كشفت شركة Proofpoint المتخصصة في الأمن السيبراني عن تفاصيل حملة بريد إلكتروني موجهة يقودها مجموعة القرصنة الروسية TA446، المعروفة أيضًا بأسماء Callisto وCOLDRIVER وStar Blizzard. هذه المجموعة مرتبطة بشكل وثيق بجهاز الأمن الفيدرالي الروسي (FSB)، وقد اشتهرت سابقًا بهجمات التصيّد الاحتيالي لجمع بيانات اعتماد حساسة من شخصيات ومؤسسات بارزة. الجديد في هذه الحملة هو اعتماد المجموعة على أداة الاستغلال المسربة DarkSword لاستهداف أجهزة iOS، وهو ما يمثل نقلة نوعية في قدراتها الهجومية.
تفاصيل الحملة واستهداف شخصيات بارزة
الحملة الأخيرة اعتمدت على رسائل بريد إلكتروني مزيفة تحمل دعوات لمناقشات باسم Atlantic Council، وتم إرسالها من حسابات بريدية مخترقة بتاريخ 26 مارس 2026. هذه الرسائل كانت تهدف إلى نشر برمجية GHOSTBLADE لجمع البيانات عبر استغلال ثغرات في iOS باستخدام أداة DarkSword. من بين المستهدفين كان السياسي الروسي المعارض ليونيد فولكوف، مدير مؤسسة مكافحة الفساد، ما يعكس الطابع السياسي الواضح لهذه الهجمات. التحليل الآلي الذي أجرته Proofpoint كشف أن بعض الرسائل كانت تحتوي على ملفات PDF خادعة، بينما كان الاستغلال موجّهًا خصيصًا لمتصفحات iPhone.
أدوات وتقنيات متقدمة في الاستغلال
أداة DarkSword التي تم تسريبها على منصة GitHub توفر قدرات متقدمة تشمل تحميل الاستغلال، تنفيذ التعليمات البرمجية عن بُعد، وتجاوز آليات حماية Pointer Authentication Code (PAC). ورغم عدم وجود أدلة على استغلال ثغرات للهروب من بيئات العزل (sandbox escapes)، إلا أن هذه القدرات كافية لتمكين المهاجمين من جمع بيانات حساسة واختراق حسابات iCloud. كما أشارت Proofpoint إلى أن حجم الرسائل المرسلة من TA446 ارتفع بشكل كبير خلال الأسبوعين الماضيين، وأن الهجمات تضمنت نشر باب خلفي معروف باسم MAYBEROBOT عبر ملفات ZIP محمية بكلمة مرور.
تداعيات أمنية وتحذيرات من آبل
تزامن هذا التصعيد مع خطوة غير معتادة من شركة Apple، حيث بدأت بإرسال إشعارات على شاشة القفل لمستخدمي أجهزة iPhone وiPad القديمة تحذرهم من هجمات ويب نشطة وتحثهم على تحديث أنظمة التشغيل فورًا. هذه الخطوة تعكس خطورة التهديد واتساع نطاقه. في الوقت نفسه، أثار تسريب نسخة جديدة من DarkSword على GitHub مخاوف من تحول هذه الأداة إلى برمجية تجارية يمكن لأي مهاجم غير محترف استخدامها بسهولة، وهو ما وصفه الباحث جاستن ألبريخت من شركة Lookout بأنه “تحويل الاستغلال المتقدم إلى أداة جاهزة للاستخدام حتى من قبل مهاجمين غير ذوي خبرة”.
الكلمات المفتاحية: TA446, ,, spear phishing,, FSB, GHOSTBLADE, MAYBEROBOT, Apple, GitHub, Leonid Volkov, أمن سيبراني, تصيّد موجه, استغلال ثغرات, حماية iPhone
