في مشهد يجمع بين عالم ألعاب الفيديو والجريمة الإلكترونية المتطورة، كشف باحثو أمن المعلومات في شركة LevelBlue عن برمجية تجسس جديدة تُعرف بـKarstoRAT ظهرت للمرة الأولى في مطلع عام 2026، وتستغل شغف الأطفال والشباب بألعاب Roblox مدخلاً للنفاذ إلى أجهزتهم وسرقة بياناتهم بصمت تام. ويكشف تحليل هذه البرمجية عن أداة تجسس بالغة الخطورة وذات قدرات استخباراتية واسعة النطاق.
ترسانة تجسسية متكاملة في حزمة واحدة
رصد باحثو LevelBlue هذه البرمجية أثناء تحقيق في التهديدات، ووجدوا أنها لم تُعرض للبيع أو التداول في المنتديات السرية أو أسواق الجريمة الإلكترونية، مما يُرجّح أنها أداة مطوّرة بصورة خاصة تستخدمها مجموعة صغيرة من المشغّلين لا جهات إجرامية واسعة الانتشار. وهذا الطابع الخاص يجعل رصدها وتتبعها أمراً أشد صعوبة من البرمجيات المتاحة تجارياً.
تمتلك KarstoRAT قدرات تجسسية متعددة الأوجه؛ إذ يُتيح وحدة تسجيل المفاتيح جمع ضغطات لوحة المفاتيح وتخزينها في ذاكرة مؤمّنة برفعها دورياً إلى خادم التحكم والسيطرة، فيما تُلتقط لقطات الشاشة كاملةً من الذاكرة مباشرةً دون حفظ أي أثر على القرص الصلب.
أما وحدة كاميرا الويب فتعمل في صمت تام، إذ تفتح نافذة التقاط مخفية وتتصل بمشغّل الكاميرا الافتراضي لالتقاط صورة ثابتة وترفعها إلى خادم التحكم قبل حذف الملف المؤقت، دون أن يظهر أي تنبيه أو نافذة للضحية. وبالمثل، تستخدم وحدة التسجيل الصوتي واجهة برمجية من Windows لفتح الميكروفون بصمت والتسجيل لمدة يحددها المهاجم، ثم رفع الملف الصوتي إلى الخادم.
بنية تحكم متعددة الأغراض وتحديثات مستمرة
تتواصل البرمجية مع خادم تحكم وسيطرة مُبرمج بشكل ثابت في شيفرتها عبر منفذ 15144، وترسل نبضات قلب كل ثانيتين للحفاظ على اتصال دائم بالمهاجم. وتضم البنية التحتية لهذا الخادم أنفاقاً SSH وواجهات برمجية مبنية بـNode.js ووكيل VMess مُمرَّر عبر Cloudflare Argo WebSocket مما يمنح الهجوم طبقات متعددة من التمويه والصعوبة في التتبع.
وتتيح قدرة التنزيل والتشغيل عن بُعد للمهاجمين إيصال ملفات إضافية إلى الجهاز المُخترق وتنفيذها فور وصولها، فضلاً عن آليتين للثبات: الأولى عبر مهام مجدولة بنظام Windows باسم “SystemCheck”، والثانية عبر نسخ الملف الخبيث إلى مجلد بدء التشغيل لضمان تفعيله عند كل إطلاق للنظام.
لعبة Roblox طُعماً للأطفال والشباب
وظّف المهاجمون منصتين خادعتين على خادم التحكم نفسه: الأولى هي “Blox Stocks”، وهي صفحة تبادل مزيفة تستهدف لاعبي Roblox وغالبيتهم من الأطفال، بإغرائهم بعناصر نادرة وأسعار زهيدة لدفعهم نحو تنزيل الملفات الخبيثة. والثانية هي لوحة تنزيل الغش “Venom Files” التي تستهدف محبي ألعاب الرماة وGTA بوعدهم بأدوات غش مميزة.
وتتيح لعبة Blox Fruits، إحدى أشهر ألعاب منصة Roblox التي تضم مئات الملايين من اللاعبين معظمهم في المراحل العمرية الصغيرة، بيئة خصبة لهذا النوع من الاحتيال. فالأطفال الساعون إلى الحصول على عناصر نادرة أو مزايا في اللعب كثيراً ما يُقدمون على تنزيل ملفات من مصادر غير رسمية دون وعي بمخاطرها، بينما لا يمتلك أولياء الأمور في الغالب الوعي الكافي برصد هذه التهديدات.
سمات خفية تُعسّر الكشف
يعمل الملف التنفيذي بوصفه ملفاً 64 بت مُجمَّعاً ببيئة Microsoft Visual Studio 2022 بتاريخ بناء يعود إلى 16 فبراير 2026، وذو إنتروبيا معتدلة دون أي تعبئة أو تشفير، ويستخدم واجهة WinINet الخاصة بـWindows لكل حركة المرور الصادرة. كما يتخفى باسم “SecurityNotifier” ضمن سجلات مفاتيح التشغيل التلقائي في النظام، وهو اسم مُضلل يُوهم بأنه مكوّن أمني شرعي.
ويُشكّل هذا التهديد نموذجاً بارزاً لتوجه متصاعد يستغل فيه المهاجمون ثقة شريحة واسعة من المستخدمين الأصغر سناً في منصات الألعاب، وهو ما يستوجب تعزيز التوعية الأسرية والمدرسية بمخاطر تنزيل البرامج والملفات من مصادر غير موثوقة، مهما بدت جذابة.
