دبلوماسية الأشباح: كيف اختطف «شبح الغبار» شبكات حكومة العراق ببرمجيات خبيثة متطورة
العنوان الفرعي: مجموعة اختراق جديدة مرتبطة بإيران تنشر برمجيات SPLITDROP وGHOSTFORM الخبيثة ضمن حملة متقنة تستهدف مسؤولين عراقيين.
عندما تصل رسالة بريد إلكتروني من وزارة الخارجية العراقية، لا يتردد معظم المسؤولين الحكوميين كثيرًا قبل فتحها. لكن في مطلع عام 2026، جرى تسليح هذه الثقة. فقد تمكنت مجموعة اختراق مراوغة، أُطلق عليها الآن اسم «شبح الغبار»، من تجاوز الدفاعات وإطلاق سلالة جديدة من البرمجيات الخبيثة، محوِّلة البنية التحتية الرسمية العراقية إلى منصة للتجسس - وربما لشيء أسوأ بكثير.
حقائق سريعة
- «شبح الغبار» جهة تهديد يُشتبه بارتباطها بإيران وتستهدف مسؤولين في الحكومة العراقية.
- تستخدم الحملة برمجيات خبيثة متقدمة: SPLITDROP وTWINTASK وTWINTALK وGHOSTFORM.
- انتحل المهاجمون صفة وزارة الخارجية العراقية واستغلوا بنية تحتية حكومية حقيقية.
- تستخدم البرمجيات الخبيثة تقنيات تخفٍّ مثل التحميل الجانبي (sideloading) والتنفيذ داخل الذاكرة والتسييج الجغرافي (geofencing).
- تشير الأدلة إلى أن أدوات الذكاء الاصطناعي التوليدي ساعدت في تطوير شيفرة البرمجيات الخبيثة.
تشريح هجوم شبحٍ خفي
بدأت حملة «شبح الغبار»، التي كشف عنها Zscaler ThreatLabz، بخدعة مقنعة: مرفقات بريد إلكتروني محمية بكلمة مرور صُممت لتبدو كاتصالات رسمية من وزارة الخارجية العراقية. كان بداخلها SPLITDROP، وهو مُسقِط برمجيات خبيثة مبني على .NET. وأطلق ذلك سلسلة تفاعلات حمّلت وحدتين إضافيتين - TWINTASK وTWINTALK - على أنظمة الضحايا.
كان TWINTASK، المتنكر في هيئة DLL شرعية، يحمّل نفسه جانبيًا باستخدام ملف ثنائي حقيقي لمشغل الوسائط VLC. وكل 15 ثانية كان يستطلع وجود أوامر جديدة، وينفذها عبر PowerShell ويسجل النتائج بهدوء. وفي الوقت نفسه، عمل TWINTALK كمنسّق للقيادة والتحكم (C2)، متواصلًا مع خادم بعيد، ومنسقًا للأوامر، ومهرّبًا للبيانات المسروقة. وتعاونت الوحدتان عبر نظام بسيط قائم على ملفات نصية، مع تفادي الرصد عبر تأخيرات عشوائية وإشارات (beacons) معتمدة على الملفات.
ولم تتوقف العملية عند هذا الحد. ففي انعطافة أكثر تقدمًا، دمج «شبح الغبار» أدواته في GHOSTFORM، وهو ملف ثنائي واحد ينفذ جميع الأفعال الخبيثة مباشرة داخل الذاكرة - مخلّفًا شبه لا أثر على القرص. وبعض عينات GHOSTFORM كانت تفتح حتى استبيانات مزيفة باللغة العربية، متنكرة كاستمارات حكومية رسمية، لتعزيز الخداع. كما عثر الباحثون على أدلة - مثل رموز تعبيرية موضعية ونص مولّد بالذكاء الاصطناعي - تشير إلى استخدام الذكاء الاصطناعي التوليدي في صياغة البرمجيات الخبيثة.
وبعيدًا عن البراعة التقنية، استغل «شبح الغبار» هندسة اجتماعية تذكّر بعمليات احتيال «ClickFix». ففي حملة سابقة، استخدمت المجموعة دعوة Cisco Webex مزيفة لخداع المستخدمين وتشغيل نص PowerShell خبيث، يجلب حمولات إضافية ويُعدّ مهامًا مجدولة لضمان الاستمرارية. وساعدت البنية التحتية - خوادم حكومية عراقية مخترقة - البرمجيات الخبيثة على الاندماج وجعلت اكتشافها أكثر صعوبة.
ورغم أن الإسناد معروف بصعوبته، فإن الحملة تحمل سمات مجموعات إيرانية راسخة مثل OilRig (APT34) - أبواب خلفية مخصصة مبنية على .NET، واستخدام بنية تحتية إقليمية، وتركيز على أهداف حكومية في الشرق الأوسط.
تأملات: عصر جديد من التجسس
هجوم «شبح الغبار» على مسؤولي العراق ليس مجرد اختراق آخر - إنه إشارة. فمن خلال الجمع بين التعقيد التقني والهندسة الاجتماعية وأحدث ما توصل إليه تطوير البرمجيات الخبيثة بمساعدة الذكاء الاصطناعي، تُبرز هذه الحملة كتيّب اللعب المتطور للتجسس السيبراني المرتبط بالدول. وبالنسبة للحكومات والمدافعين، فالرسالة واضحة: لا تثقوا بشيء، تحققوا من كل شيء، وتوقعوا أن يبتكر خصومكم أسرع من أي وقت مضى.
WIKICROOK
- أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا بواسطة خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
- التحميل الجانبي لـ DLL: التحميل الجانبي لـ DLL هو عندما يخدع المهاجمون برامج موثوقة لتحميل ملفات مساعدة خبيثة (DLLs) بدلًا من الملفات الشرعية، ما يتيح هجمات خفية.
- داخل: يتيح نظام الدفع داخل التطبيق للمستخدمين شراء سلع أو خدمات رقمية مباشرة داخل التطبيق، موفرًا الراحة وتحكمًا أكبر بالإيرادات للمطورين.
- الهندسة الاجتماعية: الهندسة الاجتماعية هي استخدام الخداع من قبل المخترقين لخداع الناس كي يكشفوا معلومات سرية أو يوفروا وصولًا غير مصرح به إلى الأنظمة.
- الاستمرارية: تتضمن الاستمرارية تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء على الأنظمة، غالبًا عبر محاكاة عمليات أو تحديثات شرعية.
