BELADINEWS.MA
بتاريخ 29 أكتوبر 2025
كشفت “كاسبرسكي”، من خلال فريقها العالمي للبحث والتحليل (GReAT)، عن أدلة دامغة تؤكد وجود صلة مباشرة بين شركة “ميمينتو لابز” (Memento Labs)، التي تُعد الوريث الفعلي لشركة HackingTeam، وموجة جديدة من هجمات التجسس الإلكتروني المتطورة. وجاء هذا الاكتشاف ثمرة لتحقيق شامل أُجري حول عملية تُعرف باسم ForumTroll، وهي حملة تهديدات متقدمة مستمرة (APT) استغلّت ثغرة أمنية غير معروفة سابقاً (zero-day) في متصفح Google Chrome. وقد تم الكشف عن هذه النتائج خلال فعاليات “قمة محللي الأمن السيبراني 2025” (Security Analyst Summit)، التي عُقدت في تايلاند.
في شهر مارس 2025، تمكن باحثو GReAT من تحديد معالم حملة ForumTroll، وهي حملة تجسس إلكتروني على درجة عالية من التعقيد، قامت باستغلال ثغرة أمنية خطيرة في متصفح Chrome تحمل الرمز CVE-2025-2783. وقام القائمون على هذه الحملة بإرسال رسائل تصيد احتيالي مصممة خصيصاً على هيئة دعوات لحضور منتدى Primakov Readings، مستهدفين بذلك وسائل إعلام روسية، ومؤسسات تعليمية، وهيئات مالية، وعدداً من الجهات الحكومية.
وخلال عملية التحليل الفني، اكتشف خبراء كاسبرسكي استخدام برنامج تجسس يحمل اسم LeetAgent، يتميز باستخدامه لنمط “ليت سبيك” (leet speak) في أوامره البرمجية، وهو أسلوب نادر في برمجيات التجسس المتقدمة. ومن خلال التعمق في دراسة هذه البرمجية، تم التعرف على تقاطعات تقنية واضحة بين أدوات LeetAgent وبرنامج تجسس آخر أكثر تطوراً سبق لفريق كاسبرسكي تحليله ضمن هجمات إلكترونية أخرى. وبعدما تبيّن أن البرنامج الثاني يتم تنفيذه أحياناً بواسطة LeetAgent، وأن كليهما يعتمدان على نفس إطار تحميل البرمجيات، تأكد الباحثون من وجود علاقة مباشرة بين البرنامجين، وبالتالي بين الحوادث التي شهدت استخدامهما.
ورغم اعتماد البرنامج الثاني على تقنيات معقدة لمكافحة التحليل، من بينها تقنية التشفير VMProtect، تمكنت كاسبرسكي من استخراج اسم البرنامج من شفرته المصدرية، والذي تبين أنه يحمل اسم “Dante”. وتوصّل الفريق إلى أن هذا الاسم يطابق تماماً برنامج تجسس تجاري تروج له شركة Memento Labs، وهي التسمية الجديدة لشركة HackingTeam. كما أظهرت العينات الأحدث من برنامج التجسس Remote Control System، الذي كانت قد طورته HackingTeam وحصلت عليه كاسبرسكي مؤخراً، تشابهاً تقنياً كبيراً مع برمجية Dante.
وفي تعليق على هذا الاكتشاف، صرّح السيد بوريس لارين، كبير الباحثين الأمنيين في فريق GReAT لدى كاسبرسكي، قائلاً: “إن وجود مزودي خدمات برمجيات التجسس التجارية هو أمر معروف في الوسط الأمني، غير أن تحديد بصمتهم الرقمية في الهجمات المستهدفة يبقى بالغ الصعوبة، نظراً للطبيعة المعقدة لهذه الهجمات. للوصول إلى أصل برنامج Dante، كان علينا تفكيك طبقات متعددة من الشيفرة شديدة التعتيم، وتتبع مؤشرات تقنية دقيقة على مدى سنوات من تطور البرمجيات الخبيثة، وربطها بسلاسل الشركات المطوّرة. ربما لهذا السبب تم اختيار اسم Dante، إذ إن تتبّع أصوله أشبه بجحيم حقيقي”.
ويُذكر أن برنامج Dante يتبنى أسلوباً فريداً للتمويه، حيث يشرع في تحليل بيئة النظام المستهدف قبل أن يقرر ما إذا كان سينفذ نفسه بشكل خفي أم لا، وذلك في محاولة لتفادي أنظمة الكشف والتحليل الأمني.
وبحسب تحقيقات كاسبرسكي، فإن أول ظهور مسجل لبرنامج LeetAgent يعود إلى عام 2022، فيما تم تسجيل هجمات أخرى منسوبة إلى مجموعة ForumTroll استهدفت مؤسسات وشخصيات في روسيا وبيلاروسيا. وتُظهر هذه المجموعة إتقاناً واضحاً للغة الروسية وفهماً دقيقاً للخصوصيات الثقافية واللغوية في المنطقة، وهي سمات سبق أن رُصدت في حملات إلكترونية أخرى منسوبة إليها. غير أن بعض الأخطاء اللغوية الطفيفة توحي بأن القائمين على هذه الهجمات ليسوا ناطقين أصليين باللغة الروسية.وقد تم اكتشاف الهجوم الذي استخدم LeetAgent لأول مرة بفضل منصة Kaspersky Next XDR Expert. ويمكن للعملاء المشتركين في خدمة تقارير التهديدات المتقدمة (APT) التي توفرها كاسبرسكي، الاطلاع على تفاصيل هذا التحليل الكامل، بالإضافة إلى التحديثات المستقبلية المتعلقة بـ ForumTroll وDante، عبر بوابة Kaspersky Threat Intelligence.
ولمزيد من المعلومات التقنية ومؤشرات الاختراق، يُرجى الرجوع إلى المقال المنشور على موقع Securelist.
