أفادت تقارير أمنية أن مجموعة APT28، المعروفة أيضاً باسم BlueDelta والمرتبطة بجهاز الاستخبارات العسكرية الروسي GRU، تقود حملة جديدة لسرقة بيانات الاعتماد. الهجمات استهدفت أفراداً في وكالة تركية للطاقة والأبحاث النووية، إضافة إلى موظفين في مركز أبحاث أوروبي، ومنظمات في مقدونيا الشمالية وأوزبكستان.
وبحسب مجموعة Insikt التابعة لشركة Recorded Future، فإن استخدام مواد إغراء باللغة التركية يعكس محاولة متعمدة لزيادة المصداقية لدى جمهور محدد من الباحثين وصناع القرار في مجالات الطاقة والتعاون الدفاعي والاتصالات الحكومية، وهي مجالات تتماشى مع أولويات الاستخبارات الروسية.
أسلوب الهجوم وسلسلة الاختراق
الهجمات التي رُصدت في فبراير وسبتمبر 2025 اعتمدت على صفحات تسجيل دخول مزيفة تحاكي خدمات شهيرة مثل Microsoft Outlook Web Access (OWA) وGoogle وبوابات Sophos VPN.
اللافت أن المستخدمين بعد إدخال بياناتهم يتم توجيههم مباشرة إلى المواقع الأصلية، ما يقلل من احتمالية اكتشاف الاحتيال.
كما استندت الحملات إلى خدمات إنترنت مجانية مثل Webhook[.]site وInfinityFree وByet Internet Services وngrok لاستضافة صفحات التصيّد، جمع البيانات المسروقة، وتسهيل عمليات إعادة التوجيه.
الهجوم يبدأ عادةً برسالة بريد إلكتروني تحتوي على رابط مختصر، يقود الضحية إلى مستند PDF شرعي يُعرض لثوانٍ معدودة قبل إعادة التوجيه إلى صفحة تسجيل دخول مزيفة. هذه الصفحة تحتوي على عناصر HTML مخفية وجافاسكريبت لإرسال بيانات الاعتماد المسروقة إلى خوادم المهاجمين، ثم إعادة المستخدم إلى المستند الأصلي لتغطية آثار الاختراق.
حملات إضافية رُصدت في 2025
- يونيو 2025: صفحة مزيفة لتغيير كلمة مرور Sophos VPN استهدفت مركز أبحاث أوروبي، حيث يتم إدخال البيانات ثم إعادة التوجيه إلى البوابة الأصلية.
- سبتمبر 2025: صفحات مزيفة تحذر المستخدمين من انتهاء صلاحية كلمات المرور، استهدفت منظمة عسكرية في مقدونيا الشمالية وشركة تكامل أنظمة في أوزبكستان.
- أبريل 2025: صفحة مزيفة لتغيير كلمة مرور Google استضافتها خدمات Byet Internet، حيث يتم إرسال البيانات المسروقة إلى عنوان ngrok.
دلالات استراتيجية على الأمن السيبراني
تشير هذه الحملات إلى اعتماد APT28/BlueDelta المستمر على بنية تحتية مؤقتة وخدمات مجانية لاستضافة صفحات التصيّد، ما يجعلها منخفضة التكلفة وعالية العائد. وتؤكد هذه الأنشطة التزام الاستخبارات الروسية باستخدام سرقة بيانات الاعتماد كوسيلة رئيسية لجمع المعلومات ودعم أهدافها الاستراتيجية في مجالات الطاقة والسياسة والدفاع.
