رافي لاكشمانان10 يوليو 2026البرامج الضارة / أمن المؤسسات

مجموعة الجرائم الإلكترونية المرتبطة بالصين والمعروفة باسم الثعلب الفضي تم إرجاعه إلى حصان طروادة (RAR) الجديد للوصول عن بعد المستند إلى Rust والذي يُسمى مود بيكون.

قالت شركة الأمن السيبراني الصينية QiAnXin إنه على الرغم من أن مجموعة التهديدات قد تبدو وكأنها عملية منخفضة التعقيد وعالية النشاط تنشر البرامج الضارة عبر أدوات التثبيت المزيفة باستخدام تقنيات تحسين محركات البحث (SEO)، إلا أنها تتناقض مع هيكلها التنظيمي الحقيقي، مما يعرض العديد من الموزعين للخطر.

وقال QiAnXin: “يقوم هؤلاء الموزعون بأنشطة في جميع أنحاء آسيا باستخدام أدوات تثبيت البرامج المزيفة الموزعة من خلال حملات تحسين محركات البحث، مستفيدين من متغيرات عائلات طروادة Gh0st RAT وWinOS (ValleyRAT).”

إحدى هذه الحملات التي تمت ملاحظتها في منتصف يونيو 2026 تضمنت قيام أحد الموزعين بتقديم RAT معياري غير موثق سابقًا يستهدف التكنولوجيا والتعليم والمؤسسات المملوكة للدولة في البلاد. تتم استضافة البنية التحتية المطلوبة للقيادة والتحكم (C2) الخاصة بـ MODBEACON على Amazon وشبكة تسليم المحتوى (CDN) الخاصة بـ Cloudflare.

تم تقييم الموزع على أنه ممثل تهديد هجين، يعمل كمركب من “تاجر أسلحة مجرمي الإنترنت” و”وسيط المرور”. يتضمن أحد أذرع عملياتها توسيع نطاق العدوى في جميع أنحاء آسيا من خلال عمليات تحسين محركات البحث اليومية لأعمال الاحتيال، بينما يركز الآخر على نشر أحصنة طروادة المتقدمة، أو تأجير وصول عالي القيمة إلى العملاء النهائيين، أو إنشاء مخططات “إجرامية على إجرامية” تستهدف قطاع المقامرة الكمبودي.

تجمع الحملة المكتشفة حديثًا بين الهندسة الاجتماعية والبرامج الضارة المخصصة وأدوات ما بعد الاختراق لتأسيس وصول طويل الأمد مع تقليل اكتشاف الأجهزة المضيفة المصابة. تعمل البرمجيات الخبيثة المقيمة في الذاكرة كزرعة عن بعد قادرة على جلب وحدات إضافية، وتشغيل أوامر المشغل، والحفاظ على الاتصالات المشفرة مع البنية التحتية للمهاجم.

وأوضح QiAnXin: “إن حصان طروادة عبارة عن إطار عمل C2 احترافي وخاص: المُحمل والمرشد منفصلان، والتكوين قابل للحقن، وتستخدم المرشد بنية قائمة على المكونات الإضافية (مكونات إضافية أصلية لـ v3 مع إدخال/init/fini RVA)، وتستخدم تدفق نفق gRPC للاتصال”. “الجودة الهندسية الشاملة عالية. أهم ما يميزها هو إعادة استخدام طبقة النقل من إطار عمل وكيل مفتوح المصدر لمكافحة الرقابة (Xray/V2Ray) كقناة C2.”

مثل الحملات السابقة المنسوبة إلى النظام البيئي للتطفل Silver Fox، تستخدم سلسلة الهجوم نطاقات مزيفة تعلن عن مثبتات زائفة لبرامج محلية شائعة كإغراء لخداع المستخدمين المطمئنين لتنزيل أرشيفات ZIP الضارة المسؤولة عن نشر البرامج الضارة.

تشمل القدرات الأساسية لـ MODBEACON –

  • بصمة المضيف
  • تحميل المكونات الإضافية في الذاكرة
  • إرسال رسائل نبضات القلب
  • الإبلاغ عن نتائج تنفيذ الأمر
  • ضبط الثبات باستخدام المهام المجدولة

وقال QiAnXin: “يمكن استخدام هذه الإمكانية للتوسع اللاحق عند الطلب لسرقة المعلومات، أو الحركة الجانبية، أو إعادة توجيه الوكيل، أو الحمولات الأخرى”.

ويأتي هذا الكشف وسط توسع تدريجي لترسانة Silver Fox، التي نشرت عائلات من البرامج الضارة التي تم تتبعها مثل Atlas RAT، وABCDoor، وRomulusLoader، وSilentRunLoader، مما يشير إلى أن جهة التهديد تعمل بنشاط على تحسين مهاراتها التجارية.

شاركها.
اترك تعليقاً