Netcrook Logo
👤 LOGICFALCON
🗓️ 09 Apr 2026   🌍 Asia

التصيد من أجل النفوذ: اختراق ببرمجية «LucidRook» الخبيثة يستهدف منظمات تايوان غير الحكومية وجامعاتها

العنوان الفرعي: حملة برمجيات خبيثة جديدة ومتخفية توظّف برمجة Lua وتمويهاً كثيفاً لاختراق منظمات حساسة في تايوان.

عندما تصل إلى صندوق بريدك رسالة حكومية تبدو بريئة، قد لا تفكر مرتين قبل فتحها. لكن بالنسبة للمنظمات غير الحكومية والجامعات في تايوان، قد تكون تلك النقرة البسيطة الخطوة الأولى في كمين رقمي متقن. هنا يظهر LucidRook: برمجية خبيثة جديدة مكتشفة حديثاً، معيارية البنية، حوّلها إلى سلاح فريق غامض مولع بالسرية - وبلمسة من الابتكار التقني.

تشريح تهديد خفي

اكتشفه باحثو Cisco Talos، وظهر LucidRook لأول مرة في أكتوبر 2025 مرتبطاً بحملات تصيد موجّه صيغت بعناية لخداع الضحايا. واستغل المهاجمون سلسلتي عدوى: إحداهما تعتمد على ملفات اختصار ويندوز (LNK) متنكرة في هيئة وثائق رسمية، والأخرى تستخدم برنامج «مكافحة فيروسات» مزيفاً ينتحل برمجيات الأمان الخاصة بـ Trend Micro.

الضحايا الذين استُدرجوا إلى هذه الفخاخ أطلقوا دون قصد عدوى متعددة المراحل. وفي نهاية سلسلة LNK، جرى نشر مُسقِط (dropper) باسم LucidPawn، والذي - في التفاف ذكي - حمّل LucidRook جانبياً عبر استغلال ملف تنفيذي شرعي متنكر على أنه Microsoft Edge. أتاح ذلك للبرمجية الخبيثة الاندماج مع عمليات النظام الطبيعية، متفاديةً أساليب الكشف الأساسية.

ما يميز LucidRook هو بنيته المعيارية ومفسّر Lua المدمج. فبدلاً من ترميز وظائفه بشكل ثابت، يجلب البرمجية الخبيثة وينفّذ بايت كود Lua «لحظياً»، ما يجعلها مرنة وأصعب بكثير على المدافعين لتحليلها. يمكن للمهاجمين تحديث حمولاتهم أو تفصيلها لكل هدف دون إعادة كتابة النواة، وبمجرد تسليم الحمولة يمكن حذفها سريعاً من خوادم القيادة والتحكم - مخلّفةً أدلة جنائية قليلة.

مهمة LucidRook؟ استطلاع النظام. فهو يجرد بهدوء أسماء المستخدمين وتفاصيل الحاسوب والتطبيقات المثبتة والعمليات الجارية. ثم تُشفَّر هذه البيانات باستخدام خوارزميات RSA، وتُضغط في ملفات محمية بكلمات مرور، وتُنقل خلسة إلى خوادم FTP يديرها المهاجمون. وفي حالة واحدة على الأقل، استخدمت أداة ذات صلة تُدعى LucidKnight خدمات SMTP الخاصة بـ Gmail لتهريب البيانات، ما يبرز رشاقة المجموعة التشغيلية.

وعلى الرغم من الغوص العميق الذي أجراه Talos، تظل إجراءات المرحلة الثانية الدقيقة غامضة. إذ لم يتمكن الباحثون من التقاط حمولات Lua المفككة التشفير التي كانت ستكشف القدرات الكاملة لـ LucidRook - وهو تذكير مقلق بمدى ضآلة ما يراه المدافعون أحياناً.

الخلاصة

يمثل LucidRook تحذيراً صارخاً: التهديدات السيبرانية الحديثة تتطور، وتمزج بين التعقيد التقني والهندسة الاجتماعية لاستهداف قلب المجتمع المدني. وبالنسبة للمنظمات غير الحكومية والجامعات في تايوان، لم تعد اليقظة خياراً. ومع صقل المهاجمين لأدواتهم، يجب على المدافعين شحذ أدواتهم - وإلا خاطروا بأن يُناوروا في لعبة تتغير قواعدها مع كل حملة جديدة.

WIKICROOK

  • Lua: Lua لغة برمجة خفيفة وسهلة الدمج تُستخدم لإنشاء أدوات وسكربتات سريعة وفعّالة، خصوصاً في الأمن السيبراني وتطوير البرمجيات.
  • Spear: التصيد الموجّه هو هجوم سيبراني مستهدف يستخدم رسائل بريد إلكتروني مُخصّصة لخداع أفراد أو منظمات بعينها للكشف عن معلومات حساسة.
  • ملف LNK: ملف LNK هو اختصار في ويندوز يربط بملف أو برنامج. يمكن للمهاجمين استغلال ملفات LNK لتشغيل أوامر مخفية أو برمجيات خبيثة.
  • التحميل الجانبي لـ DLL: التحميل الجانبي لـ DLL يحدث عندما يخدع المهاجمون برامج موثوقة لتحميل ملفات مساعدة خبيثة (DLL) بدلاً من الملفات الشرعية، ما يتيح هجمات خفية.
  • أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالباً من خادم قيادة وتحكم (C2)، لتوجيهه لتنفيذ إجراءات محددة، أحياناً لأغراض خبيثة.
LucidRook Taiwan NGOs Cybersecurity
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news