كشف باحثون في الأمن السيبراني تفاصيل حملة خبيثة جديدة أطلق عليها اسم SHADOW#REACTOR، تستهدف أنظمة ويندوز عبر سلسلة هجوم متعددة المراحل تهدف إلى نشر أداة التحكم عن بُعد التجارية Remcos RAT، ومن ثم إنشاء وصول مستمر وسري إلى الأجهزة المصابة.
الحملة تعتمد على مسار تنفيذ محكم يبدأ بتشغيل ملف VBS مشفر عبر أداة wscript.exe، والذي يستدعي لاحقاً برنامج PowerShell لتنزيل حمولة نصية مجزأة من خادم بعيد. هذه الأجزاء يعاد تجميعها وتحويلها إلى محمل مشفر، ثم تُفك شفرته في الذاكرة باستخدام تجميع محمي بـ .NET Reactor، ليتم بعدها جلب إعدادات Remcos وتطبيقها. المرحلة الأخيرة تستغل أداة MSBuild.exe كأحد ملفات ويندوز الشرعية (LOLBin) لإكمال التنفيذ، مما يؤدي إلى نشر الباب الخلفي Remcos RAT والسيطرة على النظام.
طبيعة الاستهداف والجهات المحتملة
الباحثون في شركة Securonix أوضحوا أن النشاط واسع النطاق ويستهدف بشكل أساسي المؤسسات والشركات الصغيرة والمتوسطة. الأدوات والتقنيات المستخدمة تتماشى مع أساليب وسطاء الوصول الأولي الذين يحصلون على موطئ قدم داخل بيئات مستهدفة ثم يبيعون هذا الوصول لمهاجمين آخرين لتحقيق مكاسب مالية.
حتى الآن، لا توجد أدلة تربط الحملة بمجموعة تهديد معروفة، ما يعكس طبيعتها الانتهازية وغياب هوية واضحة للجهة المسؤولة عنها.
أساليب التمويه والتعقيد
أحد أبرز الجوانب غير التقليدية في هذه الحملة هو اعتمادها على مراحل وسيطة نصية فقط، إلى جانب استخدام PowerShell لإعادة البناء داخل الذاكرة، ومحمل محمي بـ .NET Reactor لتنفيذ المراحل التالية. هذا النهج يهدف إلى تعقيد عملية الكشف والتحليل، وإرباك أدوات مكافحة الفيروسات والبيئات الافتراضية التحليلية.
تبدأ السلسلة بتنزيل وتشغيل ملف VBS مشفر باسم “win64.vbs”، غالباً عبر تفاعل المستخدم مع روابط خبيثة أو رسائل تصيد. الملف يعمل كمنصة إطلاق خفيفة لحمولة PowerShell مشفرة بـ Base64، والتي بدورها تتواصل مع الخادم نفسه لجلب ملف نصي مثل “qpwoe64.txt” أو “qpwoe32.txt” حسب نوع النظام.
البرنامج النصي يدخل في حلقة تحقق من وجود الملف وحجمه، وإذا كان ناقصاً أو تالفاً يعيد التنزيل بشكل متكرر. هذه الآلية تمنح الحملة خاصية “التعافي الذاتي”، بحيث لا يؤدي فشل جزئي إلى انهيار السلسلة.
مرحلة التحميل النهائي ونشر Remcos RAT
عند تحقق الشروط، يتم إنشاء برنامج PowerShell ثانوي باسم “jdywa.ps1” في مجلد %TEMP%، ليقوم باستدعاء محمل .NET Reactor المسؤول عن تثبيت الاستمرارية، جلب المرحلة التالية من البرمجيات الخبيثة، وتطبيق تقنيات مضادة للتصحيح وللكشف داخل بيئات افتراضية.
في النهاية، يُطلق المحمل أداة Remcos RAT عبر عملية شرعية في ويندوز هي MSBuild.exe، كما يتم إسقاط ملفات إضافية لإعادة تشغيل “win64.vbs” عند الحاجة.
هذه السلوكيات مجتمعة تشير إلى إطار تحميل معياري يتم تحديثه باستمرار، مصمم للحفاظ على مرونة حمولة Remcos، وجعلها صعبة التصنيف أو الاكتشاف بالطرق التقليدية
