Netcrook Logo
👤 AGONY
🗓️ 14 Apr 2026   🌍 Africa

ظلّ في USB: دودة PlugX تعيد رسم خريطة الإصابات السيبرانية العالمية

نسخة ماكرة من PlugX تُحيي برمجيات USB الخبيثة، وتتسلّل إلى الأنظمة عبر التحميل الجانبي من أفريقيا إلى آسيا - مختبئة على مرأى من الجميع.

تبدأ بنقرة بريئة - قرص قابل للإزالة، أيقونة مألوفة، لا شيء خارج المألوف. لكن تحت تلك الواجهة، تحفر دودة تجسّس سيبراني متطورة عميقًا، وتختطف برمجيات موثوقة لسرقة البيانات ثم تتوارى دون أن تُكتشف. دودة PlugX عبر USB، المرتبطة منذ زمن بفرق تجسّس صينية، عادت للظهور بحيل جديدة وبمدى عالمي أدهش باحثي الأمن.

PlugX ليس مبتدئًا في عالم أحصنة طروادة للوصول عن بُعد (RATs). لكن هذه النسخة الأخيرة، التي كُشف عنها لأول مرة في منتصف 2022 في المحيط الهادئ، مختلفة: فهي لا تُغرق صناديق البريد بالرسائل ولا تختطف المواقع. بدلًا من ذلك، تنتشر عبر عصا USB المتواضعة، مستغلة عادات قديمة لاختراق حتى أكثر الشبكات عزلة.

إليك كيف تعمل: يزرع المهاجمون وحدات USB بنسخة مفخخة من الملف التنفيذي الشرعي لخدمة Avast - AvastSvc.exe - مقترنةً بـ DLL خبيث (wsc.dll) وحمولة PlugX مشفّرة. عندما يوصّل المستخدم الوحدة وينقر على اختصار يبدو غير مؤذٍ، يقوم Windows بتشغيل ملف Avast المُعاد تسميته، والذي يحمّل بهدوء DLL المارق ويفك تشفير الباب الخلفي. يحدث كل ذلك دون أن يُرى، مخفيًا داخل دليل متنكر على هيئة سلة المحذوفات الخاصة بالنظام.

ولا يكتفي البرنامج الخبيث بموطئ قدم. فهو ينفّذ أوامر استطلاع، ويتعقّب المستندات وجداول البيانات، ويشفّرها، ثم يخبّئ الغنيمة بأسماء ملفات مُرمّزة بـ base64 - ما يجعل الكشف والتحليل صداعًا حقيقيًا. وعلى وحدة USB، يعني الاستخدام الذكي لاختصارات Windows والسمات المخفية أن القرص يبدو فارغًا، باستثناء اختصار واحد هو في الواقع منصة إطلاق للعدوى.

وما يثير القلق بشكل خاص هو الانتشار المُستهدف للدودة. يشير الباحثون إلى أن الإصابات تظهر في مجموعات متباعدة جغرافيًا لكنها متقاربة بإحكام، ما يدل على استراتيجية توزيع قائمة على زرع وحدات USB عمدًا - ربما عبر متعاونين من الداخل، أو اختراقات لسلسلة التوريد، أو إسقاطات مادية - بدلًا من التصيّد الجماعي الأعمى.

خلف الكواليس، تُرسل الدودة تقاريرها إلى خادم قيادة وتحكم سبق ربطه بمشغّلي PlugX من PKPLUG/Mustang Panda. وتكشف القياسات عن بُعد أنه، بعد سنوات من التفشيات الأولى، لا تزال عشرات الآلاف من الأنظمة المصابة تتصل يوميًا - دليل على أن ديدان USB، التي كان يُعتقد أنها اندثرت، ما تزال تزدهر في ظلال مشهد التهديدات الحديث.

إن عودة PlugX عبر USB تذكير صارخ: حتى أساليب الهجوم القديمة يمكن أن تولد من جديد بتعديلات طفيفة، متجاوزةً الدفاعات الحديثة ومستغلةً العادات القديمة. وبينما تُكثّف المؤسسات جهودها في أمن السحابة، تظل وحدة USB المتواضعة - التي كثيرًا ما يُغفل عنها - ناقلًا قويًا للتهديدات المتقدمة. العبرة؟ في الأمن السيبراني، لا يُغلق أي باب حقًا، وغالبًا ما تكون أقدم الحيل هي الأصعب اقتلاعًا.

WIKICROOK

  • التحميل الجانبي لـ DLL: التحميل الجانبي لـ DLL هو عندما يخدع المهاجمون برامج موثوقة لتحميل ملفات مساعدة خبيثة (DLLs) بدلًا من الملفات الشرعية، ما يتيح هجمات خفية.
  • حصان طروادة للوصول عن بُعد (RAT): حصان طروادة للوصول عن بُعد (RAT) هو برمجية خبيثة تتيح للمهاجمين التحكم سرًا في حاسوب الضحية من أي مكان، بما يمكّن السرقة والتجسس.
  • أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
  • Air: بيئة معزولة (Air-gapped) هي حاسوب أو شبكة معزولة ماديًا، غير متصلة بالشبكات غير الآمنة لحماية البيانات الحساسة من التهديدات السيبرانية.
  • ترميز Base64: يحوّل ترميز Base64 البيانات إلى سلسلة نصية قابلة للقراءة، ما يجعل تضمين الملفات والشفرة أو نقلها داخل الأنظمة المعتمدة على النص أسهل.
PlugX worm USB malware cyber espionage
AGONY AGONY
Elite Offensive Security Commander
← Back to news