برنامج EndRAT الخبيث
تُظهر حملة إلكترونية متطورة تُنسب إلى مجموعة كوني للتهديدات الإلكترونية نهجًا مدروسًا للتسلل طويل الأمد، وسرقة البيانات، والانتشار الجانبي. ويُعدّ برنامج EndRAT الخبيث، وهو حصان طروادة قوي للتحكم عن بُعد، محور هذه العملية، حيث صُمم للحفاظ على وجوده واستخراج المعلومات الحساسة خلسةً، مع استغلال قنوات الاتصال الموثوقة لتوسيع نطاق انتشاره.
جدول المحتويات
نقطة دخول خادعة: تكتيكات التصيد الاحتيالي الموجهة
يبدأ الاختراق برسالة بريد إلكتروني مُصممة بعناية، مُتخفية في هيئة إعلان رسمي يُعيّن المُستلم مُحاضراً في مجال حقوق الإنسان في كوريا الشمالية. صُممت هذه الحيلة الاجتماعية لاستغلال المصداقية والفضول.
بمجرد أن يفتح المستلم ملف ZIP المرفق، يتم تشغيل ملف اختصار ويندوز خبيث (LNK). يبدأ هذا الإجراء سلسلة عدوى متعددة المراحل:
- يسترجع ملف LNK حمولة ثانوية من خادم بعيد
- يتم تحقيق الاستمرارية من خلال المهام المجدولة لضمان الوصول على المدى الطويل
- يتم عرض مستند PDF وهمي لتشتيت انتباه الضحية بينما يتم تنفيذ العمليات الخبيثة في الخلفية
يُمكّن هذا الحل الوسط الأولي من نشر برنامج EndRAT دون إثارة الشكوك على الفور.
إطلاق العنان لبرنامج EndRAT الخبيث: تحكم مستمر وتسريب البيانات
يُعدّ برنامج EndRAT (المعروف أيضًا باسم EndClient RAT)، الذي طُوّر باستخدام AutoIt، بمثابة العمود الفقري التشغيلي للهجوم. وبمجرد تضمينه داخل النظام، فإنه يُمكّن من التحكم الكامل عن بُعد في الجهاز المُخترق.
تشمل القدرات الرئيسية لبرنامج EndRAT ما يلي:
- الوصول عن بعد إلى واجهة سطر الأوامر لتنفيذ الأوامر
- التلاعب بنظام الملفات واستخراج البيانات
- نقل البيانات بشكل آمن بين الضحية والمهاجم
- موطئ قدم ثابت من خلال آليات التخفي
يبقى البرنامج الخبيث مخفياً لفترات طويلة، مما يسمح بالمراقبة المستمرة واستخراج المستندات الداخلية والبيانات الحساسة.
نشر التهديدات متعددة الطبقات: برامج تحكم عن بعد متعددة لتعزيز المرونة
كشف تحليل جنائي إضافي أن برنامج EndRAT لم يُنشر بمعزل عن غيره. فقد تم إدخال مكونات خبيثة إضافية، بما في ذلك برامج نصية تعتمد على AutoIt مرتبطة ببرنامجي RftRAT وRemcosRAT، إلى البيئة المخترقة.
تشير استراتيجية النشر متعددة الطبقات هذه إلى أن الأهداف ذات القيمة العالية تخضع لآليات تحكم احتياطية، مما يضمن استمرارية العمليات حتى في حال اكتشاف أو إزالة أحد أنواع البرمجيات الخبيثة. ويعزز وجود عائلات متعددة من برامج التحكم عن بُعد بشكل كبير قدرة المهاجم على الحفاظ على الوصول والتكيف مع التدابير الدفاعية.
تسخير الثقة كسلاح: تطبيق كاكاو توك كقناة لتوزيع البرامج الضارة
من أبرز سمات هذه الحملة استغلال تطبيق KakaoTalk المكتبي المثبت على الأنظمة المصابة. فمن خلال استغلال جلسات المستخدمين الموثقة، يحوّل المهاجمون الضحايا إلى موزعين غير مدركين للبرمجيات الخبيثة.
باستخدام الحساب المخترق، تُرسل ملفات ZIP خبيثة بشكل انتقائي إلى جهات اتصال داخل شبكة الضحية. غالبًا ما تُخفى هذه الملفات على أنها محتوى متعلق بكوريا الشمالية، مما يزيد من احتمالية التفاعل معها وتنفيذها.
يستغل هذا التكتيك علاقات الثقة القائمة، مما يحسن بشكل كبير معدلات نجاح العدوى ويتيح الحركة الجانبية المستهدفة عبر الشبكات الاجتماعية والمهنية.
تطور الأساليب: من إساءة استخدام الرسائل إلى تخريب الأجهزة
تستند هذه الحملة إلى نشاطٍ رُصد سابقًا في نوفمبر 2025، حين استخدمت المجموعة نفسها جلسات KakaoTalk لتوزيع ملفاتٍ خبيثة. وخلال تلك العملية، استغل المهاجمون أيضًا بيانات اعتماد جوجل المسروقة لمسح بيانات أجهزة أندرويد الخاصة بالضحايا عن بُعد.
إن الاستخدام المستمر لمنصات المراسلة يسلط الضوء على استراتيجية متطورة تركز على اختراق الحسابات وقنوات الاتصال الموثوقة بدلاً من أساليب التوزيع الجماعي التقليدية.
التقييم الاستراتيجي: نموذج التهديد المستمر والتكيفي
تُجسّد هذه العملية إطار عمل هجومي مُنسّق للغاية ومتعدد المراحل، يتجاوز بكثير الاختراق الأولي. فمن خلال الجمع بين التصيّد الاحتيالي المُوجّه، والبقاء الخفي، والوصول عن بُعد المُتقدّم عبر برنامج EndRAT، والانتشار القائم على الحسابات، يُحقق المُهاجم عمقًا واتساعًا في استراتيجية اختراقه.
يؤكد الاستهداف الانتقائي للجهات المتصلة، إلى جانب المحتوى التمويهي المصمم بعناية، على اتباع نهج مدروس قائم على المعلومات الاستخباراتية. كما يعزز الاعتماد على برنامج EndRAT كآلية تحكم مركزية دوره كأداة بالغة الأهمية في عمليات التجسس الإلكتروني الحديثة، مما يتيح الوصول المستمر وسرقة البيانات وسلاسل العدوى القابلة للتوسع عبر الشبكات الموثوقة.
