DarkSword iOS Exploit Kit

كشفت معلومات استخباراتية عن حملة إلكترونية متطورة تُنسب إلى مجموعة TA446، وهي مجموعة معروفة على نطاق واسع بأسماء مستعارة مثل كاليستو، وكولدرايفر، وستار بليزارد. وترتبط هذه المجموعة ارتباطًا وثيقًا بجهاز الأمن الفيدرالي الروسي.

لطالما تخصصت هذه المجموعة في عمليات التصيد الاحتيالي الموجهة التي تهدف إلى سرقة بيانات الاعتماد. وخلال العام الماضي، تطورت أساليبها لتشمل استهداف حسابات واتساب ونشر برامج خبيثة مصممة خصيصًا لاستخراج المعلومات الحساسة من الأفراد ذوي القيمة العالية.

تسخير لعبة دارك سورد ضد أجهزة iOS

مكّنت مجموعة أدوات الاستغلال الجديدة، DarkSword، هذا المهاجم من توسيع نطاق عملياته لتشمل أجهزة Apple. ويمثل هذا تحولاً هاماً، إذ لم تكن الحملات السابقة تركز على حسابات iCloud أو أنظمة iOS.

تُستخدم مجموعة أدوات الاستغلال لإيصال برنامج GHOSTBLADE، وهو برنامج خبيث لجمع البيانات، عبر رسائل بريد إلكتروني مُصممة بعناية للتصيد الاحتيالي. تنتحل هذه الرسائل صفة دعوات من المجلس الأطلسي، وقد وُزعت عبر حسابات بريد إلكتروني مخترقة في 26 مارس 2026. وكان من بين المستهدفين ليونيد فولكوف، مما يُبرز البُعد السياسي للحملة.

تتضمن إحدى الخصائص التقنية البارزة الاستهداف الانتقائي: حيث يتم إعادة توجيه المستخدمين غير مستخدمي أجهزة iPhone إلى ملفات PDF وهمية غير ضارة، مما يشير إلى وجود تصفية من جانب الخادم مصممة لتوصيل الثغرة الأمنية حصريًا إلى أجهزة Apple المتوافقة.

البنية التحتية وتقنيات توصيل البرامج الضارة

يؤكد التحليل أن الحملة تستغل سلسلة عدوى متعددة المراحل مدعومة ببنية تحتية يتحكم بها المهاجم. وتشمل الأدلة إشارات داخل برنامج تحميل DarkSword إلى نطاق ثانوي يُستخدم في دورة حياة الهجوم.

تشمل العناصر التقنية الرئيسية التي تمت ملاحظتها ما يلي:

• تسليم مكونات مجموعة أدوات استغلال الثغرات الأمنية DarkSword، بما في ذلك أدوات إعادة التوجيه، وأدوات تحميل الثغرات الأمنية، وآليات تنفيذ التعليمات البرمجية عن بُعد، وقدرات تجاوز رمز مصادقة المؤشر (PAC).
• غياب تقنيات الهروب من بيئة الاختبار المعزولة، مما يشير إلى استغلال جزئي ولكنه لا يزال شديد الخطورة، ونشر الثغرات الأمنية
• توزيع الباب الخلفي MAYBEROBOT عبر ملفات ZIP محمية بكلمة مرور

استهداف أوسع يشير إلى تحول استراتيجي

لقد توسع نطاق الاستهداف بشكل كبير ليتجاوز أهداف الاستخبارات التقليدية. وتشمل الضحايا الآن منظمات من قطاعات متعددة:

• المؤسسات الحكومية

• مراكز الفكر ومنظمات البحث

• مؤسسات التعليم العالي

• القطاعات المالية والقانونية

يشير نمط الاستهداف الأوسع هذا إلى استراتيجية انتهازية، يُرجح أنها مدفوعة بالقدرات المكتسبة حديثًا لمجموعة أدوات دارك سورد. ويبدو أن الحملة تمزج بين أهداف التجسس وعمليات جمع بيانات الاعتماد القابلة للتوسع.

تزايد المخاطر: تسريب أدوات الاستغلال وتعميمها

يزداد الوضع تعقيداً مع تسريب برنامج DarkSword علناً على منصة GitHub. يقدم هذا الإصدار نسخة جاهزة للاستخدام من مجموعة أدوات الاستغلال، مما يسهل على المهاجمين الأقل خبرة الوصول إلى هذه الثغرة.

الآثار المترتبة على ذلك كبيرة:

• قد تصبح القدرات المتقدمة للدول القومية متاحة لجماعات المجرمين الإلكترونيين
• قد يزداد نشاط التهديدات المتنقلة من حيث الحجم والتنوع
• لقد تضاءلت بشكل كبير النظرة السائدة بأن أجهزة نظام التشغيل iOS آمنة بطبيعتها.

إشارات الاستجابة: شدة عالية

استجابةً للتهديد المتزايد، اتخذت آبل خطوة غير مألوفة تتمثل في إصدار تنبيهات على شاشة القفل للمستخدمين الذين يستخدمون إصدارات قديمة من نظامي iOS و iPadOS. تحذر هذه التنبيهات من محاولات استغلال نشطة عبر الإنترنت، وتحث بشدة على تحديث النظام فورًا.

يشير هذا الإجراء الاستباقي إلى أن التهديد لا يقتصر على أهداف معزولة وذات مكانة عالية، بل يعتبر واسع الانتشار بما يكفي لتبرير تدخل المستخدم المباشر.

الخلاصة: نقطة تحول في مشهد التهديدات المتنقلة

يمثل ظهور مجموعة أدوات استغلال الثغرات الأمنية "دارك سورد" وإساءة استخدامها تطورًا حاسمًا في مجال الأمن السيبراني للأجهزة المحمولة. تُظهر هذه الحملة أن استغلال ثغرات نظام iOS المتقدمة لم يعد مقتصرًا على عمليات استخباراتية دقيقة الاستهداف. بل إن تضافر التكتيكات المدعومة من الدول والأدوات المتاحة للعموم يُعيد تشكيل مشهد التهديدات، بحيث يُمكن حتى للهجمات واسعة الانتشار الاستفادة من قدرات النخبة.