كشف تقرير صادر عن فريق الاستخبارات في شركة S2 Grupo LAB52 أن جهات أوكرانية تعرضت في فبراير 2026 لهجوم سيبراني جديد يُعتقد أنه مرتبط بجهات تهديد روسية. الحملة تحمل سمات مشابهة لهجمات سابقة نفذتها مجموعة Laundry Bear (المعروفة أيضاً باسم UAC‑0190 أو Void Blizzard) ضد القوات الدفاعية الأوكرانية باستخدام عائلة برمجيات خبيثة تدعى PLUGGYAPE.
الهجوم الأخير اعتمد على برمجية خلفية جديدة تحمل اسم DRILLAPP، وهي قادرة على رفع وتنزيل الملفات، استخدام الميكروفون، والتقاط صور عبر الكاميرا، وذلك من خلال استغلال خصائص متقدمة في متصفح Microsoft Edge.
آلية الهجوم وتقنيات التسلل
النسخة الأولى من الحملة، التي رُصدت مطلع فبراير، استخدمت ملفات اختصار Windows LNK لإنشاء تطبيق HTML مؤقت، يقوم بتحميل سكربت بعيد من خدمة Pastefy الشرعية. ولضمان الاستمرارية، يتم نسخ ملفات LNK إلى مجلد بدء التشغيل في ويندوز لتعمل تلقائياً بعد إعادة تشغيل النظام.
الملف التنفيذي يُشغَّل عبر متصفح إيدج في وضع headless مع تفعيل معلمات خطيرة مثل:
- –no-sandbox لتعطيل العزل الأمني.
- –disable-web-security لإلغاء قيود الأمان.
- –use-fake-ui-for-media-stream للسماح بالوصول إلى الكاميرا والميكروفون دون تدخل المستخدم.
بهذا الشكل، يتحول المتصفح إلى أداة تجسس خفية تمنح المهاجمين وصولاً إلى الملفات المحلية، الكاميرا، الميكروفون، وحتى تسجيل الشاشة.
قدرات التجسس والتطوير المستمر
البرمجية تقوم أيضاً بإنشاء بصمة رقمية للجهاز باستخدام تقنية canvas fingerprinting، وترسلها مع بيانات الدولة المستهدفة وفقاً للمنطقة الزمنية. وقد حددت قائمة من الدول بينها أوكرانيا، الولايات المتحدة، روسيا، ألمانيا، الصين، اليابان، وغيرها.
النسخة الثانية من الحملة، التي ظهرت أواخر فبراير، استبدلت ملفات LNK بوحدات Control Panel لكنها حافظت على تسلسل العدوى نفسه. كما تمت إضافة قدرات جديدة مثل التعداد التكراري للملفات، رفع دفعات من الملفات، وتنزيل ملفات عشوائية.
ولتنفيذ هذه العمليات، استغل المهاجمون بروتوكول Chrome DevTools Protocol (CDP)، وهو بروتوكول داخلي في المتصفحات المبنية على كروميوم، لا يعمل إلا عند تفعيل منفذ التصحيح عن بُعد.
دلالات أمنية واستنتاجات أولية
يُعتقد أن البرمجية لا تزال في مراحلها الأولى من التطوير، حيث رُصدت نسخة مبكرة منها في يناير 2026 تتواصل فقط مع نطاق مشبوه هو gnome[.]com.
اللافت في هذه الحملة هو اعتماد المتصفح كوسيلة لنشر باب خلفي، وهو نهج جديد يهدف إلى التهرب من أنظمة الكشف التقليدية. فالمتصفح يُعتبر عملية شرعية وغير مثيرة للريبة، لكنه يوفر إمكانيات واسعة عبر معلمات التصحيح تسمح بتنفيذ أفعال غير آمنة مثل تنزيل ملفات عن بُعد أو الوصول إلى موارد حساسة كالميكروفون والكاميرا دون إنذارات فورية.
