رُصدت حملة إلكترونية جديدة يقودها تهديد يُعرف باسم GrayCharlie، المعروف أيضاً بأسماء مستعارة مثل HANEYMANEY وSmartApeSG وZPHP. يقوم هذا الفاعل باختراق مواقع ووردبريس وإدخال روابط خبيثة إلى ملفات JavaScript خارجية، تعمل على إعادة توجيه الزوار نحو صفحات تحديث متصفح مزيفة أو آليات تُعرف باسم ClickFix، والتي تُستخدم لتوزيع برمجية التحكم عن بُعد NetSupport RAT. هذه التقنية تمنح المهاجمين قدرة على السيطرة الكاملة على الأجهزة المستهدفة، بما يشمل سرقة البيانات وتنفيذ أوامر عن بُعد.
خلفية زمنية وتطور الهجوم
بدأت هذه الحملة في منتصف عام 2023، لكنها شهدت تصاعداً ملحوظاً خلال عامي 2024 و2025. وفقاً لتقارير شركة الأمن السيبراني Recorded Future، فإن هذه العدوى لا تتوقف عند نشر NetSupport RAT، بل غالباً ما تتطور إلى تثبيت برمجيات أكثر خطورة مثل StealC وSectopRAT، ما يزيد من حجم الأضرار المحتملة على المؤسسات والأفراد. هذه البرمجيات تُستخدم عادةً لسرقة كلمات المرور، بيانات الاعتماد، والمعلومات الحساسة المخزنة على الأجهزة.
استهداف قطاعات متعددة مع تركيز على القانون
على الرغم من أن معظم المواقع المستهدفة تبدو عشوائية وتشمل صناعات متنوعة، إلا أن الباحثين الأمنيين لاحظوا وجود مجموعة من مواقع شركات محاماة أمريكية تعرضت للاختراق في نوفمبر 2025. يُرجح أن هذه الهجمات تمت عبر هجوم سلسلة توريد، حيث استغل المهاجمون مزود خدمات تقنية معلومات مشترك بين تلك الشركات. هذا النوع من الهجمات يُعتبر بالغ الخطورة لأنه يستهدف البنية التحتية المشتركة، ما يتيح للمهاجمين الوصول إلى عدة كيانات في وقت واحد.
دلالات أمنية وتحذيرات مستقبلية
تكشف هذه الحملة عن استمرار اعتماد المهاجمين على منصات شائعة مثل ووردبريس، مستغلين ثغرات أو ضعف إجراءات الحماية لدى أصحاب المواقع. كما أن استخدام صفحات تحديث متصفح مزيفة يُظهر تطوراً في أساليب الهندسة الاجتماعية، حيث يعتمد المهاجمون على خداع المستخدمين لدفعهم إلى تثبيت البرمجيات الخبيثة بأنفسهم. الخبراء يحذرون من أن هذه الهجمات قد تتوسع لتشمل قطاعات أخرى أكثر حساسية مثل الرعاية الصحية أو المؤسسات الحكومية، إذا لم يتم تعزيز إجراءات الحماية والتحديث المستمر للأنظمة.
