في اكتشاف أمني يُجسّد التطور المقلق في أدوات التهديدات المتقدمة، رصدت شركة Nextron Systems روتكيت جديداً من نوع نواة ويندوز أُطلق عليه اسم RegPhantom، يتيح للمهاجمين تنفيذ أكواد عشوائية في وضع النواة Kernel Mode انطلاقاً من سياق غير مميّز في وضع المستخدم User Mode، وذلك دون ترك آثار بصرية واضحة تُنبّه أدوات الفحص والرصد التقليدية. وقد رُصدت أولى العيّنات منه في البرية في 18 يونيو 2025، مما يعني أن التهديد كان نشطاً في الميدان لأشهر قبل توثيقه رسمياً.
سجل ويندوز يتحوّل إلى قناة قيادة مشفّرة
يقوم المبدأ التشغيلي لـ RegPhantom على استغلال سجل ويندوز Windows Registry بوصفه آلية تشغيل خفية بدلاً من الاعتماد على القنوات التقنية المعتادة كالشبكة أو الملفات التنفيذية. إذ يُرسل المكوّن العامل في وضع المستخدم أمراً مشفّراً عبر عملية كتابة في سجل ويندوز، فيعترض برنامج التشغيل الخبيث هذه الكتابة ويُحوّلها إلى تنفيذ كود عشوائي مباشرةً في نواة النظام. وبعد اكتمال التنفيذ، يحجب البرنامج الخبيث عملية الكتابة في السجل التي أطلقت العملية كلها، مما يُزيل الدليل الأولي على وقوع أي نشاط.
وتكمن الأهمية البالغة لهذا التصميم في أن سجل ويندوز يُعدّ من أكثر مكوّنات النظام حركةً واستخداماً، إذ تكتب إليه الآلاف من العمليات الشرعية يومياً، مما يُوفر للبرنامج الخبيث غطاءً ممتازاً للاختباء وسط ضجيج النشاط الطبيعي.
ثلاثة مستويات من التخفي تُربك أدوات التحليل الجنائي
تُبرز Nextron Systems أن ما يجعل RegPhantom استثنائياً هو تضافر ثلاثة عناصر في آنٍ واحد، هي الخفاء والصلاحية العليا وإساءة استخدام الثقة. فعلى صعيد الثقة، يعمل برنامج التشغيل بوصفه مكوّناً رسمياً موقَّعاً في نواة ويندوز، مما يمنحه أعلى مستوى من الصلاحيات في النظام، إذ إن توقيع برامج التشغيل هو أحد الركائز التي تعتمد عليها ويندوز للتحقق من مصداقية المكوّنات التي تعمل في مستوى النواة.
وعلى صعيد الخفاء التقني، لا يعتمد RegPhantom على آليات تحميل برامج التشغيل الاعتيادية لتنفيذ حمولاته الخبيثة، بل يلجأ إلى ما يُعرف بالتعيين الانعكاسي Reflective Mapping، وهو أسلوب يُحمّل الكود مباشرةً في ذاكرة النواة دون تسجيله بالطرق المعتادة، مما يجعل الوحدة المُحمَّلة غير مرئية لأدوات تعداد برامج التشغيل القياسية.
وعلى صعيد إخفاء الأدلة الجنائية، يتبنى البرنامج الخبيث منهجية ثلاثية لطمس آثاره، تشمل حذف ذاكرة الحمولة المنفَّذة فور اكتمالها، وتخزين مؤشرات الاعتراض Hooks في صيغة مُشفَّرة، إضافةً إلى حجب عملية الكتابة في السجل التي أطلقت التنفيذ. ويُفضي مجموع هذه التدابير إلى تقليص ملحوظ في الأثر الجنائي الذي يتركه البرنامج، مما يُصعّب تحديد مسار الهجوم وإعادة بنائه في مرحلة ما بعد الاكتشاف.
دلالات التهديد وأبعاده في المشهد الأمني الراهن
يندرج RegPhantom ضمن فئة التهديدات التي تستهدف مستوى النواة Kernel-level Threats، وهي من أخطر أنواع البرمجيات الخبيثة لأنها تعمل في المستوى الأعمق من نظام التشغيل وتسبق في التحميل معظم حلول الأمن. والروتكيت الذي يعمل في مستوى النواة يملك من الناحية النظرية القدرة على التحكم الكامل في النظام، بما في ذلك التلاعب بعمل برامج مكافحة الفيروسات نفسها أو إخفاء أنشطته عنها.
ويُشير توقيت الرصد الميداني في يونيو 2025 إلى أن هذه الأداة ربما استُخدمت في عمليات استهداف انتقائية لبعض الوقت قبل وصولها إلى رادار شركات الأمن، وهو نمط مألوف في الأدوات الموجّهة لعمليات التجسس أو الاختراق طويل الأمد. كما يطرح توقيع برنامج التشغيل تساؤلات جدية حول مدى إحكام عمليات التحقق من الشهادات الرقمية وإمكانية إساءة استخدامها في سياقات الهجمات المتقدمة.
