في تطور جديد يسلط الضوء على تعقيدات الحرب السيبرانية، رُصدت مجموعة تهديد تُعرف باسم Silver Fox وهي تدير عملية تضليل متقنة تستهدف مؤسسات في الصين، مستخدمةً نسخة مزيفة من برنامج Microsoft Teams لنشر برمجية خبيثة تُعرف باسم ValleyRAT. هذه الحملة بدأت منذ نوفمبر 2025، وتستند إلى تقنيات تسميم نتائج البحث (SEO poisoning) لخداع المستخدمين وتحويلهم إلى مواقع مزيفة.
حملة تضليل تحمل بصمات روسية زائفة
وفقًا لتقرير باحثين في شركة ReliaQuest، عمدت Silver Fox إلى إدخال عناصر لغوية روسية (سيريلية) داخل محمل البرمجية، في محاولة لإرباك جهود الإسناد وإيهام المحققين بأن الهجوم صادر عن جهات روسية. هذا الأسلوب يبرز كيف أصبحت الحرب السيبرانية ميدانًا للتضليل الجيوسياسي، حيث لا يقتصر الهدف على الاختراق بل يمتد إلى تشويش مسارات التحقيق.
ValleyRAT.. أداة سيطرة وتجسس طويلة الأمد
البرمجية الخبيثة ValleyRAT، وهي نسخة مطوّرة من Gh0st RAT المرتبطة تاريخيًا بمجموعات قرصنة صينية، تمنح المهاجمين قدرة على التحكم عن بُعد بالأجهزة المصابة، وسرقة البيانات الحساسة، وتنفيذ أوامر عشوائية، والحفاظ على وجود دائم داخل الشبكات المستهدفة. هذا النوع من البرمجيات يُعد من أخطر أدوات التجسس الإلكتروني، إذ يتيح للمهاجمين بناء شبكة وصول مستمرة يصعب اكتشافها.
آلية الهجوم عبر ملف تيمز مزيف
الحملة تعتمد على موقع مزيف يقدّم للمستخدمين خيار تحميل برنامج Teams، بينما يتم تنزيل ملف مضغوط باسم “MSTчamsSetup.zip” من خوادم سحابية تابعة لـ Alibaba. داخل الملف يوجد نسخة معدلة من “Setup.exe” تقوم بتعطيل بعض أدوات الحماية مثل 360 Total Security، وتعديل إعدادات Microsoft Defender، ثم زرع نسخة خبيثة من المثبّت (“Verifier.exe”) في مجلد النظام. لاحقًا، تُطلق البرمجية ملفات إضافية وتحقن DLL خبيثًا في عملية نظام شرعية (“rundll32.exe”) لتفادي الرصد، قبل أن تتصل بخادم خارجي لجلب الحمولة النهائية.
أهداف مالية وجيوسياسية
بحسب الباحثين، فإن أهداف Silver Fox تتراوح بين تحقيق مكاسب مالية عبر الاحتيال والسرقة، وجمع معلومات استخباراتية حساسة تمنحها ميزة جيوسياسية. هذا يضع المؤسسات المستهدفة أمام مخاطر فورية تشمل تسريب البيانات، خسائر مالية، وتعطيل الأنظمة، بينما تحافظ المجموعة على “الإنكار الممكن” لتعمل بعيدًا عن أي ارتباط مباشر بجهات حكومية.
