واصلت مجموعة روسية من التهديدات المستمرة المتقدمة (APT) تطوير وتوسيع ترسانة البرمجيات الخبيثة الخاصة بها كجزء من هجومها السيبراني المستمر ضد أوكرانيا طوال عام 2025.
قالت شركة الأمن السيبراني السلوفاكية ESET إنها لاحظت 35 حملة تصيد احتيالي مختلفة شنتها Gamaredon ضد أهداف جديدة، وحدث معظمها في النصف الثاني من العام. وتشمل الأهداف الرئيسية لهذه الجهود المؤسسات الحكومية والعسكرية الأوكرانية.
وقالت شركة ESET: “طوال عام 2025، ظلت Gamaredon نشطة للغاية وظلت تركز فقط على أوكرانيا”. “لا يزال الهدف النهائي للمجموعة هو تسريب المعلومات الحساسة وغيرها من البيانات الهامة التي يمكن استغلالها لدعم المصالح الروسية في الحرب المستمرة في أوكرانيا”.
تستخدم حملات التصيد الاحتيالي مرفقات الأرشيف أو ملفات XHTML التي تستخدم تهريب HTML لتوصيل برامج تنزيل HTA الضارة المسؤولة عن إسقاط حمولات إضافية، مثل PteroSand. قامت بعض الهجمات أيضًا باستغلال الخلل الذي تم تصحيحه الآن في WinRAR (CVE-2025-8088) كوسيلة لوضع برنامج تنزيل HTA الضار في مجلد بدء تشغيل Windows الخاص بالضحية.
وهذا بدوره يؤدي إلى تنفيذ برنامج التنزيل تلقائيًا عند تسجيل الدخول التالي، وبالتالي إضافة آلية استمرارية إلى سلسلة التسوية. من المعروف أن هجمات Gamaredon تعتمد على أسلحة مثل PteroLNK وPteroPaste لتسهيل الحركة الجانبية عن طريق إصابة محركات أقراص USB ومحركات أقراص الشبكة بملفات LNK ضارة والتي، عند فتحها من قبل مستخدم غير متوقع، تؤدي إلى استرداد البرامج الضارة لأداة التنزيل.
يُستخدم أيضًا PteroSetup، وهو برنامج سلاح Visual Basic Script (VBScript) قديم تم اكتشافه لأول مرة في يناير 2021 ومن المحتمل أن يتم إيقافه. تقوم الأداة بفحص محركات أقراص USB ومحركات أقراص الشبكة المعينة بحثًا عن ملفات التثبيت الشرعية، وإذا تم العثور عليها، فإنها تستبدلها بأرشيفات الاستخراج الذاتي (SFX) 7z التي تحتوي على المثبت الأصلي وبرنامج تنزيل VBScript ضار.
وقالت ESET: “في عام 2025، نما اعتماد المجموعة على خدمات الطرف الثالث بشكل كبير، حيث أصبحت خدمات الأنفاق ومنصات العمل بدون خادم جزءًا متزايد الأهمية من كيفية إخفاء بنيتها التحتية الخلفية الحقيقية”.
وتتميز الهجمات أيضًا بإدخال ستة أدوات PowerShell ضارة جديدة، مما يؤدي إلى توسيع ترسانة البرامج الضارة المخصصة –
- بتيرودي و بتيروكاش لجلب وتنفيذ حمولات PowerShell في الذاكرة
- بتيرودوم لجلب وتنفيذ حمولات VBScript في الذاكرة
- غريب لجلب حمولة PowerShell واحدة باستخدام Telegra.ph API ومن المحتمل استخدامها في الحملات التي تعاون فيها ممثلو Gamaredon مع Turla
- بتيروإيفيجي لجلب خادم الأوامر والتحكم (C2) باستخدام خدمة التخزين السحابي GoFile
- بتيروباستي، لتسليح محركات أقراص USB وتنزيل حمولات PowerShell الإضافية عبر قناة مشفرة
وقال زولتان روسناك، الباحث في شركة ESET: “بينما أخذت المجموعة استراحة تشغيلية قصيرة في يناير 2025، أنفقت Gamaredon الكثير من جهودها في النصف الأول من ذلك العام في تطوير ونشر أدوات جديدة”.
“تم إجراء العديد من التحديثات في الفترة التي سبقت العطلات الكبرى في روسيا وشبه جزيرة القرم. والجدير بالذكر أنه لم تتم ملاحظة أي تحديثات أثناء هذه العطلات أو بعدها مباشرة، مما يشير أيضًا إلى أن مشغلي Gamaredon ربما يكونون موظفين تابعين للحكومة.”
هناك جانب آخر جدير بالملاحظة في حملة الجهة التهديدية يدور حول استخدام مجموعة واسعة من الخدمات المشروعة مثل قنوات استخراج البيانات وأجهزة حل السقوط الميت للحصول على تفاصيل خادم C2 وتوجيه البرامج الضارة إلى البنية التحتية المخفية بالفعل خلف الأنفاق أو العمال بدون خادم. وتشمل هذه –
- Telegra.ph
- المبرقة الكاتبة
- Rentry.co
- اكتب.as
- دروببوإكس
- GoFile
- مجتمع التطوير (dev.to)
- مستودون
- ليسما
- nopaste.net
- لصق.ee
- الوسابي
- تيبي
- Intercolo
- دروببوإكس
وقالت شركة ESET: “كما هو الحال في السنوات السابقة، عوضت المجموعة البساطة النسبية لبرامجها الضارة من خلال المثابرة والتحديثات المتكررة والإساءة الإبداعية المتزايدة للخدمات المشروعة عبر الإنترنت”. “قامت Gamaredon بتوسيع نطاق استخدامها للقطرات الميتة، والأنفاق، والعمال، وDNS الديناميكي، والتخزين السحابي، مما يجعل عملياتها أكثر مرونة وأصعب في التعطيل.”
