كشفت فرق الأمن السيبراني عن موجة جديدة من الهجمات تستهدف مستخدمي الألعاب عبر الإنترنت، حيث يقوم المهاجمون بتوزيع أدوات ألعاب مخترقة (Trojanized Gaming Tools) عبر المتصفحات ومنصات الدردشة، بهدف نشر برمجيات الوصول عن بُعد (Remote Access Trojan – RAT) مبنية على لغة Java.
بحسب فريق استخبارات التهديدات في مايكروسوفت، يقوم الهجوم بتحميل نسخة محمولة من بيئة تشغيل Java، ثم تشغيل ملف خبيث باسم jd-gui.jar عبر أوامر PowerShell وأدوات نظامية مثل cmstp.exe، في محاولة للتنفيذ الخفي. ولزيادة صعوبة الكشف، يتم حذف أداة التحميل الأولية وتكوين استثناءات في برنامج Microsoft Defender لتجنب رصد مكونات البرمجية الخبيثة.
آليات التثبيت والاستمرار
الهجوم يعتمد على إنشاء مهمة مجدولة وسكربت بدء تشغيل باسم world.vbs لضمان الاستمرارية على الجهاز المصاب. بعد ذلك يتم نشر الحمولة النهائية التي تعمل كأداة متعددة الوظائف: محمّل، مشغّل، أداة تنزيل، وبرمجية RAT. هذه البرمجية تتصل بخادم خارجي على العنوان 79.110.49[.]15 لإدارة الأوامر والسيطرة، مما يسمح بسرقة البيانات ونشر حمولة إضافية.
ظهور عائلة جديدة من RAT
في سياق متصل، أعلنت شركة BlackFog عن اكتشاف عائلة جديدة من برمجيات RAT لنظام ويندوز تُعرف باسم Steaelite، تم الترويج لها في منتديات إجرامية أواخر 2025 باعتبارها “أفضل RAT لويندوز” مع قدرات غير قابلة للكشف (FUD). هذه البرمجية متوافقة مع ويندوز 10 و11، وتجمع بين سرقة البيانات ونشر الفدية ضمن لوحة تحكم واحدة، مع خطط لإضافة وحدة فدية خاصة بأندرويد.
تتضمن اللوحة أدوات للمهاجمين مثل تسجيل ضغطات المفاتيح، محادثة مباشرة مع الضحايا، البحث عن الملفات، الانتشار عبر USB، تعديل الخلفيات، تجاوز صلاحيات النظام (UAC bypass)، إضافة إلى وظائف “clipper” لسرقة محتوى الحافظة.
قدرات متقدمة وخطورة مضاعفة
تتميز Steaelite RAT بقدرات واسعة تشمل تنفيذ التعليمات البرمجية عن بُعد، إدارة الملفات والعمليات، مراقبة الكاميرا والميكروفون، سرقة كلمات المرور، تتبع الموقع، تنفيذ هجمات DDoS، وتجميع حمولة بلغة VB.NET. الباحثة الأمنية ويندي مكاغ أوضحت أن هذه الأداة تمنح المهاجمين لوحة تحكم عبر المتصفح لإدارة الأجهزة المصابة بشكل كامل، بما يشمل سرقة البيانات، مراقبة مباشرة، ونشر الفدية، مما يتيح لهم تنفيذ ابتزاز مزدوج من خلال أداة واحدة.
عائلات جديدة مرتبطة بحملات مستمرة
إلى جانب ذلك، رصد خبراء الأمن عائلتين جديدتين من RAT هما DesckVB RAT وKazakRAT، حيث توفران سيطرة شاملة على الأجهزة المصابة مع إمكانية نشر قدرات إضافية بعد الاختراق. وتشير تقارير Ctrl Alt Intel إلى أن KazakRAT مرتبط بمجموعة يُعتقد أنها مدعومة من دولة، تستهدف كيانات في كازاخستان وأفغانستان ضمن حملة مستمرة منذ أغسطس 2022.
