أشارت تقارير ReliaQuest إلى أن BaoLoader برز كأحد أخطر التهديدات بين سبتمبر ونوفمبر 2025، إلى جانب حملات ClickFix وMaverick. بخلاف البرمجيات الخبيثة التقليدية التي تسرق الشهادات، يعتمد مشغلو BaoLoader على تسجيل شركات حقيقية في بنما وماليزيا للحصول على شهادات توقيع برمجية صادرة عن جهات موثوقة. هذه الشهادات تمنح البرمجيات الخبيثة مظهراً شرعياً أمام المستخدمين وأدوات الأمن، ما يسمح لها بالعمل دون اكتشاف، وغالباً ما تُصنف على أنها برامج غير مرغوبة (PUPs) بدلاً من تهديدات فعلية.
آلية التشغيل واستغلال node.exe
بمجرد إطلاقه، يستغل BaoLoader ملف node.exe لتشغيل شيفرات JavaScript خبيثة، تُستخدم في الاستطلاع، وتنفيذ الأوامر داخل الذاكرة، وفتح أبواب خلفية للوصول المستمر. هذه التقنية تمنح المهاجمين قدرة على التحكم بالنظام دون الحاجة إلى كتابة ملفات إضافية على القرص، ما يصعّب عملية الكشف.
إخفاء الاتصالات عبر الخدمات السحابية
واحدة من أبرز ميزات BaoLoader هي تمرير حركة الاتصال مع خوادم التحكم (C2) عبر خدمات سحابية شرعية، ما يجعل حركة البيانات تبدو وكأنها نشاط تجاري طبيعي. هذا الأسلوب يضعف فعالية أنظمة الحجب القائمة على السمعة، ويمنح المهاجمين قدرة أكبر على التخفي داخل بيئات الشركات.
دلالات أمنية على المشهد السيبراني
ظهور هذه التهديدات الثلاثة يعكس تطوراً ملحوظاً في تكتيكات المهاجمين، حيث لم يعد الاعتماد فقط على استغلال الثغرات، بل على بناء واجهات شرعية تخدع المستخدمين والأنظمة الأمنية معاً. هذا يفرض على المؤسسات تعزيز قدراتها في تحليل السلوكيات بدلاً من الاكتفاء بالاعتماد على التوقيعات أو السمعة الرقمية.
