سرايا - كشفت تقارير أمنية حديثة عن حملة إلكترونية معقدة يقودها قراصنة يستخدمون تطبيقات وهمية مثل LetsVPN ومتصفح QQ Browser الشهير كغطاء لتوزيع برمجية خبيثة متطورة تُعرف باسم Winos 4.0.

ووفقًا لشركة الأمن السيبراني Rapid7، بدأت الحملة في فبراير 2025، وتعتمد على برنامج تحميل متطور يُعرف باسم Catena، يعمل بالكامل من ذاكرة النظام لتفادي برامج الحماية التقليدية.

ويؤكد الباحثان آنا شيروكوفا وإيفان فيجل أن "Catena" يعتمد على شفرة شل مدمجة وآليات ذكية لتغيير التكوين، ما يتيح تشغيل البرمجية الخبيثة بشكل خفي دون ترك أثر واضح، بحسب تقرير نشره موقع "thehackernews" واطلعت عليه "العربية Business".

وتبدأ الهجمة عبر مُثبّت NSIS مُعدّل، ينتحل صفة برامج معروفة، ويقوم بتحميل Winos 4.0 وتنفيذه مباشرة في الذاكرة.

وتستهدف هذه الهجمات البيئات الناطقة بالصينية بشكل خاص، في سيناريو يعكس تخطيطاً محكماً وطويل الأمد من جهة تهديد توصف بالاحترافية العالية. وأوضحت الشركة أن غالبية الخوادم التي تتحكم بالحملة تتمركز في هونغ كونغ.

Winos 4.0، والذي يُعرف أيضًا باسم ValleyRAT، هو نسخة متطورة من حصان طروادة الشهير Gh0st RAT.

ويتميز بقدرته على جمع المعلومات من الأنظمة المصابة، وتوفير تحكم عن بُعد كامل، وحتى شن هجمات تعطيل الخدمة (DDoS)، ويعتمد على بنية قائمة على الإضافات ومكتوب بلغة ++C.

وفي حملات سابقة، استغل القراصنة تطبيقات ألعاب ومُعززات سرعة كوسائل تضليل لإقناع المستخدمين بتنصيب البرمجية.

كما رُصدت هجمات تصيّد إلكتروني في فبراير 2025 استهدفت مؤسسات في تايوان، انتحلت فيها الرسائل البريدية صفة هيئة الضرائب الوطنية.

وتشير التقارير إلى أن سلسلة العدوى تبدأ بمثبّت وهمي مزوّد بحصان طروادة، يرسل أوامر من خلال منفذي TCP 18856 وHTTPS 443، ويقوم بجدولة مهام مخفية تضمن بقاء البرمجية في النظام لأطول فترة ممكنة دون أن تُكتشف.

ورغم أن البرمجية تبحث عن إعدادات اللغة الصينية، إلا أنها لا تتوقف عن التنفيذ في حال غيابها، ما يُرجح أن هذه الميزة لم تُفعّل بعد بشكل كامل، وقد تُطبق لاحقًا.

وفي تطور جديد، كشفت "Rapid7" في أبريل 2025 عن تغييرات تكتيكية في الهجمة شملت أدوات إخفاء أكثر تطورًا، ومهام PowerShell تُضيف استثناءات لـ Microsoft Defender لتفادي الكشف، إضافة إلى تحميل ملفات تنفيذية تتنكر كبرامج موثوقة.

ومن اللافت أن بعض هذه الملفات موقعة بشهادات منتهية الصلاحية يُزعم أنها صادرة عن شركة Tencent Technology، ما يُضفي مظهرًا شرعيًا يُخدع به المستخدم.

وتشير جميع الأدلة إلى أن مجموعة القرصنة المعروفة باسم Silver Fox، أو Void Arachne، تقف وراء هذه الهجمات، بالنظر إلى التشابه في البنية التحتية والاستهداف اللغوي.

ويرى خبراء الأمن أن الاعتماد على الحمولات الذاكرية والتوقيعات الرقمية المزيفة يبرهن على مدى تعقيد هذه الحملة، التي لا تزال نشطة حتى الآن، وتشكل تهديدًا متناميًا للأنظمة في المناطق المستهدفة.