حملات سيبرانية مرتبطة بباكستان تستهدف كيانات حكومية هندية

كشف خبراء الأمن السيبراني عن حملتين جديدتين تستهدفان كيانات حكومية في الهند، يُعتقد أنهما من تنفيذ مجموعة تهديد تعمل من باكستان باستخدام أساليب غير موثقة سابقاً. وقد أطلق على الحملتين اسم Gopher Strike و Sheet Attack من قبل فريق Zscaler ThreatLabz الذي رصد النشاط في سبتمبر 2025.

Sheet Attack: استغلال خدمات شرعية للتحكم والسيطرة

حملة Sheet Attack تعتمد على استخدام خدمات شرعية مثل Google Sheets و Firebase والبريد الإلكتروني كقنوات للتحكم والسيطرة (C2). هذا النهج يعكس تطوراً في أساليب المهاجمين، حيث يتم استغلال منصات موثوقة لتجنب الاشتباه والمرور عبر أنظمة الدفاع دون إثارة إنذارات مبكرة.

Gopher Strike: هجمات تصيّد عبر تحديثات مزيفة

أما حملة Gopher Strike فقد بدأت برسائل تصيّد تحتوي على ملفات PDF مزيفة، تعرض صورة مشوشة مع نافذة منبثقة توهم المستخدم بضرورة تثبيت تحديث لبرنامج Adobe Acrobat Reader DC. الضغط على زر “تحميل وتثبيت” يؤدي إلى تنزيل ملف ISO خبيث، لكن فقط إذا كان الطلب صادراً من عنوان IP داخل الهند وباستخدام نظام تشغيل ويندوز، مما يضمن استهداف الضحايا المقصودين فقط.

أدوات الهجوم: GOGITTER و GITSHELLPAD

الحمولة الخبيثة داخل ملف ISO هي أداة تحميل مكتوبة بلغة Golang تُعرف باسم GOGITTER، مسؤولة عن إنشاء ملف VBScript في مجلدات النظام الشائعة، ثم جلب أوامر جديدة كل 30 ثانية من خوادم C2 محددة مسبقاً. كما يضيف المهاجمون آلية استمرارية عبر جدولة المهام لتشغيل السكربت كل 50 دقيقة.

في حال عدم وجود ملف “adobe_update.zip”، يقوم GOGITTER بجلبه من مستودع خاص على GitHub، ثم يرسل إشارة إلى نطاق “adobe-acrobat[.]in” لتأكيد إصابة الجهاز. بعد ذلك يتم استخراج ملف edgehost.exe، وهو باب خلفي خفيف يُعرف باسم GITSHELLPAD، يعتمد على مستودعات GitHub خاصة للتحكم والسيطرة. هذه الأداة تستقبل أوامر كل 15 ثانية وتنفذها، بما في ذلك رفع وتنزيل الملفات وتشغيل الأوامر في الخلفية.

مرحلة متقدمة: GOSHELL و Cobalt Strike

رصد الباحثون أيضاً قيام المهاجمين بتنزيل أرشيفات RAR تحتوي على أدوات لجمع معلومات النظام، إضافة إلى مُحمّل مخصص يُعرف باسم GOSHELL. هذا المُحمّل مكتوب بلغة Golang ويُستخدم لتسليم Cobalt Strike Beacon بعد عدة مراحل من فك التشفير. اللافت أن حجم GOSHELL تم تضخيمه إلى نحو 1 جيجابايت عبر إضافة بيانات غير مفيدة لتجاوز أنظمة مكافحة الفيروسات، كما أنه لا يعمل إلا على أجهزة محددة مسبقاً عبر مطابقة أسماء المضيفين.

هذه الحملات تعكس مستوى عالياً من التخطيط والتخصيص، حيث يتم استغلال خدمات موثوقة مثل GitHub وGoogle Sheets لتجنب الاكتشاف، مع اعتماد تقنيات متقدمة لضمان استمرارية الهجوم وتقييد التنفيذ على أهداف محددة.