كشف مركز أبحاث التهديدات في شركة Atos عن حملة خبيثة متقدمة بدأت في مارس 2026، تستهدف حسابات المدراء الإداريين ومهندسي DevOps والمحللين الأمنيين عبر انتحال أدوات إدارية يعتمدون عليها يومياً. تعتمد الحملة على تسميم نتائج محركات البحث (SEO poisoning)، حيث تظهر مستودعات GitHub مزيفة في مقدمة نتائج البحث لمصطلحات تقنية متخصصة. هذه المستودعات الأولى تعمل كـ “واجهة” نظيفة تحتوي على ملفات README احترافية فقط، بينما توجه الضحية إلى مستودع ثانٍ مخفي يستضيف ملفات MSI خبيثة. هذا الفصل بين الواجهة والحمولة يتيح للمهاجمين الحفاظ على ترتيبهم العالي في محركات البحث حتى عند إغلاق المستودعات الخبيثة.
انتحال الأدوات الإدارية واستهداف الحسابات عالية الامتياز
منطق البرمجيات الخبيثة: EtherRAT متعدد المراحلتتميز الحملة بتركيزها على أدوات إدارية حساسة مثل PsExec، AzCopy، Sysmon، LAPS، Kusto Explorer وغيرها. هذه الأدوات تُستخدم حصراً من قبل موظفين ذوي صلاحيات عالية، ما يجعل أي إصابة ناجحة بمثابة الحصول على “مفاتيح المملكة”. الأخطر أن بعض هذه الأدوات تُستخدم عادةً للتحقيق في نشاطات مشبوهة، مما يخلق “طُعم المفارقة” حيث يقع حتى خبراء الأمن في فخ تحميل نسخة مزيفة من أداة يثقون بها. بين ديسمبر 2025 وأبريل 2026، نشر المهاجمون 44 واجهة GitHub مزيفة، ما يعكس حجم الجهد المبذول لاستهداف أكبر شريحة ممكنة من الضحايا ذوي الامتيازات العالية.
الحمولة الخبيثة هي Remote Access Trojan (RAT) مكتوب بلغة JavaScript، يُعرف باسم EtherRAT. يتم توزيعه عبر مثبتات MSI مزيفة ويعمل بأسلوب متعدد المراحل:
- المرحلة 0 (Dropper): ملف batch (.cmd) مشفر يُطلق العملية ويُحضّر بيئة Node.js.
- المرحلة 1 (Loader): سكربت Node.js صغير يحمّل المرحلة التالية في الذاكرة.
- المرحلة 2 (Persistence): ينشئ مفاتيح في سجل النظام لضمان الاستمرارية ويخفي العملية عبر conhost.exe.
- المرحلة 3 (RAT): ملف JavaScript مشفر يعمل في الخلفية، يحدد هوية الجهاز، ويبدأ الاتصال الدوري بخادم القيادة والسيطرة (C2).
البرمجية تستخدم AES-256-CBC لتشفير الحمولة، وتعيد تشفير نفسها باستمرار لتفادي التحليل الثابت. جميع الأنشطة تُسجل في ملف svchost.log داخل %APPDATA%، مما يوفر سجل عمليات كامل.
قيادة وسيطرة لامركزية عبر Ethereum
الميزة الأكثر تقدماً في الحملة هي اعتمادها على عقود ذكية في شبكة Ethereum لتحديد عناوين خوادم C2. بدلاً من الاعتماد على نطاقات أو عناوين IP يمكن حظرها، يقوم EtherRAT بالاستعلام عن عقد ذكي محدد عبر تسعة بوابات عامة لـ Ethereum، ويستخلص منه العنوان الحالي للخادم. يمكن للمهاجم تغيير الخادم ببساطة عبر تعديل قيمة العقد الذكي، ما يمنحهم مرونة عالية ويجعل محاولات الإيقاف التقليدية غير فعالة. هذا النموذج يضمن أن البرمجية ستجد دائماً “منزلها” طالما أن بوابات Ethereum العامة متاحة
