Netcrook Logo
👤 AGONY
🗓️ 08 Apr 2026   🌍 Europe

تخفٍّ في الظلال: APT28 الروسية تطلق برمجية PRISMEX الخبيثة على سلاسل إمداد أوكرانيا وحلف الناتو

العنوان الفرعي: موجة جديدة من التجسّس السيبراني الروسي توظّف برمجيات خبيثة متقدمة واستغلالات لثغرات يوم الصفر لاستهداف أوكرانيا وحلفائها، مهدِّدةً أمن المعلومات والبنية التحتية الحيوية.

ساحة المعركة الرقمية أصبحت أكثر غدراً. في حملة هجومية تبدو كأنها فصل من رواية تجسّس، قامت مجموعة الاختراق الروسية APT28 - المعروفة أيضاً باسم Forest Blizzard وPawn Storm - بنشر حزمة برمجيات خبيثة متطورة تحمل اسم PRISMEX ضد أوكرانيا وشركائها في حلف الناتو. وتكشف العملية، النشطة منذ سبتمبر 2025 على الأقل، عن جهد محسوب لتعطيل سلاسل الإمداد، وجمع المعلومات الاستخبارية، وربما تخريب الدعم الحيوي لمجهود أوكرانيا الحربي.

داخل دليل PRISMEX التشغيلي

كشف باحثون من Trend Micro وAkamai نمطاً مقلقاً: باتت APT28 تسلّح عيوباً برمجية مكتشفة حديثاً قبل أن يعرف العالم بوجودها أصلاً. في هذه الحملة، ربطت المجموعة بين ثغرتين من نوع يوم الصفر في Microsoft Windows ضمن هجوم ذكي من مرحلتين. أولاً، تقوم CVE-2026-21509 بخداع جهاز الضحية لجلب ملف اختصار خبيث. ثم تُستغل CVE-2026-21513 لتجاوز الحماية بصمت وتنفيذ البرمجية الخبيثة - من دون تحذيرات، ومن دون فرصة للمدافعين للرد.

أما حزمة PRISMEX نفسها فهي تحفة تقنية في فنون التمويه. إذ تجمع بين الإخفاء داخل الصور (إخفاء الشيفرة داخل ملفات الصور)، واختطاف نموذج كائنات المكوّنات (COM) لضمان الاستمرارية، وإساءة استخدام خدمات التخزين السحابي الشرعية لاتصالات القيادة والتحكم. ويمكن أن تبدأ سلسلة العدوى بمستند Excel مفخخ (PrismexSheet) يقوم، عند تفعيل وحدات الماكرو، باستخراج حمولات مخفية وعرض مستند طُعم حول جرد الطائرات المسيّرة - تمويهٌ لغايته الحقيقية.

ومن هناك، تُعدّ مكوّنات متخصصة مثل PrismexDrop وPrismexLoader النظام لاختراق أعمق، عبر استخراج شيفرة خبيثة إضافية من الصور وتشغيلها بالكامل في الذاكرة لتفادي الرصد. ثم تتصل الحمولة النهائية، PrismexStager، بخوادم بعيدة مستخدمةً التخزين السحابي كقناة سرية، ما يوسّع نطاق وصول المخترقين أكثر. واللافت أن الحملة توظّف أيضاً COVENANT، وهو إطار عمل مفتوح المصدر، لتمكين كل شيء من سرقة البيانات إلى المسح التدميري للملفات - مُطمِسةً الحدود بين التجسّس والتخريب الصريح.

لم تمر هذه العملية دون انتباه المدافعين. فقد ربطت CERT الأوكرانية وفرق البحث حول العالم هذه الهجمات باستراتيجية أوسع: تقويض ليس الأهداف العسكرية فحسب، بل المنظومة بأكملها التي تدعم أوكرانيا، من الخدمات اللوجستية إلى الاستجابة للطوارئ. كما أن اختيار الأهداف - بما في ذلك خدمات الأرصاد الجوية والممرات الإنسانية - يشير إلى تحوّل نحو تعطيل العمليات، قد ينذر بهجمات سيبرانية أكثر تدميراً في المستقبل.

نظرة إلى الأمام

تُعد حملة PRISMEX تذكيراً صارخاً بأن خطوط المواجهة الرقمية لا تقل أهمية عن تلك على الأرض. ومع استمرار جهات التهديد مثل APT28 في الابتكار، يتعيّن على المدافعين البقاء في حالة يقظة، وترقيع الثغرات بسرعة، وتثقيف المستخدمين حول مخاطر المستندات والروابط التي تبدو بريئة. في هذا الصراع السيبراني المتطور، الرهانات ليست بيانات فحسب - بل أرواح، وسلاسل إمداد، وقدرة دولٍ محاصَرة على الصمود.

WIKICROOK

  • APT28: APT28، أو Fancy Bear، هي مجموعة اختراق روسية مدعومة من الدولة معروفة بالتجسّس السيبراني ضد حكومات ومنظمات غربية.
  • Zero: ثغرة يوم الصفر هي خلل أمني خفي غير معروف لصانع البرمجيات، ولا يتوفر له إصلاح، ما يجعلها عالية القيمة والخطورة للمهاجمين.
  • Steganography: الإخفاء داخل الملفات يخفي رسائل أو شيفرة سرية داخل ملفات يومية مثل الصور أو الصوت، ما يجعل المعلومات المخفية صعبة الاكتشاف.
  • COM Hijacking: اختطاف COM هو قيام المهاجمين بتعديل إعدادات ويندوز لجعل النظام يحمّل برامجهم الخبيثة بدلاً من البرمجيات الشرعية.
  • Command: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالباً من خادم قيادة وتحكم (C2)، لتوجيهه لتنفيذ إجراءات محددة، أحياناً لأغراض خبيثة.
APT28 PRISMEX Cyber-espionage
AGONY AGONY
Elite Offensive Security Commander
← Back to news