كشفت فرق بحثية في الأمن السيبراني عن أنشطة مجموعة تهديدية لم تُوثَّق سابقًا تُعرف باسم TA585، التي لوحظت وهي توزِّع برمجية خبيثة جاهزة تُدعى MonsterV2 عبر حملات تصيّد إلكتروني. ووصف فريق أبحاث التهديدات في Proofpoint عنقود النشاط هذا بأنه متطور ويستغل حقن صفحات الويب وفحوصات التصفية كجزء من سلاسل هجومه. وأشار الباحثان كايل كوتشي وتومي مادجار وسيلينا لارسون إلى أن TA585 تملك سلسلة هجومها بالكامل، من البُنى التحتية إلى التوزيع وتركيب البرمجيات الخبيثة، بدلاً من الاعتماد على وسطاء وصول أولي أو خدمات توزيع طرف ثالث.
سلسلة الهجوم وتقنيات الهندسة الاجتماعية
رُصدت حملات التصيّد التي توزع MonsterV2 وهي تستخدم طُعمًا يُحاكي مراسلات مصلحة الضرائب الأمريكية (IRS) لخداع الضحايا للنقر على روابط مزيفة تقود إلى ملف PDF، يحتوي بدوره رابطًا إلى صفحة ويب توظف أسلوب الهندسة الاجتماعية المعروف باسم ClickFix لدفع الضحية إلى تفعيل الإصابة عبر تنفيذ أمر خبيث في مربع Windows Run أو في نافذة PowerShell. يُنفَّذ الأمر لبدء برنامج PowerShell من مرحلة تالية يقوم بنشر MonsterV2.
في موجات هجوم لاحقة رصدت في أبريل 2025، لجأت الحملة إلى حقن جافاسكربت خبيث في مواقع مشروعة ليعرض طبقة تحقق CAPTCHA مزيفة تُطلق الهجوم عبر ClickFix، وفي نهاية المطاف تُسلم البرمجية الخبيثة عبر أمر PowerShell. شهدت الابتدائية للحملة توزيع برمجيات Lumma Stealer قبل أن تنتقل TA585 إلى MonsterV2 في أوائل 2025. كما رُبطت حقن الجافاسكربت والبُنية التحتية المرتبطة بها (مثل intlspring[.]com) بتوزيع برنامج Rhadamanthys Stealer.
مجموعة حملات ثالثة استخدمت إشعارات بريد إلكتروني تبدو أنها من GitHub تُحرَّك عن طريق وسم مستخدمي GitHub في إخطارات أمنية مزيفة تحتوي على روابط تقود إلى مواقع يتحكم بها المهاجم.
قدرات MonsterV2 وسلوكها التقني
يُصنَّف MonsterV2 كخلفي وصول عن بُعد (RAT)، وسارق بيانات (stealer)، و”لودر” يقوم بتحميل برمجيات إضافية. يملك قدرة على سرقة بيانات حساسة، ويعمل كـclipper عبر استبدال عناوين المحفظة في الحافظة بعناوين يحددها المهاجم، ويؤسس تحكمًا عن بُعد باستخدام Hidden VNC (HVNC)، ويتلقى أوامر من خادم تحكم وسيطرة (C2) لتنفيذ مهام مثل تنزيل وتشغيل حمولات لاحقة.
تباع البرمجية من قبل فاعل ناطق بالروسية بسعر 800 دولار شهريًا للإصدار “القياسي” و2000 دولار شهريًا للإصدار “المؤسسي” الذي يتضمن وظائف الستيلر واللودر وHVNC ودعم بروتوكول Chrome DevTools. من الملاحظ أن الستيلر يتجنّب إصابة دول رابطة الدول المستقلة (CIS).
عادةً ما تُعبَّأ MonsterV2 باستخدام كريتر بلغة C++ يُسمى SonicCrypt لتمكينها من التهرب من الاكتشاف عبر إجراء سلسلة من فحوصات مقاومة التحليل قبل فك تشفير وتحميل الحمولة. عند التشغيل يقوم البرنامج بفك تشفير واستدعاء دوال Windows API الضرورية، ثم يصعد الصلاحيات ويقرأ تكوينًا مضمنًا يحدّد خادم C2 وخيارات التشغيل، من بينها معلمات مثل: anti_dbg (كشف المصحح)، anti_sandbox (كشف الصناديق الرملية)، aurotun (الإصرار على الإقلاع الذاتي — وهو سبب تسمية Aurotun نتيجة خطأ إملائي)، priviledge_escalation (محاولة تصعيد الصلاحيات).
الاتصالات، الإمكانات النهائية، والارتباطات الإضافية
في حال نجحت البرمجية في الاتصال بخادم C2 فإنها ترسل معلومات نظام أساسية وموقع النظام عبر استعلام إلى “api.ipify[.]org” ثم تنتظر أوامر التنفيذ. من الميزات المدعومة: تنفيذ وظائف سرقة المعلومات وإرسالها إلى الخادم، تنفيذ أوامر عشوائية عبر cmd.exe أو PowerShell، إنهاء وإيقاف واستئناف عمليات مستهدفة، تأسيس اتصال HVNC، التقاط لقطات شاشة، تشغيل مسجل مفاتيح، فهرسة ونسخ وتسريب ملفات، إغلاق أو تعطل النظام، وتنزيل وتشغيل حمولات لاحقة مثل StealC وRemcos RAT. أشار الباحثون أن بعض نشاطات توزيع StealC لم تُرتبط مباشرةً بـTA585، لكن ملفات MonsterV2 كانت مُعَدَّة لاستخدام نفس خادم C2 مع حمولات StealC. كما ارتبطت عناقيد النشاط التي تستخدم حقن الويب والتنبيهات الزائفة على GitHub بإطار عمل يُدعى CoreSecThree، الذي وصفته شركة PRODAFT بأنه “إطار متطور” يعمل منذ فبراير 2022 ويُستخدم باستمرار لنشر برمجيات الستيلر.
تكشف هذه الملاحظات أن TA585 فاعل تهديد متميّز بقدرات متقدمة في الاستهداف والتسليم، وأنه تبنّى استراتيجيات فعّالة للتصفية والتوزيع وتركيب البرمجيات الخبيثة مع الاعتماد على بنيته التحتية الخاصة بدلاً من قنوات طرف ثالث.
