Netcrook Logo
👤 AGONY
🗓️ 30 Dec 2025   🌍 Asia

ظل في النواة: كيف يتفوق أحدث روتكيت من HoneyMyte على دفاعات الأمن السيبراني في جنوب شرق آسيا

العنوان الفرعي: كشف المحققون عن حملة تجسس إلكتروني خفية تنشر نوعًا جديدًا من الأبواب الخلفية عبر شبكات حكومية في ميانمار وتايلاند.

في زوايا الفضاء السيبراني المظلمة، يتطور مفترس رقمي. بينما ينام معظم العالم، أطلقت مجموعة القرصنة الشهيرة المعروفة باسم HoneyMyte - وتسمى أيضًا Mustang Panda - موجة جديدة من الهجمات التي تتغلغل أعمق من أي وقت مضى في قلب أنظمة الحواسيب الحكومية. سلاحهم الأخير: روتكيت شبه غير مرئي يوفر بابًا خلفيًا قويًا للتجسس، متجنبًا حتى أكثر أدوات الأمن حدة.

بدأت العملية، التي اكتشفها باحثو كاسبرسكي لأول مرة، بهدوء في فبراير 2025. تستهدف مكاتب حكومية في جميع أنحاء جنوب وشرق آسيا، مع تركيز خاص على ميانمار وتايلاند. طريقة المهاجمين ماكرة ومتقدمة تقنيًا. في جوهرها يوجد ملف سائق خبيث يُدعى ProjectConfiguration.sys، صُمم لتجاوز الدفاعات القياسية من خلال التظاهر بأنه "ميني-فلتر" - وهو نوع من مكونات النظام يدير كيفية انتقال البيانات عبر ويندوز.

لكن العبقرية الحقيقية لهذا الهجوم تكمن في عباءته الشرعية. استغل القراصنة شهادة رقمية مسروقة من شركة تقنية صينية. رغم أن الشهادة انتهت صلاحيتها منذ ما يقرب من عقد، إلا أنها لا تزال تخدع ويندوز ليعامل البرمجية الخبيثة كموثوقة، مما يسمح لها بتجاوز التحذيرات الداخلية وفحوصات مكافحة الفيروسات.

هذا الروتكيت ليس فقط صعب الاكتشاف - بل يكاد يكون من المستحيل إزالته. إذا حاول برنامج مكافحة الفيروسات حذفه أو عزله، يقوم السائق ببساطة بحظر المحاولة. بل ويعبث بأساسيات Microsoft Defender، ويغير "الارتفاع" الخاص به حتى تعمل البرمجية الخبيثة على مستوى أدنى وأكثر امتيازًا، معترضة الأوامر قبل أن يتمكن برنامج الأمان من الرد.

الهدف النهائي؟ نشر باب ToneShell الخلفي، وهو أداة تجسس متقدمة قادرة على سرقة الملفات، وتسريب البيانات الحساسة، وتنفيذ الأوامر عن بعد. تقوم البرمجية الخبيثة بحقن ToneShell في عملية تمويه، لتندمج مع نشاط ويندوز الطبيعي. ولتجنب الاكتشاف أثناء التواصل مع خوادم التحكم، يتنكر ToneShell ليبدو كأنه اتصال TLS 1.3 آمن - وهي تقنية تخدع كلًا من مراقبي الشبكة والمحللين.

تتبع الباحثون بنية القراصنة التحتية إلى نطاقات تم تسجيلها قبل أشهر، مما يدل على تخطيط دقيق. معظم الأنظمة المخترقة كانت مصابة بالفعل ببرمجيات HoneyMyte القديمة، مثل دودة ToneDisk عبر USB أو PlugX، مما يجعل الاكتشاف والمعالجة مهمة شاقة. ونظرًا لأن هذا التهديد يعمل تقريبًا بالكامل في الذاكرة ويستخدم تقنيات حماية متقدمة للشل كود، غالبًا ما تكون أدوات مكافحة الفيروسات التقليدية عاجزة عن اكتشافه. ويحث الخبراء الآن المؤسسات على تطبيق تحليلات ذاكرة متقدمة وفحص حركة الشبكة بحثًا عن الشذوذ لاصطياد هذه الأشباح الرقمية.

تعد هذه الحملة الجديدة تذكيرًا صارخًا بأن التجسس الإلكتروني يتطور باستمرار. ومع قيام المهاجمين بتحسين أساليبهم والتغلغل أعمق في جوهر العالم الرقمي، يجب على المدافعين تجاوز الفحوصات السطحية والاستثمار في صيد التهديدات المتقدمة للبقاء متقدمين بخطوة. في عالم الإنترنت السفلي، تتحرك الظلال دائمًا.

ويكيكروك

  • روتكيت: الروتكيت هو برمجية خبيثة خفية تخفي نفسها على الجهاز، مما يسمح للمهاجمين بالتحكم السري في النظام وتجنب الاكتشاف.
  • شهادة رقمية: الشهادة الرقمية هي وثيقة إلكترونية تثبت هوية المواقع أو البرامج، وتساعد في ضمان التواصل الآمن والموثوق عبر الإنترنت.
  • ميني: سائق الميني-فلتر هو مكون خفيف الوزن في ويندوز يُستخدم لمراقبة أو اعتراض أو تعديل عمليات نظام الملفات لأغراض الأمان والإدارة.
  • باب خلفي: الباب الخلفي هو وسيلة خفية للوصول إلى جهاز كمبيوتر أو خادم، متجاوزًا الفحوصات الأمنية العادية، وغالبًا ما يستخدمه المهاجمون للسيطرة السرية.
  • شل كود: الشل كود هو برنامج صغير يحقنه المهاجمون لتنفيذ أوامر أو تنزيل المزيد من البرمجيات الخبيثة، وغالبًا ما يُستخدم لاستغلال الثغرات في الأنظمة.
HoneyMyte Cyber-espionage Rootkit
AGONY AGONY
Elite Offensive Security Commander
← Back to news