كشف خبراء الأمن السيبراني عن تفاصيل حملة خبيثة جديدة استهدفت كيانات حكومية وسياسية في الولايات المتحدة باستخدام رسائل تصيّد موجهة تحمل طابعاً سياسياً مرتبطاً بالتطورات الجيوسياسية بين واشنطن وكاراكاس. الحملة وزّعت ملفاً مضغوطاً بعنوان “US now deciding what’s next for Venezuela.zip” يحتوي على مكتبة DLL خبيثة يتم تشغيلها عبر تقنية DLL Side-Loading، وهي طريقة شائعة لدى مجموعات التجسس الصينية.
مجموعة Mustang Panda وراء الهجوم
نُسبت هذه الأنشطة، وفق تقييم متوسط الثقة، إلى مجموعة صينية مدعومة من الدولة تُعرف باسم Mustang Panda (وتُعرف أيضاً بأسماء Earth Pret وHoneyMyte وTwill Typhoon). هذه المجموعة معروفة بالاعتماد المكثف على تقنية DLL Side-Loading لتشغيل أبواب خلفية مثل TONESHELL، والآن تُضاف إليها أداة جديدة هي LOTUSLITE.
خصائص الباب الخلفي LOTUSLITE
الملف الخبيث kugou.dll يمثل باباً خلفياً مخصصاً بلغة ++C، صُمم للتواصل مع خادم تحكم وسيطرة (C2) عبر واجهات WinHTTP في نظام ويندوز. يتيح هذا التواصل تنفيذ أوامر عن بُعد، جمع البيانات، وإرسالها إلى المهاجمين. ومن أبرز الأوامر التي يدعمها:
- فتح جلسة CMD عن بُعد (0x0A)
- إنهاء الجلسة (0x0B)
- إرسال أوامر عبر الجلسة (0x01)
- إعادة ضبط حالة Beacon (0x06)
- استعراض الملفات في مجلد (0x03)
- إنشاء ملف فارغ (0x0D)
- إضافة بيانات إلى ملف (0x0E)
- الحصول على حالة Beacon (0x0F)
كما يملك البرمجية القدرة على تثبيت نفسها بشكل دائم عبر تعديل سجل ويندوز، بحيث تُنفذ تلقائياً عند تسجيل الدخول.
تقنيات إضافية وأدوات مرتبطة
أشارت شركة Acronis إلى أن LOTUSLITE يُظهر سلوكيات مشابهة لأداة Claimloader، التي تُستخدم بدورها لنشر أداة أخرى تُعرف باسم PUBLOAD. وقد وثّقت IBM X-Force هذه الأدوات في يونيو 2025 ضمن حملة تجسس استهدفت المجتمع التبتي.
التحليل الأمني أوضح أن الحملة تعتمد على تقنيات بسيطة لكنها مجرّبة وفعالة، حيث يفضل المهاجمون الاعتماد على التصيّد الموجه المرتبط بقضايا سياسية بدلاً من استغلال ثغرات معقدة، مما يعكس تركيزهم على الاعتمادية التشغيلية أكثر من السعي وراء تقنيات مراوغة متقدمة.
خلفية سياسية تزيد من خطورة المشهد
تزامن الكشف عن هذه الحملة مع تقرير نشرته صحيفة نيويورك تايمز حول هجوم سيبراني أميركي استهدف العاصمة الفنزويلية كاراكاس مطلع يناير 2026، حيث تسبب بانقطاع الكهرباء عن معظم السكان لبضع دقائق، فيما بقيت بعض المناطق قرب القاعدة العسكرية بلا كهرباء لمدة وصلت إلى 36 ساعة. هذا الهجوم سبق العملية العسكرية التي انتهت باعتقال الرئيس الفنزويلي نيكولاس مادورو ونقله إلى الولايات المتحدة لمواجهة تهم تتعلق بالمخدرات.
