أفاد مركز تنسيق الأمن السيبراني الياباني JPCERT/CC بأن مجموعة التهديد المعروفة باسم APT-C-60 واصلت هجماتها ضد اليابان خلال الفترة ما بين يونيو وأغسطس 2025، مستخدمة رسائل تصيّد موجهة (Spear-Phishing) تنتحل صفة باحثين عن عمل. الهدف من هذه الرسائل هو خداع الضحايا لتنزيل ملفات خبيثة تؤدي في النهاية إلى تثبيت برمجية التجسس SpyGlace.
تطور في أسلوب توزيع الملفات
في الهجمات السابقة، كان الضحايا يُوجّهون إلى تنزيل ملف VHDX من خدمة Google Drive، لكن في أحدث الحملات تم إرفاق الملف مباشرة داخل البريد الإلكتروني. عند فتح الملف، يجد المستلم اختصاراً (LNK) يؤدي إلى تشغيل سكربت خبيث عبر أداة Git، وهي أداة شرعية تُستخدم عادة في إدارة الملفات البرمجية، ما يزيد من صعوبة اكتشاف النشاط الضار.
الاعتماد على GitHub بدلاً من Bitbucket
التحقيقات أوضحت أن الهجمات الأخيرة اعتمدت على منصة GitHub لتنزيل المكونات الرئيسية للبرمجية الخبيثة، وهو تحول ملحوظ عن الهجمات السابقة التي كانت تستخدم Bitbucket كمصدر للتوزيع. هذا التغيير يعكس قدرة المهاجمين على التكيف مع إجراءات الحماية، والبحث عن منصات أكثر شيوعاً لتضليل أنظمة المراقبة الأمنية.
دلالات أمنية على مستوى المؤسسات
استخدام ملفات VHDX مرفقة بالبريد الإلكتروني، إلى جانب استغلال أدوات شرعية مثل Git وGitHub، يبرز خطورة هذه الهجمات ويؤكد أن المهاجمين يسعون إلى تجاوز أنظمة الكشف التقليدية. المؤسسات اليابانية، خاصة في القطاعات الحكومية والبحثية، مطالبة بتعزيز إجراءات الفحص للبريد الإلكتروني، وتطبيق سياسات صارمة لمنع تشغيل الملفات المرفقة غير الموثوقة.
