملات مماثلة استهدفت القطاع العسكري الروسي باستخدام EAGLET، مع وجود تداخل في الشيفرة المصدرية والتقنيات مع مجموعة تهديد أخرى تُعرف باسم Head Mare، والتي سبق أن استهدفت كيانات روسية.
وتشمل أوجه التشابه بين EAGLET وأداة تجسس أخرى تُدعى PhantomDL — والمبنية بلغة Go — دعم كلاهما لأوامر Shell، وتحميل وتنزيل الملفات، فضلًا عن تشابه في أسماء الملفات المستخدمة في رسائل التصيّد الاحتيالي.
موجة هجمات جديدة باستخدام Remcos RAT
يأتي هذا الكشف بالتزامن مع موجة جديدة من الهجمات نُسبت إلى مجموعة قرصنة روسية ترعاها الدولة تُعرف باسم UAC-0184 (وتحمل أيضًا الاسم Hive0156)، والتي استهدفت مؤخرًا ضحايا في أوكرانيا باستخدام أداة التجسس Remcos RAT.
ورغم أن هذه المجموعة استخدمت Remcos RAT منذ أوائل 2024، فإن سلاسل الهجوم الجديدة أصبحت أكثر تبسيطًا، حيث تعتمد على ملفات LNK أو PowerShell مفخخة لتنزيل مستند زائف وحمولة خبيثة تُعرف باسم Hijack Loader (أو IDAT Loader)، والتي تقوم بعد ذلك بتشغيل Remcos RAT.
وذكرت IBM X-Force أن “Hive0156 تستخدم ملفات Microsoft LNK وPowerShell مفخخة لتنزيل وتشغيل Remcos RAT”، مضيفة أنها “رصدت مستندات زائفة تتمحور حول موضوعات تشير إلى اهتمام بالجيش الأوكراني، مع احتمالية توسع الاستهداف ليشمل جمهورًا أوسع”.
