استهدفت حملة تجسس سيبرانية جديدة في سبتمبر 2025 سفارة أوروبية في العاصمة الهندية نيودلهي، إلى جانب عدد من المؤسسات في سريلانكا وباكستان وبنغلاديش، ضمن نشاط منسق نفذته جهة التهديد المعروفة باسم SideWinder.
تطور ملحوظ في أساليب الهجوم
أوضحت شركة Trellix في تقرير أعده الباحثان إرنستو فرناندز بروفيسو وفام دوي فوك أن النشاط الأخير يكشف عن تطور كبير في التكتيكات والإجراءات (TTPs) التي تتبعها المجموعة، من خلال تبنّي سلسلة عدوى جديدة تعتمد على ملفات PDF وتقنية ClickOnce، إلى جانب استغلالاتهم السابقة لمستندات Microsoft Word.
بدأت الهجمات عبر أربع موجات من رسائل تصيّد موجه (Spear-Phishing) أُرسلت بين مارس وسبتمبر 2025، بهدف نشر برمجيات خبيثة مثل ModuleInstaller وStealerBot لجمع معلومات حساسة من الأنظمة المصابة.
تعمل أداة ModuleInstaller كمنزِّل (Downloader) لجلب حمولات إضافية مثل StealerBot، في حين يُعدّ الأخير زرعاً خبيثاً مكتوباً بلغة .NET قادرًا على إنشاء اتصال عكسي (Reverse Shell) وتنفيذ برمجيات إضافية وسرقة بيانات واسعة تشمل لقطات الشاشة وكلمات المرور وضربات المفاتيح والملفات.
جذور الهجوم وتطوره الإقليمي
كانت شركـة Kaspersky قد كشفت لأول مرة في أكتوبر 2024 عن ModuleInstaller وStealerBot ضمن هجمات استهدفت كيانات حساسة وبنى تحتية استراتيجية في الشرق الأوسط وأفريقيا.
وفي مايو 2025، أعلنت Acronis عن حملة أخرى للمجموعة نفسها استهدفت مؤسسات حكومية في سريلانكا وبنغلاديش وباكستان عبر مستندات ملغّمة بثغرات معروفة في Microsoft Office لتنفيذ سلسلة هجوم متعددة المراحل تنتهي بزرع StealerBot.
ملفات خادعة وواجهة من وزارة الدفاع الباكستانية
رُصدت أحدث الهجمات بعد الأول من سبتمبر 2025، واستهدفت بعثات دبلوماسية هندية عبر رسائل تصيّد تحتوي على ملفات Word وPDF تحمل عناوين مثل:
“Inter-ministerial meeting Credentials.pdf” و*“India-Pakistan Conflict – Strategic and Tactical Analysis of the May 2025.docx”*.
وقد أُرسلت هذه الرسائل من النطاق mod.gov.bd.pk-mail[.]org، في محاولة لتقمّص وزارة الدفاع الباكستانية.
وأوضحت Trellix أن نقطة الدخول الأولى للهجوم تكون دوماً عبر ملف PDF لا يمكن فتحه بشكل صحيح أو مستند Word يحتوي على ثغرة. ويحتوي ملف الـPDF على زر يدعو الضحية إلى “تنزيل أحدث نسخة من Adobe Reader لعرض المحتوى”، لكن الضغط عليه يؤدي فعلياً إلى تحميل تطبيق ClickOnce خبيث من خادم بعيد باسم mofa-gov-bd.filenest[.]live.
استغلال تطبيق شرعي وعمليات تحميل جانبية
يؤدي تشغيل هذا التطبيق إلى تحميل مكتبة DLL خبيثة (DEVOBJ.dll) في الخلفية، مع عرض مستند وهمي للتمويه. التطبيق نفسه نسخة شرعية من شركة MagTek Inc. تحمل اسم ReaderConfiguration.exe وموقّعة بتوقيع رقمي صحيح، ما يساعدها على تجنّب الاكتشاف الأمني.
كما أن الاتصال بخادم القيادة والسيطرة (C2) مقيّد جغرافيًا بمنطقة جنوب آسيا، بينما يُنشأ مسار تحميل الحمولة ديناميكيًا، مما يعقّد عملية التحليل الفني.
غاية التجسس وأساليب التمويه المتقدمة
تقوم المكتبة الخبيثة بفك تشفير وتشغيل اللودر .NET المسمى ModuleInstaller، الذي يتولى تحليل النظام المصاب وتنزيل برمجية StealerBot. وتؤكد النتائج أن المجموعة تواصل تطوير أساليبها للالتفاف على أنظمة الحماية وتحقيق أهدافها الاستخباراتية.
وقالت Trellix في ختام تقريرها إن “حملات التصيد المتكررة تُظهر قدرة المجموعة على صياغة طُعوم دقيقة موجهة لدبلوماسيين محددين، بما يعكس فهمًا عميقًا للسياقات الجيوسياسية.” وأضافت أن “الاعتماد المستمر على برمجيات خبيثة مخصصة مثل ModuleInstaller وStealerBot، إلى جانب استغلال تطبيقات شرعية لتحميل مكونات خبيثة، يبرز التزام SideWinder بأساليب التمويه المتقدمة وأهداف التجسس طويلة الأمد.”
