رصد باحثو Zscaler ThreatLabz في يناير 2026 حملة سيبرانية جديدة مرتبطة بجهة تهديد يُعتقد أنها ذات صلة بإيران، أطلق عليها اسم Dust Specter. الحملة استهدفت مسؤولين حكوميين في العراق عبر انتحال وزارة الخارجية العراقية لتوزيع برمجيات خبيثة غير موثقة سابقاً، منها SPLITDROP وTWINTASK وTWINTALK وGHOSTFORM.
الهجوم الأول يبدأ بملف RAR محمي بكلمة مرور يحتوي على محمل .NET باسم SPLITDROP، الذي يعمل كقناة لتثبيت وحدات إضافية مثل TWINTASK وTWINTALK.
آليات العمل والتخفي
الوحدة TWINTASK هي مكتبة DLL خبيثة يتم تحميلها عبر برنامج VLC الشرعي، وتقوم باستدعاء أوامر PowerShell كل 15 ثانية من ملف نصي داخلي، مع تسجيل النتائج في ملف آخر. أما TWINTALK فيعمل كمنسق اتصال مع خادم التحكم والسيطرة (C2)، ويقوم بتنزيل ورفع الملفات وتنفيذ الأوامر بشكل دوري مع تأخير عشوائي لتجنب الاكتشاف.
النسخة المطورة من الهجوم، GHOSTFORM، دمجت وظائف الوحدتين في ملف واحد، واعتمدت على تنفيذ أوامر PowerShell في الذاكرة مباشرةً دون كتابة آثار على القرص، ما يزيد من صعوبة رصدها.
تقنيات التضليل والذكاء الاصطناعي
بعض نسخ GHOSTFORM تضمنت رابطاً ثابتاً إلى نموذج Google Forms مكتوب بالعربية، يظهر كاستبيان رسمي من وزارة الخارجية العراقية، في محاولة لإضفاء الشرعية على النشاط الخبيث. تحليل الشيفرة كشف أيضاً عن وجود رموز تعبيرية ونصوص Unicode وقيم مؤقتة، ما يشير إلى احتمال استخدام أدوات الذكاء الاصطناعي التوليدية في تطوير البرمجيات.
كما استخدم Dust Specter تقنيات مثل geofencing والتحقق من User-Agent لضمان أن الطلبات صادرة من أنظمة مصابة بالفعل، إضافة إلى استغلال بنية تحتية حكومية عراقية لنشر الحمولة الخبيثة.
ارتباطات سابقة وتكتيكات اجتماعية
النطاق المرتبط بـ TWINTALK، وهو “meetingapp[.]site”، سبق استخدامه في يوليو 2025 لاستضافة صفحة مزيفة لاجتماع Cisco Webex، حيث طُلب من المستخدمين تشغيل سكربت PowerShell للانضمام، وهو أسلوب مشابه لهجمات ClickFix. هذه التكتيكات، إلى جانب استخدام برمجيات .NET خفيفة الوزن، تتماشى مع أنماط مجموعات إيرانية مثل OilRig (APT34)، ما يعزز فرضية ارتباط Dust Specter بإيران.
