كشفت شركة الأمن السيبراني الفرنسية Sekoia عن حملة جديدة نفذتها مجموعة القرصنة الروسية Gamaredon، المرتبطة رسمياً بجهاز الأمن الفيدرالي الروسي (FSB)، استهدفت أوكرانيا عبر استغلال ثغرة في برنامج WinRAR تحمل الرمز CVE-2025-8088.
الثغرة من نوع Path Traversal استُخدمت لإطلاق حمولة خبيثة على شكل تطبيق HTML يُعرف باسم GammaPhish، والذي يقوم بدوره بجلب وتنفيذ برامج تنزيل مكتوبة بلغة VBScript تحمل الاسم GammaLoad. هذه السلسلة من العدوى رُصدت في يناير 2026، وتُظهر تصميماً معقداً ومتعدد الطبقات يتيح للمهاجمين تحديث التكوينات بشكل مستمر.
GammaWorm: دودة خبيثة تعتمد على التخفي
أحد أبرز البرمجيات التي يتم نشرها عبر GammaLoad هو GammaWorm، وهي دودة خبيثة تعتمد على مهام مجدولة لضمان الاستمرارية. تقوم بإخفاء المجلدات الشرعية في الشبكات المشتركة وأجهزة USB واستبدالها بملفات اختصار (LNK) خبيثة، ما يؤدي إلى تنفيذ تعليمات برمجية من خوادم التحكم والسيطرة (C2).
للتواصل مع خوادم C2، تعتمد GammaWorm على إرسال طلبات GET باستخدام أداة curl إلى قناة عامة على Telegram، وهو ما يسمح لها بالاندماج في حركة المرور الشرعية وتجنب الكشف. كما تستخدم تقنية NTFS Alternate Data Streams (ADS) لإخفاء وحداتها الأساسية.
GammaSteel: أداة لسرقة البيانات
إلى جانب GammaWorm، يتم نشر برمجية أخرى تُعرف باسم GammaSteel، وهي أداة سرقة بيانات متعددة الوحدات. تقوم بجمع الملفات ذات الامتدادات المحددة وإرسالها إلى حاويات تخزين في Amazon Web Services (AWS) S3 أو إلى خوادم يسيطر عليها المهاجمون كخيار بديل.
هذا التنوع في البرمجيات الخبيثة يعكس قدرة Gamaredon على تكييف أدواتها وفقاً للأهداف، حيث يمكن استخدام نفس سلسلة العدوى لنشر برمجيات أخرى مثل GammaWipe (GamaWiper) المدمرة.
السياق الأوسع للهجمات الروسية ضد أوكرانيا
تاريخياً، اعتمدت Gamaredon على رسائل التصيّد الموجهة التي تحتوي على مرفقات خبيثة، وغالباً ما تكون أرشيفات RAR مفخخة. هذه الحملة الأخيرة تأتي بالتزامن مع نشاط مجموعات أخرى مثل UAC-0184 التي استهدفت البنية العسكرية الأوكرانية عبر ملفات LNK مرتبطة ببرنامج شرعي، وUAC-0247 التي ركزت على مشغلي الطائرات المسيّرة باستخدام ملفات HTA داخل أرشيفات ZIP.
كما رصد الباحثون تطور برمجية PixyNetLoader المرتبطة بمجموعة APT28، والتي استغلت ثغرة في Microsoft Office (CVE-2026-21509) لنشر برمجية COVENANT Grunt، ما يعكس اتساع نطاق الهجمات الروسية وتنوع أدواتها.
