أظهرت تحقيقات تهديدات إلكترونية أن مجموعة برمجيات الفدية المعروفة باسم Qilin — وتُعرف أيضاً بأسماء Agenda وGold Feather وWater Galura — نفّذت موجة هجمات متزايدة منذ منتصف 2022، وتصاعد نشاطها في 2025 مع تبنّي تكتيكات هجينة تجمع بين برمجيات فدية متعددة المنصات، وأدوات إدارية شرعية، وتقنيات استغلال برامج تشغيل معرضة للخطر (BYOVD) لتجاوز الضوابط الأمنية.
نمط العمل وانتشار الضحايا
منذ بداية 2025 ادعت المجموعة مسؤوليتها عن أكثر من 40 ضحية شهرياً باستثناء يناير، ووصل عدد حالات القائمة على موقع تسريب بيانات المجموعة إلى ذروته بقرابة 100 حالة في يونيو. بحسب بيانات مجمعة، استهدفت هجمات Qilin دولاً مثل الولايات المتحدة وكندا والمملكة المتحدة وفرنسا وألمانيا، مع تركيز ملحوظ على قطاعات التصنيع، والخدمات المهنية والعلمية، وتجارة الجملة. وقد بلَغَ عدد الضحايا الناتج عن عمليات البيع كخدمة (RaaS) نحو 84 ضحية في شهري أغسطس وسبتمبر 2025، مما يضع المجموعة ضمن الأكثر نشاطاً في مشهد الفدية العالمي.
تسلسل الهجوم والتقنيات المستخدمة
تعتمد عمليات الاختراق عادةً على الوصول الأولي عبر حسابات إدارية مسرَّبة أو بيانات اعتماد منشورة على الشبكات الظلامية، تليها واجهات VPN ثم اتصالات RDP إلى ضوابط النطاق (domain controllers) ونقاط نهاية مخترقة. تلي ذلك مرحلة استطلاع النظام والشبكة، واستخدام أدوات معروفة لحصاد الاعتمادات مثل Mimikatz وWebBrowserPassView.exe وBypassCredGuard.exe وSharpDecryptPwd، إلى جانب سكربتات Visual Basic لنقل البيانات نحو خوادم خارجية عبر بروتوكولات SMTP.
سجل التحليل استخداماً متعمداً لأدوات نظامية لإخفاء أنشطة المهاجمين، من تشغيل mspaint.exe وnotepad.exe وiexplore.exe لفحص الملفات إلى توظيف أدوات شرعية مثل Cyberduck لنقل الملفات المستهدفة إلى خوادم بعيدة. كما شهدت السلسلة نشر أدوات وصولٍ بعيد شرعية متعددة (AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist, ScreenConnect) بهدف تصعيد الصلاحيات والتحرك الجانبي داخل البنية التحتية، مع استخدام Cobalt Strike وSystemBC لضمان الوصول الدائم.
للتملّص من الكشف استخدمت الحملة أوامر PowerShell لتعطيل AMSI، وإيقاف التحقق من شهادات TLS، وتفعيل وضع المسؤول المقيد (Restricted Admin)، بالإضافة إلى تشغيل أدوات مثل dark-kill وHRSword لوقف حلول الأمان. كما شمل المسار تنفيذ أوامر لمسح سجلات النظام وحذف نسخ الظل (VSS) قبل إطلاق البرمجيات الخبيثة وترك رسائل فدية في المجلدات المشفرة.
الابتكار الهجيني: لينكس على ويندوز وBYOVD واستهداف النسخ الاحتياطية
أبرزت الحوادث المكتشفة توظيف حمولة برمجيات فدية مبنية للينكس تُشغّل على أنظمة ويندوز عبر مسار هجيني: نقل ثنائيّية الفدية الخاصة باللينكس إلى نظام ويندوز باستخدام أدوات نقل آمنة (مثل WinSCP وCyberduck)، ثم استغلال خدمات إدارة عن بعد (مثل Splashtop Remote) لتشغيل الملف مباشرة على النظام المستهدف. هذا النهج منح المهاجمين قدرة تعددية المنصات بضربة واحدة، مما وسّع نطاق التأثير ليشمل خوادم لينكس وويندوز داخل البيئة نفسها.
كما برزت تقنية BYOVD (“Bring Your Own Vulnerable Driver”) باستخدام برنامج تشغيل مسمّى “eskle.sys” لتعطيل حلول الحماية وإنهاء عمليات أمنية، ما سمح بمرور غير مراقب للعمليات الخبيثة. استهدف المهاجمون كذلك بنية النسخ الاحتياطي، لا سيما منصات Veeam، حيث استعملوا أدوات مخصصة لاستخلاص اعتمادات قواعد بيانات النسخ الاحتياطي لتعطيل قدرات الاسترداد قبل تشفير البيانات، ما يعزز الضغوط لدفع الفدية.
أساليب الوصول والتشغيل الاجتماعي واللوغاريتمية المساعدة
سجلت الحوادث استخدام أساليب اجتماعية تقنية مثل الرسائل المستهدفة (spear-phishing) وصفحات كابتشا مزيفة على نمط ClickFix مستضافة على بنى تخزين سحابية، والتي تُطلق برمجيات لسرقة الاعتمادات. كما استُخدمت مكونات شبكية مثل مكتبات SOCKS proxy وCOROXY backdoor لإخفاء حركة C2 عبر مسارات متعددة داخل أنظمة الملفات. وفي بعض الهجمات وُظّفت عملاء PuTTY لتمكين تحركات إلى أنظمة لينكس داخل الشبكة، وهو ما يبيّن نية تطويع البيئة متعددة الأنظمة لصالح مهاجمة شامل.
