كشف باحثون في الأمن السيبراني عن عائلتين جديدتين من البرمجيات الخبيثة، تشمل بابًا خلفيًا مخصصًا لنظام macOS يعرف باسم CHILLYHELL، إضافة إلى حصان طروادة للتحكم عن بُعد (ZynorRAT) مكتوب بلغة Go يستهدف أنظمة ويندوز ولينكس.
باب خلفي متطور لأنظمة macOS
بحسب تحليل مختبرات Jamf Threat Labs، فإن CHILLYHELL مكتوب بلغة ++C ومخصص لمعمارية إنتل، ويعود إلى مجموعة تهديد غير مصنفة تُعرف باسم UNC4487، والتي يُعتقد أنها نشطة منذ عام 2022. وقد رُبطت هذه المجموعة بحملات تجسس استهدفت مواقع حكومية أوكرانية لإعادة توجيه الزوار وتشغيل برمجيات ضارة مثل Matanbuchus أو CHILLYHELL.
البرمجية التي اكتُشفت على منصة VirusTotal في مايو 2025، كانت مُوقّعة عبر شهادات مطور رسمية من آبل منذ عام 2021، قبل أن تقوم الشركة بإلغائها. وبمجرد تشغيلها، تقوم البرمجية بجمع بيانات مفصلة عن الجهاز، وتثبيت نفسها بآليات متعددة لضمان البقاء، ثم تتصل بخوادم تحكم عبر بروتوكولي HTTP أو DNS لتلقي التعليمات.
ومن أبرز قدراتها: إنشاء قناة عكسية للتحكم، تنزيل نسخ أو مكونات إضافية، تنفيذ هجمات لكسر كلمات المرور، وتغيير الطوابع الزمنية للملفات (timestomping) لإخفاء آثارها.
ZynorRAT: حصان طروادة متعدد المنصات
بالتوازي مع ذلك، تم اكتشاف برمجية ZynorRAT التي تُدار عبر روبوت على تطبيق Telegram باسم @lraterrorsbot. ويُظهر التحليل أن أول عينة ظهرت في يوليو 2025، وتستهدف أنظمة لينكس وويندوز على حد سواء.
نسخة لينكس قادرة على جمع بيانات النظام، تنفيذ أوامر عن بُعد، التقاط لقطات شاشة، سرقة الملفات، وتثبيت نفسها عبر خدمات systemd. أما نسخة ويندوز فهي مشابهة بدرجة كبيرة، لكنها ما تزال تستخدم آليات خاصة بلينكس، ما يشير إلى أن تطويرها لم يكتمل بعد.
تشير الأدلة إلى أن البرمجية طُورت على يد فاعل منفرد يرجّح أن يكون من أصول تركية، وأنه استخدم أجهزة شخصية لاختبار وظائفها. ويؤكد الخبراء أن تصميم ZynorRAT يعكس مستوى متقدمًا من التخصيص والأتمتة في برمجيات التحكم عن بُعد الحديثة.
