اكتشف باحثو الأمن السيبراني برمجية خبيثة جديدة تحمل اسم CountLoader، يجري توظيفها من قِبل جماعات فدية روسية لتسليم أدوات ما بعد الاختراق مثل Cobalt Strike وAdaptixC2، إلى جانب حصان وصول عن بُعد يُعرف باسم PureHVNC RAT.
بحسب تحليل شركة Silent Push، يُستخدم CountLoader إما ضمن ترسانة وسطاء الوصول الأولي (IABs) أو من قِبل شركاء تابعين لجماعات الفدية LockBit وBlack Basta وQilin.
أنماط متعددة وتقنيات متقدمة
ظهر CountLoader بثلاثة إصدارات مختلفة — .NET، PowerShell، وJavaScript — وقد رُصد في حملة تصيّد تستهدف أفرادًا في أوكرانيا عبر ملفات PDF مزيّفة تنتحل هوية الشرطة الوطنية الأوكرانية. أشارت Kaspersky سابقًا إلى أن النسخة المكتوبة بـPowerShell وُزعت باستخدام طُعم مرتبط بتقنية DeepSeek لخداع الضحايا.
أظهرت التحقيقات أن نسخة JavaScript هي الأكثر اكتمالًا، إذ توفر:
-
ست طرق مختلفة لتنزيل الملفات (باستخدام curl، PowerShell، MSXML2.XMLHTTP، WinHTTP.WinHttpRequest.5.1، bitsadmin، certutil.exe).
-
ثلاث طرق لتنفيذ البرمجيات الخبيثة.
-
وظيفة مضمنة للتعرف على الجهاز الضحيّة عبر معلومات نطاق ويندوز.
كذلك يتمكن CountLoader من جمع معلومات النظام، وتثبيت نفسه عبر Scheduled Task يتنكر كعملية تحديث لمتصفح Google Chrome، والاتصال بخادم بعيد لتنفيذ تعليمات إضافية، بما يشمل تنزيل وتشغيل DLL وMSI عبر rundll32.exe وmsiexec.exe.
قدرات استغلال متقدمة
يمثّل استخدام CountLoader لأدوات LOLBins مثل certutil وbitsadmin، مع تشفير أوامر PowerShell “عند الطيران”، دليلاً على فهم مطوّريه العميق لنظام ويندوز وتقنيات تطوير البرمجيات الخبيثة. اللافت أيضًا اعتماده على مجلد Music في جهاز الضحية كمكان وسيط لتخزين البرمجيات الخبيثة.
الإصدار .NET يُظهر تشابهًا وظيفيًا مع نظيره المكتوب بـJavaScript، لكنه يظل محدودًا بدعم نوعين فقط من الأوامر (UpdateType.Zip أو UpdateType.Exe)، ما يجعله نسخة مبسّطة.
بنية تحتية واسعة وعلاقات متشابكة
تدعم CountLoader بنية تحتية تضم أكثر من 20 نطاقًا مختلفًا، ما يجعله قناة لتوزيع أدوات مثل Cobalt Strike وAdaptixC2 وPureHVNC RAT (الذي طوّره المهاجم المعروف باسم PureCoder). تجدر الإشارة إلى أن PureHVNC RAT هو سلف لبرمجية PureRAT (المعروفة أيضًا باسم ResolverRAT).
في حملات حديثة، استُخدمت تقنية ClickFix للهندسة الاجتماعية لتوزيع PureHVNC RAT، حيث جرى استدراج الضحايا عبر إعلانات وظائف مزيّفة تُمكّن المهاجمين من تشغيل أوامر PowerShell ضارة. كما أظهرت تحليلات GitHub أن النشاط أُجري ضمن النطاق الزمني UTC+03:00، المتوافق مع روسيا ودول أخرى.
شبكة مرنة لا تعترف بالولاء
بحسب فريق تحقيقات DomainTools، تكشف هذه التطورات عن الطابع المترابط لمشهد الفدية الروسي، مع وجود تداخل بين الجماعات واستخدام أدوات مثل AnyDesk وQuick Assist. وأشار التقرير إلى أن الولاء للعلامات أو أسماء المجموعات ضعيف، وأن رأس المال البشري هو الأصل الأهم، إذ يعيد المشغّلون تنظيم أنفسهم وفق ظروف السوق وعمليات التفكيك، ويعتمدون على الثقة الشخصية أكثر من اسم الكيان أو نوع البرمجية.
