كشف باحثو الأمن السيبراني عن ثغرة يوم الصفر غير المعلنة سابقاً في برنامج Adobe Reader، استُغلت منذ ديسمبر 2025 عبر مستندات PDF خبيثة. أول عينة من هذه الملفات ظهرت على منصة VirusTotal في 28 نوفمبر 2025 تحت اسم “Invoice540.pdf”، فيما رُصدت عينة ثانية في مارس 2026. هذه الملفات صُممت بأسلوب هندسة اجتماعية لإغراء المستخدمين بفتحها، لتبدأ فوراً بتنفيذ شيفرات JavaScript مشفّرة تهدف إلى جمع بيانات حساسة وتحميل شيفرات إضافية.
تفاصيل تقنية للهجوم
الباحث Haifei Li من شركة EXPMON وصف الاستغلال بأنه “معقد للغاية”، مؤكداً أن البرمجية تستغل واجهات Acrobat APIs المميزة داخل Adobe Reader، ما يمنحها صلاحيات متقدمة لتنفيذ أوامر غير مصرح بها. الملف الخبيث قادر على جمع معلومات محلية، تنفيذ هجمات بصمة رقمية متقدمة، والتمهيد لهجمات لاحقة تشمل تنفيذ أوامر عن بُعد (RCE) أو تجاوز بيئة العزل (Sandbox Escape). كما أن البيانات المستخرجة تُرسل إلى خادم خارجي بعنوان “169.40.2[.]68:45191″، مع إمكانية استقبال شيفرات إضافية لتنفيذها على الجهاز المصاب.
مؤشرات على استهداف جغرافي واجتماعي
الباحث الأمني المعروف باسم Gi7w0rm أشار عبر منصة X إلى أن بعض ملفات PDF الخبيثة تضمنت محتوى باللغة الروسية، مرتبطاً بقطاع النفط والغاز في روسيا، ما يوحي باستخدام قضايا راهنة كطُعم اجتماعي لإقناع الضحايا بفتح المستندات. هذا الأسلوب يعكس مزيجاً من الاستغلال التقني والهندسة الاجتماعية، حيث يتم استغلال ثغرة غير مرقعة إلى جانب محتوى مصمم بعناية لاستهداف مستخدمين محددين.
خطورة الثغرة واستمرار التهديد
رغم أن طبيعة الاستغلال في المرحلة التالية ما تزال غير واضحة، فإن غياب استجابة من الخادم قد يشير إلى أن بيئة الاختبار لم تستوفِ الشروط اللازمة لتلقي الحمولة الكاملة. ومع ذلك، فإن مجرد قدرة البرمجية على جمع البيانات بشكل واسع، مع احتمالية تنفيذ أوامر عن بُعد أو تجاوز العزل، كافٍ لإبقاء المجتمع الأمني في حالة تأهب قصوى. هذه الثغرة تؤكد أن حتى أحدث إصدارات Adobe Reader ليست محصنة، وأن المهاجمين يواصلون تطوير تقنياتهم لاستغلال الثغرات غير المعلنة لتحقيق أهداف تجسسية أو تخريبية.
