وركزت الحملة الحالية بشكل دقيق على أفراد محددين، وهم: العلماء في مجالات العلوم السياسية، والعلاقات الدولية، والاقتصاد العالمي، العاملين في الجامعات الكبرى ومؤسسات الأبحاث الروسية. يأتي ذلك بعد أن ركزت الهجمات السابقة في الربيع على المؤسسات.
بداية الهجوم: رسائل بريد إلكتروني مفخخة
تبدأ الهجمات برسائل بريد إلكتروني تزعم أنها صادرة من المكتبة العلمية الإلكترونية الروسية “eLibrary”، مُرسلة من عنوان “support@e-library[.]wiki”. جرى تسجيل هذا النطاق في مارس 2025، أي قبل ستة أشهر من بداية الحملة، مما يشير إلى أن الاستعدادات للهجوم كانت جارية منذ مدة.
ولتجنب إثارة الشكوك المرتبطة عادة بإرسال رسائل من نطاق مسجل حديثاً، قام المهاجمون بشيخوخة النطاق إستراتيجياً. كما استضافوا نسخة من الصفحة الرئيسية الشرعية للمكتبة (elibrary[.]ru) على النطاق المزيف للحفاظ على الخدعة.
آلية التنفيذ والتشخيص الشخصي
تطلب الرسائل من الضحايا المحتملين النقر على رابط مضمن يشير إلى الموقع الضار لتنزيل تقرير عن الانتحال العلمي. في حال امتثال الضحية، يتم تنزيل أرشيف مضغوط على جهازه بنمط تسمية شخصي للغاية: “<الاسم_الأخير><الاسم_الأول><الاسم_الأبوي>.zip”.
صممت هذه الروابط لاستخدام لمرة واحدة؛ فأي محاولات لاحقة للوصول إلى الرابط تعرض رسالة باللغة الروسية تقول: “فشل التنزيل، يرجى المحاولة مرة أخرى لاحقاً”. إذا جرى محاولة التنزيل من نظام غير ويندوز، يُطلب من المستخدم “المحاولة مرة أخرى على جهاز كمبيوتر يعمل بنظام Windows”.
يحتوي الأرشيف على اختصار ويندوز (LNK) بنفس الاسم، والذي عند تنفيذه يُشغل سكريبت باورشيل لتنزيل وتشغيل حمولة تعتمد على باورشيل من خادم بعيد. تتصل الحمولة بعد ذلك بعنوان URL لاسترداد ملف DLL نهائي وتثبيته باستخدام تقنية اختطاف COM. كما تقوم بتنزيل وعرض ملف PDF طُعم للضحية.
الحمولة النهائية: إطار عمل للتسلل والتحكم عن بعد
الحمولة النهائية هي إطار عمل للتحكم والسيطرة والاختراق يُعرف باسم “Tuoni”، مما يمكن جهات التهديد من الحصول على وصول عن بعد إلى جهاز الضحية الذي يعمل بنظام ويندوز. واستناداً إلى الخط الزمني الطويل لهذا التهديد، من المرجح أن تستمر هذه المجموعة المتقدمة في استهداف الكيانات والأفراد محل الاهتمام داخل روسيا وبيلاروسيا.
