كشفت شركة الأمن السيبراني “كوي سيكيوريتي” عن حملة جديدة تحمل اسم DarkSpectre، مرتبطة بجهة تهديد صينية، بعد أن أثرت على أكثر من 2.2 مليون مستخدم لمتصفحات غوغل كروم، مايكروسوفت إيدج، وموزيلا فايرفوكس. هذه الحملة تأتي امتداداً لسلسلة هجمات سابقة عُرفت باسم ShadyPanda وGhostPoster، والتي تسببت مجتمعة في اختراق بيانات أكثر من 8.8 مليون مستخدم خلال سبع سنوات. التحقيقات أظهرت أن هذه الامتدادات لم تكن مجرد أدوات عادية، بل صُممت خصيصاً لسرقة البيانات، التلاعب بنتائج البحث، وتنفيذ عمليات احتيال إعلاني واسعة النطاق.
حملة ShadyPanda واستهداف المستخدمين
في ديسمبر الماضي، تمكنت الشركة من كشف حملة ShadyPanda التي استهدفت مستخدمي المتصفحات الثلاثة عبر أكثر من 100 امتداد خبيث. هذه الامتدادات، ومنها إضافة “New Tab – Customized Dashboard” على إيدج، تضمنت ما يُعرف بـ”القنبلة المنطقية” التي تؤخر تفعيل النشاط الخبيث ثلاثة أيام بعد التثبيت، بهدف خداع أنظمة المراجعة والحصول على موافقة النشر. وقد أثرت هذه الحملة على نحو 5.6 مليون مستخدم، بينهم 1.3 مليون ضحية جديدة، فيما لا يزال تسعة امتدادات نشطة حتى الآن، إلى جانب 85 امتداداً “نائماً” بانتظار التحديثات الخبيثة.
حملة GhostPoster وتوظيف أدوات وهمية
أما حملة GhostPoster فقد ركزت على مستخدمي فايرفوكس، حيث استغلت إضافات تبدو كأدوات VPN أو خدمات ترجمة، لكنها في الحقيقة كانت تُحقن بشيفرات جافاسكريبت خبيثة لسرقة الروابط التابعة، زرع أكواد تتبع، وتنفيذ عمليات احتيال إعلاني. ومن بين أبرز الاكتشافات امتداد “Google Translate” على متصفح أوبرا، الذي وصل عدد مرات تثبيته إلى نحو مليون، ما يعكس حجم الثقة التي اكتسبتها هذه الأدوات المزيفة قبل أن تتحول إلى منصات لنشر البرمجيات الضارة.
حملة Zoom Stealer والتجسس المؤسسي
أحدث الاكتشافات المرتبطة بـDarkSpectre هو حملة Zoom Stealer، التي تضمنت 18 امتداداً تستهدف منصات الاجتماعات الافتراضية مثل Zoom وGoogle Meet وMicrosoft Teams. هذه الامتدادات كانت قادرة على جمع بيانات حساسة تتعلق بالاجتماعات، بما في ذلك روابط الدخول وكلمات المرور المدمجة، معرفات الاجتماعات، المواضيع، الأوقات المجدولة، وحالة التسجيل. الأخطر أن هذه الأدوات كانت تستخرج أيضاً معلومات عن المتحدثين والمضيفين، مثل الأسماء، الصور، المناصب، والانتماءات المؤسسية، إضافة إلى الشعارات والمواد الترويجية، ما يجعلها بنية تحتية للتجسس المؤسسي أكثر من كونها مجرد عمليات احتيال استهلاكي. الباحثون وصفوا هذه الحملة بأنها “بنية تحتية للتجسس المؤسسي”، حيث يتم بيع البيانات لمهاجمين آخرين واستخدامها في عمليات انتحال هوية وهجمات هندسة اجتماعية واسعة النطاق.
دلائل على ارتباط صيني
التحقيقات ربطت هذه الحملات بجهة تهديد صينية عبر عدة مؤشرات، منها استخدام خوادم تحكم وسيطرة مستضافة على “علي بابا كلاود”، تسجيلات ICP مرتبطة بمقاطعات صينية مثل هوبي، وتعليقات برمجية مكتوبة باللغة الصينية. كما استهدفت بعض الحملات منصات التجارة الإلكترونية الصينية مثل JD.com وTaobao، ما يعزز فرضية أن هذه الهجمات جزء من نشاط منظم طويل الأمد. ويرى خبراء الأمن أن DarkSpectre لا يزال في مرحلة بناء الثقة، عبر نشر امتدادات تبدو شرعية وتحصد تقييمات إيجابية، قبل أن يتم تفعيلها لاحقاً في موجات جديدة من الهجمات.
