"كاسبرسكي" تفك شفرة أخطر برمجية تجسس في 2025

توصل فريق البحث والتحليل العالمي في شركة كاسبرسكي (GReAT) إلى أدلة جديدة تشير إلى وجود صلة بين مجموعة "Memento Labs"، المعروفة سابقًا باسم "HackingTeam"، وموجة حديثة من هجمات التجسس الإلكتروني المتطورة.

جاء هذا الاكتشاف عقب تحقيقات معمقة أجراها الفريق ضمن حملة "Operation ForumTroll" الخاصة بالتهديدات المتقدمة المستمرة (APT)، التي استغلت ثغرة أمنية في متصفح “جوجل كروم”، وعرضت كاسبرسكي نتائج البحث خلال "قمة محللي الأمن 2025" التي تعقد فعالياتها في تايلاند بين 26 و29 أكتوبر الجاري.

حملة تجسس إلكتروني متطورة

وفي مارس 2025، أعلن فريق GReAT اكتشاف حملة التجسس الإلكتروني المتطورة "Operation ForumTroll"، التي استغلت ثغرة أمنية في متصفح "جوجل كروم" تحمل الرمز (CVE-2025-2783)، ونفذتها مجموعة تهديدات متقدمة من خلال إرسال رسائل تصيّد احتيالي مموّهة في شكل دعوات لحضور منتدى "Primakov Readings"، استهدفت وسائل إعلام روسية ومؤسسات تعليمية وهيئات حكومية.

وخلال تحقيقاتهم في العملية، كشف الباحثون أن المهاجمين استخدموا برمجية التجسس "LeetAgent"، التي تميّزت بأوامرها البرمجية المكتوبة بلغة "leetspeak"، وهي سمة غير مألوفة في البرمجيات الخبيثة المتطورة. 

وأظهر التحليل الإضافي وجود تشابه بين الأدوات المستخدمة في الحملة وبرمجية تجسس أكثر تطورًا تم رصدها سابقًا من قبل فريق GReAT، حيث تبين أن "LeetAgent" كانت تطلق البرمجية الثانية في بعض الحالات، أو أن كلتا البرمجيتين اعتمدتا على إطار تحميل مشترك.

تقنيات تخفي متقدمة

كما اكتشف الباحثون أن برمجيات التجسس الأخرى في الحملة استخدمت تقنيات متقدمة للتخفي من التحليل، من بينها تقنية التمويه "VMProtect". وتمكّن فريق كاسبرسكي من تحديد اسم البرمجية الخبيثة الجديدة من خلال تحليل كودها البرمجي، وأطلق عليها اسم "Dante". 

وتوصل الفريق إلى أن برمجية تجسس تجارية تحمل الاسم نفسه كانت تروج لها مجموعة "Memento Labs"، التي أعيد إطلاقها بهذا الاسم بعد أن كانت تُعرف سابقًا باسم “HackingTeam”، وتشترك برمجية "Dante" في خصائص تقنية عديدة مع أحدث نسخ برمجية "Remote Control System" التي طورتها "HackingTeam"، وفقًا لما أكده فريق GReAT.

برمجيات تجسس معقدة

وقال الباحث الأمني الرئيسي في فريق GReAT لدى كاسبرسكي،  بوريس لارين، إنه توجد شركات معروفة بتطوير برمجيات تجسس معقدة تجعل من الصعب رصد منتجاتها في الهجمات الموجهة، خاصة عندما يتعذر تحديد الجهة المصنعة. 

وأضاف أنه لتحديد مصدر برمجية Dante، كان يجب تحليل طبقات متعددة من الشفرات المموهة وتتبع بصمات رقمية دقيقة على مدى سنوات من تطور البرمجيات الخبيثة، وربطها بأصول الشركات، ولذلك أُطلق عليها اسم Dante، لأن تتبع جذورها كان عملية متعبة وطويلة.

وأشار فريق كاسبرسكي إلى أن أول استخدام تم رصده لبرمجية "LeetAgent" يعود إلى عام 2022، وأن مجموعة "ForumTroll" واصلت تنفيذ هجماتها على مؤسسات وأفراد في روسيا وبيلاروسيا، وتتميز المجموعة بإتقانها للغة الروسية ومعرفتها العميقة بالبيئة المحلية، إلا أن بعض الأخطاء اللغوية أظهرت أن المهاجمين ليسوا ناطقين أصليين باللغة الروسية.

وكان حل "Kaspersky Next XDR Expert" أول من اكتشف الهجوم الذي استخدم برمجية “LeetAgent”، وأوضحت الشركة أن التفاصيل الكاملة للبحث، بالإضافة إلى التحديثات المستقبلية حول مجموعة "ForumTroll APT" وبرمجية "Dante"، ستكون متاحة لعملاء خدمة الإبلاغ عن التهديدات المتقدمة المستمرة من خلال بوابة "Kaspersky Threat Intelligence".

اقرأ أيضًا:

احتيال جديد عبر واتساب.. تصويت زائف ينتهي بالاستيلاء على الحساب

6 خطوات لحماية منزلك الذكي من الاختراق

باب خلفي للقراصنة.. "كاسبرسكي" تحذر من صور الذكاء الاصطناعي الكرتونية