نسب باحثو أمن لدى Zscaler ThreatLabz حملة هجمات سيبرانية جديدة إلى مجموعة التهديد المستمرة المرتبطة بروسيا والمعروفة باسم COLDRIVER (تُعرف أيضاً بـ Callisto/Star Blizzard/UNC4057). وقد أعادت المجموعة استخدام أساليب شبيهة بـClickFix لإقناع الضحايا بتشغيل شيفرات تؤدي إلى تحميل برنامج downloader يدعى BAITSWITCH يفرّ لاحقًا حمولة خلفية تسمى SIMPLEFIX (Backdoor مكتوب بـPowerShell)، في موجة تستهدف خصوصًا أفراد المجتمع المدني المرتبطين بروسيا والمنظمات غير الحكومية والمدافعين عن حقوق الإنسان.
سلسلة عدوى متعددة المراحل وتقنيات التمويه
تتبع الباحثون نفس نمط ClickFix الذي رصدته Google في مايو 2025: مواقع مزيفة تعرض مطالبات CAPTCHA خادعة تدفع المستخدم لتشغيل أمر PowerShell عبر مربع “Run” في ويندوز، ما يؤدي إلى تنفيذ DLL خبيث. في حملة COLDRIVER الأخيرة، يقوم DLL (BAITSWITCH) بالاتصال بنطاق مهاجم (“captchanom[.]top”) لتحميل SIMPLEFIX، بينما يُعرض للمستخدم مستند طُعم مستضافًا على Google Drive لإلهائه. كما ترسل البرمجية عدة طلبات HTTP لخادم المهاجم لإرسال معلومات النظام، وتلقي أوامر لتثبيت الثبات، وتخزين حمولات مشفرة في سجل ويندوز، ثم تحميل محمل PowerShell يمهّد تنزيل SIMPLEFIX وتشغيله.
قدرات SIMPLEFIX وهدفه: جمع ونسف الأدلة
تؤمّن SIMPLEFIX قناة اتصال مع خادم قيادة وتحكّم (C2) لتنفيذ أوامر PowerShell، وسحب وتنفيذ ملفات وثنائيات عن بعد. أحد سكربتاته يقوم باستنشاف قائمة ملفات وأنواع محددة ضمن مجلدات مسبقة التعيين لتسريبها، وهي قائمة تتقاطع مع قواعد مسح سابقة لبرمجية LOSTKEYS، ما يشير إلى تكرار أهداف جمع المعلومات لدى المجموعة. كما تسعى السلسلة لحذف أثر أمر التشغيل الأخير في مربع Run لمحو أثر العدوى الأولية.
تنامي النشاطات الموازية: BO Team وBearlyfy تستهدفان روسيا
تزامن ظهور حملة COLDRIVER مع نشاطات هجومية روسية محلية أخرى؛ فقد رصدت شركة Kaspersky حملة تصيّد في أوائل سبتمبر نسبت إلى مجموعة BO Team التي استخدمت أرشيفات RAR محمية بكلمة مرور لتسليم نسخة جديدة من بوابة خلفية BrockenDoor مكتوبة بلغة C# ونسخة محدثة من ZeronetKit (Backdoor بلغة Golang). كما ظهرت مجموعة Bearlyfy التي وظفت strains فدية مثل LockBit 3.0 وBabuk في هجمات على شركات روسية، مبدئية بمطالبات فدية متواضعة ثم تصاعدت لمطالِب أكبر؛ وتبيّن وجود تداخلات بنية تحتية مع مجموعة محتملة موالية لأوكرانيا (PhantomCore) رغم أن Bearlyfy تُعد مستقلة في عملها.
