Netcrook Logo
👤 AGONY
🗓️ 26 Feb 2026   🌍 Asia

تيليغرام يتحوّل إلى حصان طروادة: هجمات هيدرا سايغا الخفية على مرافق آسيا الوسطى الحيوية

العنوان الفرعي: مجموعة تجسّس سيبراني غامضة تستغل تيليغرام كمركز أوامر سري، مخترقة بنى تحتية حيوية عبر آسيا الوسطى وما بعدها.

في أواخر عام 2024، ظهر بهدوء على VirusTotal ملف يبدو بريئًا بعنوان «رسالة من الممثل الدائم لتركمانستان لدى الأمم المتحدة». خلف هذه الواجهة الرتيبة كانت تختبئ حملة تجسّس سيبراني متطورة - حملة امتدت ارتداداتها لاحقًا إلى قلب أكثر شبكات الحكومات والمرافق حساسية في آسيا الوسطى. الجهة المسؤولة: هيدرا سايغا، فاعل تهديد متخفٍ يوظّف تطبيق المراسلة الشهير تيليغرام كخط حياة سري للتحكم والقيادة (C2).

التجسّس عبر رسالة فورية

يمزج دليل عمل هيدرا سايغا بين الهندسة الاجتماعية على الطريقة القديمة والتخفي الحديث القائم على السحابة. غالبًا ما يبدأ الوصول الأولي برسائل تصيّد عبر البريد الإلكتروني: أرشيفات محمية بكلمة مرور، ووثائق طُعم تشير إلى أحداث محلية، وماكروات خبيثة تُطلق حمولات PowerShell - كلها مُفصّلة وفق لغة الهدف وسياقه. وما إن يتم الاختراق، ينفّذ مُحمِّل المجموعة نصًا برمجيًا لـPowerShell يتصل بصمت بـBot API الخاص بتيليغرام، مستطلعًا التعليمات ومهرّبًا الملفات عبر محادثات مشفّرة.

يكشف التحليل التقني عن نهج عملي يدوي. يستخدم المهاجمون أدوات ويندوز المدمجة للحركة الجانبية وسرقة بيانات الاعتماد - بتفريغ ملفات كلمات المرور، والتقاط شاشات تسجيل الدخول، وتصدير خلايا السجل الحساسة. وتُحافَظ الاستمرارية عبر مهام مجدولة وتعديلات على السجل، بما يضمن بقاء الباب الخلفي المعتمد على تيليغرام بعد إعادة التشغيل والتحديثات.

من حروب المياه إلى شبكات الغاز

نطاق الحملة استراتيجي بقدر ما هو تقني. بين أواخر 2024 وبدايات 2025، ركّزت هيدرا سايغا على مرافق المياه على امتداد نهري سير داريا وآمو داريا - شرايين حاسمة لاستقرار آسيا الوسطى. وبالتوازي، استهدفت الهجمات توزيع الغاز الإقليمي وأنظمة SCADA، في إشارة إلى طموحات لتعطيل أو مراقبة بيئات التحكم الصناعي. وتتوافق ساعات عمل المهاجمين مع المنطقة الزمنية لكازاخستان والعطل الرسمية، ما يعزز الشبهات حول دعمٍ دولتي وتداخلٍ مع عنقود «توميريس» المعروف بأساليب مماثلة.

ترسانة هيدرا سايغا في تطور دائم: من أبواب خلفية بـPowerShell إلى سارقي بيانات اعتماد بلغة Golang، وحتى تجارب على أطر C2 متقدمة مثل Havoc. تُستأجر بنيتهم التحتية بشكل مجهول، وتُدفَع تكاليف النطاقات بالعملات المشفرة، وتُدار الاستطلاعات عبر منصات مسح مثل Shodan وCensys. كل خطوة محسوبة لتعظيم الانتشار وتقليل الانكشاف.

الدفاع ضد التهديد غير المرئي

بالنسبة للمدافعين، الرسالة واضحة: احجبوا الوصول إلى واجهة API الخاصة بتيليغرام حيثما أمكن، وراقبوا حركة الخروج غير المعتادة، ودقّقوا في شذوذات البريد الإلكتروني وتسجيل الدخول. ومع طمس هيدرا سايغا للحد الفاصل بين تطبيقات المستهلك وأدوات التجسّس، تبقى اليقظة والدفاعات المتكيفة هما الدرعان الوحيدان الموثوقان.

WIKICROOK

  • أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا عبر خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
  • PowerShell: PowerShell أداة برمجة نصية في ويندوز تُستخدم للأتمتة، لكن المهاجمين غالبًا ما يستغلونها لتنفيذ أعمال خبيثة خلسة.
  • التصيّد: التصيّد جريمة سيبرانية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين كي يكشفوا بيانات حساسة أو ينقروا روابط خبيثة.
  • SCADA: أنظمة SCADA (التحكم الإشرافي وجمع البيانات) تراقب وتتحكم في العمليات الصناعية مثل شبكات الكهرباء ومحطات المياه من موقع مركزي.
  • الاستمرارية: الاستمرارية تتضمن تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء داخل الأنظمة، غالبًا عبر محاكاة عمليات أو تحديثات شرعية.
Hydra Saiga Cyber-espionage Telegram
AGONY AGONY
Elite Offensive Security Commander
← Back to news