باب خلفي لـ MuddyViper
استهدفت موجةٌ حديثةٌ من أنشطة التجسس مجموعةً واسعةً من المؤسسات الإسرائيلية في قطاعاتٍ أكاديمية، وهندسية، وإدارية، وتصنيعية، وتكنولوجية، ومواصلات، ومرافق عامة. وقد كشفت العملية، المنسوبة إلى جهاتٍ مواليةٍ للدولة الإيرانية، عن برمجيةٍ خلفيةٍ لم تكن معروفةً من قبل تُسمى "مادي فايبر"، مما يُشير إلى تصعيدٍ جديدٍ في أساليب الجماعة. كما وُجّهت أصابع الاتهام إلى شركةٍ تقنيةٍ مصرية، حيث امتدت الحملة من أواخر سبتمبر/أيلول 2024 إلى منتصف مارس/آذار 2025.
جدول المحتويات
عدو مألوف بقدرات متزايدة
رُبطت الهجمات بمجموعة MuddyWater، المعروفة أيضًا باسم Mango Sandstorm أو Static Kitten أو TA450، وهي مجموعة يُقيَّم أنها تعمل تحت إشراف وزارة الاستخبارات والأمن الإيرانية. تنشط MuddyWater منذ عام 2017 على الأقل، ولها سجل حافل بالتجسس والأعمال التخريبية، بما في ذلك حملات POWERSTATS السابقة واستخدام برنامج الفدية PowGoop خلال عملية Quicksand.
وبحسب النتائج المنشورة، تواصل المجموعة ضرب أهداف إسرائيلية تشمل السلطات المحلية والنقل الجوي والسياحة والخدمات الصحية وشبكات الاتصالات ومقدمي تكنولوجيا المعلومات والشركات الصغيرة والمتوسطة.
دليلهم المتطور: من الهندسة الاجتماعية إلى استغلال نقاط ضعف VPN
يعتمد مُهَدِّد التهديد عادةً على رسائل البريد الإلكتروني المُوجَّهة للتصيُّد الاحتيالي واستغلال ثغرات VPN المعروفة للدخول. تاريخيًا، تضمنت هذه الاختراقات استخدام أدوات إدارة عن بُعد مشروعة، وهي سمة مميزة لعمليات MuddyWater. لكن منذ مايو 2024، بدأت رسائل التصيُّد الاحتيالي الخاصة بهم تُزوِّدهم ببرنامج خبيث يُعرف باسم BugSleep (يُعرف أيضًا باسم MuddyRot)، مما يُشير إلى تحوّل نحو أدوات أكثر تخصيصًا.
تعتبر ترسانة المجموعة الأوسع نطاقًا واسعة النطاق وتشمل Blackout وAnchorRat وCannonRat وNeshta وإطار عمل Sad C2، الذي يساعد في نشر أدوات التحميل مثل TreasureBox وBlackPearl RAT.
يظل التصيد الاحتيالي هو الخطوة الأولى
لا تزال موجة الهجمات الأخيرة تبدأ برسائل بريد إلكتروني ضارة تحتوي على مرفقات بصيغة PDF. تُوجِّه هذه الملفات الضحايا نحو تنزيلات لأدوات عن بُعد شائعة الاستخدام، مثل Atera وLevel وPDQ وSimpleHelp. بمجرد اكتساب موطئ قدم، ينتقل المهاجمون إلى نشر مكونات أكثر تخصصًا.
تقديم Fooder و MuddyViper
تتميز هذه الحملة بشكل بارز بمُحمّل يُدعى Fooder، مُصمم لفك تشفير وتنفيذ الباب الخلفي MuddyViper المستند إلى C/C++. كما شوهدت نسخ مُختلفة من Fooder تُوزّع أدوات go-socks5 للأنفاق وأداة HackBrowserData مفتوحة المصدر لجمع بيانات المتصفح من منصات مُتعددة (باستثناء Safari).
يمنح MuddyViper نفسه تحكمًا واسعًا، مما يُمكّن المُشغّلين من جمع تفاصيل النظام، وتشغيل الملفات والأوامر، ونقل البيانات من وإلى، وسرقة بيانات اعتماد Windows ومعلومات المتصفح. يدعم البرنامج 20 أمرًا مُدمجًا للحفاظ على الوصول المُخفي. بعض إصدارات Fooder تُخفي نفسها على هيئة لعبة Snake الكلاسيكية، وتعتمد على التنفيذ المُؤجل لتجنب الكشف، وهي تقنية رُصدت لأول مرة في سبتمبر 2025.
الأدوات الإضافية التي تمت ملاحظتها أثناء العملية
كما وثّق الباحثون نشر العديد من الأدوات المساعدة المصممة للاستمرارية وسرقة بيانات الاعتماد وجمع البيانات:
VAXOne – برنامج خلفي متخفي في صورة Veeam، أو AnyDesk، أو Xerox، أو برنامج تحديث OneDrive.
CE-Notes – أداة لسرقة بيانات المتصفح مصممة لتجاوز تشفير Chrome المرتبط بالتطبيق من خلال سرقة مفتاح تشفير الحالة المحلية.
Blub – برنامج AC/C++ الذي يقوم بجمع بيانات تسجيل الدخول من Chrome وEdge وFirefox وOpera.
LP-Notes – أداة لجمع بيانات اعتماد AC/C++ تعرض مطالبة أمان Windows احتيالية لخداع المستخدمين لإدخال تفاصيل تسجيل الدخول الخاصة بهم.
التعاون مع الليسيوم: تداخل تشغيلي ينشأ
وكشف التحقيق أن نشاط MuddyWater يتقاطع مع عمليات Lyceum (المعروفة أيضًا باسم Hexane أو Spirlin أو Siamesekitten)، وهي مجموعة فرعية من OilRig (APT34) نشطة في التجسس السيبراني الإقليمي منذ عام 2018 على الأقل.
خلال الحوادث التي حُددت في أوائل عام ٢٠٢٥، يُرجَّح أن MuddyWater عملت كوسيط وصول أولي داخل مؤسسة تصنيع إسرائيلية من خلال نشر أدوات سطح مكتب عن بُعد ومُحمِّل Mimikatz مُخصَّص. ومن المُرجَّح أن Lyceum استغلَّت بيانات الاعتماد المسروقة بعد ذلك لتوسيع نطاق الوصول والسيطرة التشغيلية.
علامة على زيادة النضج التشغيلي
يُبرز طرح مكونات جديدة، وخاصةً مُحمّل Fooder والباب الخلفي MuddyViper، تطورًا ملحوظًا في التطور التقني والعملياتي لشركة MuddyWater. من الواضح أن المجموعة تستثمر في آليات ثبات أكثر سرية، وسرقة بيانات اعتماد أكثر كفاءة، وقدرات استطلاع أعمق.
تُبرز هذه الحملة التهديد المستمر والمتزايد من مُشغّلي الإنترنت الموالين لإيران. ويُشير مزيجهم من البرمجيات الخبيثة المُخصصة، وبرامج التحميل الخفية، وأدوات الإدارة عن بُعد المشروعة، والتعاون بين المجموعات، إلى ضرورة بقاء المؤسسات في المنطقة في حالة تأهب قصوى وتعزيز دفاعاتها ضد استراتيجيات الاختراق المُتزايدة التعقيد.
