آلية الهجوم والتسلل الخفي
بدأ الهجوم باستخدام هندسة اجتماعية عبر تطبيق Microsoft Teams، حيث انتحل المهاجمون هويات موردين موثوقين أو زملاء work لجذب موظف في الشركة لتنفيذ أمر PowerShell. قام هذا الأمر بتحميل سكريبت ثانٍ من خادم خارجي، استخدم بدوره تقنية إخفاء البيانات في صورة نقطية (BMP) لإخفاء الحمولة الخبيثة المرحلية التالية. وتهدف هذه الحمولة إلى استخراج شفرة القشرة وتنفيذها مباشرة في الذاكرة.
إطار “توني” وتقنيات التمويه
أدى تنفيذ الحمولة إلى تشغيل “TuoniAgent.dll”، وهو عميل يعمل داخل الجهاز المستهدف ويتصل بخادم التحكم والسيطرة. ويُعتبر “توني” إطاراً متطوراً مصمماً لمحترفي الأمن، مع توفر نسخة مجانية على GitHub منذ أوائل 2024. ورغم أن الإطار تقليدي في تصميمه، إلا أن آلية التسليم أظهرت علامات على الاستعانة بالذكاء الاصطناعي في توليد التعليمات البرمجية، كما يتضح من التعليقات النصية والهيكل النمطي للحمال الأولي.
اتجاه متزايد لاستغلال أدوات الأمن
يمثل هذا الهجوم، رغم فشله النهائي، استمراراً لظاهرة إساءة استخدام أدرق اختبار الاختراق والأمن لأغراض ضارة. وفي سياق متصل، كشفت تقارير سابقة عن استخدام أدوات مدعومة بالذكاء الاصطناعي مثل “HexStrike AI” لتسريع استغلال الثغرات الأمنية بشكل مبسط، مما يسلط الضوء على تحول خطير في مشهد التهديدات الإلكترونية
