كشفت شركة كاسبرسكي للأمن الإلكتروني عن حملة إلكترونية جديدة تنفذها مجموعة تهديدات تعرف باسم “الذئب الدامي” (Bloody Wolf) تستهدف بشكل أساسي مؤسسات في أوزبكستان وروسيا، باستخدام حصان طروادة للوصول عن بعد يُعرف باسم NetSupport RAT. تُتابع كاسبرسكي هذا النشاط تحت الاسم الرمزي Stan Ghouls، وهي مجموعة معروفة بنشاطها منذ عام 2023 على الأقل، حيث قامت بتنظيم هجمات تصيد متخصص ضد قطاعات التصنيع والتمويل وتكنولوجيا المعلومات في روسيا وقيرغيزستان وكازاخستان وأوزبكستان.
تشير التقديرات إلى أن الحملة الجديدة نجحت في اختراق حوالي 50 ضحية في أوزبكستان، مع تأثر 10 أجهزة في روسيا. كما تم رصد إصابات بدرجة أقل في كازاخستان وتركيا وصربيا وروسيا البيضاء. سُجلت محاولات اختراق على أجهزة ضمن منظمات حكومية وشركات لوجستية ومرافق طبية ومؤسسات تعليمية. علقت كاسبرسكي قائلة: “بالنظر إلى استهداف ستان غولز للمؤسسات المالية، نعتقد أن دافعهم الأساسي هو الكسب المالي. ومع ذلك، فإن استخدامهم المكثف لأحصنة طروادة الوصول عن بعد قد يشير أيضاً إلى تجسس إلكتروني”.
تطور التكتيكات: التحول من أدوات ضارة إلى برامج مشروعة مسيئة
يمثل إساءة استخدام NetSupport -وهو أداة إدارة عن بعد مشروعة- تحولاً تكتيكياً لمجموعة الذئب الدامي، التي اعتمدت سابقاً على حصان طروادة STRRAT في هجماتها. في نوفمبر 2025، وثقت شركة Group-IB هجمات تصيد استهدفت كيانات في قيرغيزستان لتوزيع هذه الأداة. تكمن خطورة هذا التحول في قدرة البرامج المشروعة على تجاوز أنظمة الحماية التقليدية التي قد تتعرف عليها كتطبيقات موثوقة.
تعتمد سلاسل الهجوم على رسائل بريد إلكتروني تصيدية تحتوي على مرفقات PDF ضارة تُستخدم كنقطة انطلاق لتحفيز عملية الإصابة. تحتوي مستندات PDF على روابط مضمنة، عند النقر عليها، تؤدي إلى تحميل محمِّل ضار يتولى مهام متعددة: عرض رسالة خطأ مزيفة لإيهام الضحية بأن التطبيق لا يمكنه التشغيل على جهازه، والتحقق مما إذا كان عدد محاولات تثبيت حصان طروادة السابقة أقل من ثلاث مرات، ثم تحميل NetSupport RAT من أحد النطاقات الخارجية العديدة وإطلاقه، وأخيراً ضمان استمرارية حصان طروادة عبر تكوين نص تشغيل تلقائي في مجلد بدء التشغيل وإضافة نص تشغيل NetSupport إلى مفتاح التشغيل التلقائي في السجل وإنشاء مهمة مجدولة لتحفيز تنفيذ النص الدفعي نفسه.
توسع التهديد: من أجهزة الحاسوب إلى أجهزة إنترنت الأشياء
كشفت كاسبرسكي أيضاً عن حمولات برمجية خاصة ببوتنت ميراي مخزنة على بنية تحتية مرتبطة بالذئب الدامي، مما يزيد من احتمال قيام جهة التهديد بتوسيع ترسانتها من البرامج الضارة لاستهداف أجهزة إنترنت الأشياء. علقت الشركة: “مع إصابة أكثر من 60 هدفاً، يعد هذا حجمًا مرتفعًا بشكل ملحوظ لحملة مستهدفة متطورة. وهو يشير إلى الموارد الكبيرة التي ترغب هذه الجهات الفاعلة في استثمارها في عملياتها”.
يتزامن هذا الكشف مع عدد من الحملات الإلكترونية التي تستهدف المنظمات الروسية، بما في ذلك تلك التي تنفذها مجموعة ExCobalt، التي استغلث ثغرات أمنية معروفة وبيانات اعتماد مسروقة من المقاولين للحصول على وصول أولي إلى الشبكات المستهدفة. وصفت شركة Positive Technologies الخصم بأنه أحد “أخطر المجموعات” التي تهاجم الكيانات الروسية.
مشهد التهديدات المتنامي: مجموعات جديدة وأساليب متطورة
تستهدف مؤسسات الدولة والمؤسسات العلمية والمنظمات التكنولوجية في روسيا أيضاً من قبل جهة تهديد غير معروفة سابقاً تُعرف باسم بونيشينغ أوول (Punishing Owl) التي لجأت إلى سرقة وتسريب البيانات على الشبكة المظلمة. يُشتبه في أن المجموعة، التي تنشط منذ ديسمبر 2025، هي كيان اختراقي بدوافع سياسية، حيث تدير أحد حساباتها على وسائل التواصل الاجتماعي من كازاخستان.
تستخدم هجمات هذه المجموعة رسائل بريد إلكتروني تصيدية تحتوي على أرشيف ZIP محمي بكلمة مرور، عند فتحه، يحتوي على اختصار ويندوز يتخفى في صورة مستند PDF. يؤدي فتح ملف LNK إلى تنفيذ أمر PowerShell لتنزيل برنامج سرقة يُدعى ZipWhisper من خادم بعيد لجمع البيانات الحساسة وتحميلها إلى نفس الخادم.
كما تستهدف مجموعة تهديدات أخرى تُعرف باسم فورتكس ويروولف (Vortex Werewolf) روسيا وروسيا البيضاء، بهدفها النهائي نشر Tor وOpenSSH لتسهيل الوصول عن بعد المستمر. سبق الكشف عن هذه الحملة في نوفمبر 2025 من قبل شركتي Cyble وSeqrite Labs، حيث وصفت الأخيرة الحملة بأنها تشكل تهديداً متطوراً للمؤسسات في المنطقة.
