كشف تحقيق لخبراء الاستخبارات الخاصة بنظام أسماء النطاقات أن فاعل تهديد يُعرف باسم Detour Dog أدّى دورًا محوريًا في حملاتٍ وزّعت برمجية سرقة معلومات تُسمّى Strela Stealer، بعد أن وَجَدَت الشركة أن بنية الفاعل استضافت مرحلة التمهيد الأولى للبرمجية — بوابة خلفية تُعرف باسم StarFish.
من هو Detour Dog وما الذي اكتُشف؟
تتتبّع شركة Infoblox نشاطًا لعامل تهديد تُسمّيه Detour Dog منذ أغسطس 2023، مع آثار تعود إلى فبراير 2020، واكتشفت أن البنية التحتية التي يسيطر عليها الفاعل استُخدمت لاستضافة ملفات التمهيد لِـ Strela (مثل StarFish)، بالإضافة إلى أن ما لا يقل عن 69% من مضيفي الاستضافة المؤكّدين لمرحلة StarFish كانت تحت سيطرته.
تقنية جديدة: DNS TXT كسلسلة قيادة وتسليم
ما يجعل الحملة بارزة هو استغلال سجلات DNS من نوع TXT كقناة أوامر وتحكّم وتوصيل: خوادم اسم النطاق التي يتحكّم بها Detour Dog مُعدَّلة لتفسير طلبات DNS مُهيكلة تصدر من المواقع المخترَقة والردّ عليها بأوامر تنفيذ عن بُعد — غالبًا عبر سجلات TXT تحتوي على روابط تحميل مُؤشّرة بكلمة مفتاح (مثل بادئة “down”) تُزيلها المواقع وتعيد طلب المحتوى عبر curl لتسليم مُحمِّل StarFish للضحية. هذا الأسلوب يجعل المواقع المخترَقة وسيطًا مُعاودًا (relay) بين البنية التحتية للفاعل والزبون المستهدف.
سلسلة الهجوم واللاعبون المشاركون
التحليل كشف أن سلاسل التوزيع شملت استخدام بوتنتات موزّعة لإرسال رسائل سبام تحمل المرفقات الخبيثة؛ من بينها بوتنت MikroTik المُسوَّق باسم REM Proxy وبوتنت Tofsee، بينما قدّم Detour Dog مرحلة الاستضافة الأولى. أما المراحل فتمر عادةً كما يلي: فتح مستند خبيث يؤدي لتحميل SVG ضار → الموقع المخترَق يطلب سجل TXT من خوادم Detour Dog → الخادم يرد بعنوان C2 مُعلّمًا بـ”down” → الموقع يجلب المُحمِّل (StarFish) ويُعيد تسليمه للعميل → المُحمِّل يتابع تحميل Strela Stealer عبر دومين آخر مخترق أو مُسيطر عليه.
مدى التأثير والإجراءات المتخذة
حسب Infoblox، أظهرت التحليلات انتشارًا واسعًا إلى عشرات الآلاف من المواقع (تقارير تذكر أرقامًا حتى نحو 30,000 موقعًا مخترقًا) عبر عشرات الدول، مع استغلال Detour Dog لمواقع WordPress الضعيفة لحقن الشيفرات الخبيثة. بالتعاون مع مؤسسات مثل Shadowserver، تمّت عملية sinkhole لنطاقين من نطاقات الفاعل في يوليو وأغسطس 2025، ما يشير إلى تجاوب فِرَق الأمن لمحاصرة بعض بنى التشغيل.
