انطلاق حملة تجسس تستهدف أنظمة ويندوز سيرفر بالمؤسسات الحكومية والمالية والصناعية

كشف فريق الأبحاث والتحليل العالمي (GReAT) لدى كاسبرسكي عن حملةَ تجسس سيبراني تدعى (PassiveNeuron)، تستهدف أنظمة ويندوز سيرفر (Windows Server) في المؤسسات الحكومية والمالية والصناعية في جميع أنحاء آسيا وإفريقيا وأمريكا اللاتينية. وقد تم رصد ومتابعة هذه الحملة منذ ديسمبر عام 2024، واستمرت حتى أغسطس عام 2025.

بعد ستة أشهر من توقف النشاط، استأنفت حملة PassiveNeuron عملياتها مستخدمة ثلاث أدوات رئيسية، اثنتان منها غير معروفة سابقًا، للوصول إلى الشبكات المستهدفة والبقاء داخلها. وتتضمن الأدوات الثلاث كلاً من: Neursite وهي برمجية باب خلفي قابلة للتعديل، وNeuralExecutor وهي برمجية خبيثة مزروعة مبنية على منصة .NET، وCobalt Strike وهي إطار برمجي لاختبار الاختراق تستخدمه غالباً الجهات المهددة في مجال التهديدات السيبرانية.

يعلق على هذه المسألة جورجي كوشيرين، الباحث الأمني في فريق البحث والتحليل العالمي (GReAT)  لدى كاسبرسكي: «تتميز حملة PassiveNeuron بتركيزها على اختراق الخوادم، التي تشكل غالباً العمود الفقري لشبكات المؤسسات. فالخوادم المكشوفة على شبكة الإنترنت أهداف مغرية لمجموعات التهديدات المتقدمة المستمرة (APT)؛ إذ يمكن لإختراق جهاز مضيف واحد يفتح المجال أمام المجرمين للوصول إلى أنظمة حيوية. لذلك يجب تقليص مساحة الهجوم المرتبطة بها، ومراقبة تطبيقات الخادم باستمرار لاكتشاف البرمجيات الخبيثة المحتملة وإيقافها».

تستطيع برمجية الباب الخلفي Neursite جمع معلومات النظام، وإدارة العمليات الجارية، وتوجيه حركة البيانات في الشبكة عبر الأجهزة المضيفة المخترقة، مما يسمح للمجرمين بالتنقل الجانبي داخل الشبكة. وكشف التحليل عن تواصل عينات البرمجيات الخبيثة مع خوادم تحكم وسيطرة خارجية وأنظمة داخلية مخترقة.

أما أداة NeuralExecutor فقد صممت لنقل حمولات إضافية. ولدى هذه البرمجية الخبيثة المزروعة طرق اتصال متعددة، يمكنها تحميل وتشغيل حزم .NET المستلمة من خادم التحكم والسيطرة الخاص بها.

أوضحت العينات التي رصدها فريق GReAT أنّ المهاجمين استبدلوا أسماء الوظائف، واستخدموا محلها سلاسل فيها أحرف سيريلية أدخلوها عمداً. وتستدعي هذه المؤشرات تقييماً دقيقاً عند تحديد مصدر الهجمات، لأنها قد تكون خدعاً متعمدة لتضليل المحللين. ووفقاً للأساليب والتقنيات والإجراءات التي رصدتها كاسبرسكي، ترجح الشركة بقدر محدود من اليقين، أنّ الحملة مرتبطة غالباً بجهة تهديد ناطقة باللغة الصينية. وسبق لباحثي كاسبرسكي أن رصدوا نشاطاً لحملة PassiveNeuron في وقت سابق من عام 2024، ووصفوها بأنها على مستوى عالٍ من التطور.