كشف باحثو الأمن السيبراني عن حملة تصيّد موجهة (Spear-Phishing) نفذتها مجموعة SideCopy المرتبطة بباكستان ضد وزارة المالية الأفغانية. الحملة التي أُطلق عليها اسم عملية XENOFISCAL بدأت عبر ملف مضغوط (ZIP) يحتوي على اختصار خبيث (LNK) مكتوب بلغة البشتو، وهي اللغة الأكثر استخداماً في الأوساط الحكومية الأفغانية، ما يعكس إدراك المهاجمين للبيئة المحلية المستهدفة.
عند تشغيل الملف، يتم استدعاء أداة mshta.exe لجلب تطبيق HTML خبيث من نطاق تعليمي أفغاني مخترق، ليُنفّذ لاحقاً JavaScript مشفراً في الذاكرة. الهجوم يعتمد على إنشاء استمرارية عبر السجل (Registry) متخفياً في صورة متصفح Microsoft Edge، مع إسقاط نسخة من Xeno RAT 1.8.7 إلى جانب مستند وهمي لصرف الانتباه.
أهداف الحملة والجهات المستهدفة
لم يقتصر الاستهداف على وزارة المالية المركزية، بل شمل أيضاً مديريات الإيرادات والمالية في الأقاليم، إضافة إلى مسؤولين حكوميين يتحدثون البشتو وموظفين على المستوى المحلي. هذا التوسع في نطاق الضحايا يعكس استراتيجية المهاجمين في ضرب البنية المالية والإدارية للدولة الأفغانية بشكل متدرج.
تاريخياً، تُعتبر مجموعة SideCopy جزءاً من مظلة Transparent Tribe (APT36)، وهي مجموعة تجسس سيبراني مرتبطة بباكستان، سبق أن استهدفت قطاعات متعددة في الهند عام 2025 باستخدام أدوات مثل Xeno RAT وSpark RAT وCurlBack RAT.
قدرات Xeno RAT التقنية
يُعد Xeno RAT أداة وصول عن بُعد مفتوحة المصدر، لكنها مزودة بقدرات متقدمة، منها:
- الاتصال بخادم بعيد عبر بروتوكول TCP لتنفيذ أوامر المهاجم.
- تحميل وتشغيل وحدات DLL خارجية.
- استخراج بيانات مضيف النظام وإرسالها للخادم.
- إنشاء مهام مجدولة لتشغيل البرمجية بشكل تلقائي.
- جمع معلومات مضادات الفيروسات المثبتة.
- دعم نفق شبكي عبر SOCKS5.
- تنفيذ عمليات على الملفات، تسجيل ضغطات لوحة المفاتيح، التقاط صور للشاشة، مراقبة الحافظة، تتبع الكاميرا والميكروفون.
- إزالة آليات الاستمرارية وإلغاء تثبيت نفسه عند الحاجة.
سياق إقليمي أوسع للهجمات
تأتي هذه الحملة في وقت تتكشف فيه تفاصيل عمليات تصيّد أخرى مرتبطة بمجموعة Transparent Tribe، منها استهداف البنية التحتية العسكرية الهندية عبر ملفات .desktop خبيثة على أنظمة لينكس، باستخدام طُعم عقود توريد مركبات مدرعة. هذه العمليات اعتمدت على الهندسة الاجتماعية عبر واتساب وسلاسل إصابة متعددة المراحل، وصولاً إلى زرع برمجية خبيثة مكتوبة بلغة Golang عُرفت باسم DeskRAT.
هذا الترابط بين الحملات يؤكد أن المجموعة تعمل ضمن استراتيجية إقليمية واسعة تستهدف مؤسسات حكومية وعسكرية ومالية في جنوب آسيا، مع توظيف أدوات متنوعة وأساليب متقدمة لتجاوز الدفاعات التقليدية.
