كشف فريق البحث والتحليل العالمي (GReAT) في كاسبرسكي خلال فعاليات قمة محللي الأمن المنعقدة في تايلاند، عن أحدث الأنشطة الإجرامية لمجموعة BlueNoroff المعروفة في مجال التهديدات المتقدمة المستمرة (APT)، فقد شنّت حملتين شديدتي الاستهداف هما «GhostCall» و«GhostHire».

واستهدفت هذه الهجمات المستمرة منذ أبريل عام 2025 المؤسسات العاملة في مجال Web.3 والعملات المشفرة في دول كثيرة منها: الهند وتركيا وأستراليا ودول أخرى في أوروبا وآسيا.

تواصل BlueNoroff، وهي مجموعة فرعية تابعة لمجموعة Lazarus المعروفة بأنشطتها الخبيثة، توسيع نطاق حملتها «SnatchCrypto»؛ وهي عملية تُشنّ بدوافع مالية لاستهداف قطاع العملات المشفرة حول العالم. أما حملتا «GhostCall» و«GhostHire» اللتين اكتشفتا حديثاً فتستخدمان أساليب تسلل جديدة وبرمجيات خبيثة لاختراق أنظمة المطورين والمديرين التنفيذيين في قطاع سلسلة الكتل (Blockchain). ويعد نظاما Windows وmacOS الأهداف الرئيسية لهذه الهجمات، التي تُدار عبر بنية موحدة للتحكم والقيادة.

تركز حملة «GhostCall» على الأجهزة العاملة بنظام macOS، وهي تنطلق بهجوم هندسة اجتماعية شديد التعقيد ومصمم تحديداً لكل ضحية. ففي بادئ الأمر يتواصل المهاجمون مع الضحية عبر تطبيق تيليجرام، وينتحلون هوية أفراد من أصحاب رؤوس الأموال، وقد يستخدمون أحياناً حسابات مخترقة لرواد أعمال حقيقيين أو مؤسسي شركات ناشئة لاستدراج الضحية بفرص الاستثمار أو الشراكة. ويدعو المجرمون الضحية لحضور اجتماع استثماري وهمي مستخدمين مواقع تصيد احتيالي مشابهة لتطبيقي Zoom أو Microsoft Teams، ثم يطلبون من الضحية تحميل «تحديث» لإصلاح مشكلة صوتية، مما يؤدي إلى تنزيل رمز برمجي خبيث وإصابة جهازه ببرمجية خبيثة.
يعلق على هذه المسألة سوجون ريو، الباحث الأمني في فريق GReAT لدى كاسبرسكي: «اعتمدت هذه الحملة على عمليات الخداع المتعمدة والمدروسة بعناية. فقد استخدم المجرمون فيديوهات ضحايا سابقين وأعادوا تشغيلها خلال الاجتماعات المفبركة لإيهام الضحايا بأنهم في مكالمات واجتماعات حقيقية، ثم يتلاعبون بهم ويخدعونهم. ويستخدم المجرمون البيانات التي حصلوا عليها خلال هذه العملية ضد الضحية الأولية، ويوظفونها كذلك في تنفيذ هجمات لاحقة وهجمات على سلسلة التوريد، فيستغلون علاقة الثقة لاختراق مجموعة أوسع من المؤسسات والمستخدمين»
نشر المجرمون سبع سلاسل تنفيذ متعددة المراحل، منها أربع لم تكتشف من قبل، واستخدموها لتوزيع مجموعة من التنزيلات الخبيثة الجديدة التي تتضمن برمجيات لسرقة العملات المشفرة، وبرمجيات لسرقة بيانات تسجيل الدخول في المتصفح، وبرمجيات سرقة المعلومات السرية، وبرمجيات سرقة بيانات تسجيل الدخول إلى تيليجرام.
أما في حملة «GhostHire»، فتستهدف مجموعة التهديدات المتقدمة المستمرة مطوري تقنية سلسلة الكتل، وتوهمهم بأنها إحدى جهات التوظيف. ويخدع المجرمون الضحايا لتنزيل وتشغيل ملفٍ على GitHub يتضمن برمجيات خبيثة، وذلك بعدما أخبروهم بأنّ غايتهم تقييم مهاراتهم. وتشترك حملتا «GhostCall» و«GhostHire» في البنية التحتية والأدوات، لكنّ حملة «GhostHire» لا تعتمد على مكالمات الفيديو، بل تركز جهودها على التواصل مع المطورين والمهندسين الخبيرين عبر عروض توظيف وهمية. وبعدما يحدث الاتصال الأول مع الضحايا، يضيفهم المجرمون إلى بوت تيليجرام يرسل إما ملف ZIP أو رابط GitHub، ويمهلهم مهلة قصيرة لإتمام الأمر. وحالما ينهون ذلك، تثبت البرمجية الخبيثة نفسها في جهاز الضحية بعد أن تعدل خصيصاً لتناسب نظام التشغيل.

استفادت مجموعة BlueNoroff من الذكاء الاصطناعي التوليدي في تسريع تطوير البرمجيات الخبيثة وتحسين أساليب هجماتها. فقد أضاف المجرمون لغات برمجية جديدة وميزات إضافية، ما جعل عمليات الاكتشاف والتحليل أكثر تعقيدًا وصعوبة. وساعد الذكاء الاصطناعي هذه المجموعة في إدارة عملياتها وتوسيع نطاقها، فزاد تعقيد الهجمات واتسع نطاقها بشكل كبير.
يعلق على هذه المسألة عمر أمين، باحث أمني رئيسي في فريق GReAT لدى كاسبرسكي: «تطورت استراتيجية هذه المجموعة منذ حملاتها السابقة، متجاوزة سرقة العملات المشفرة وبيانات تسجيل الدخول في المتصفح. وساعد استخدام الذكاء الاصطناعي التوليدي على تسريع هذه العمليات، فأصبح تطوير البرمجيات الخبيثة أسهل وأقل تكلفة. ويعوض هذا النهج المعتمد على الذكاء الاصطناعي نقص المعلومات المتاحة للمجرمين، ما يجعل هجماتهم أكثر دقة واستهدافًا. كما اتسع نطاق الهجمات بشكل كبير نتيجة دمج البيانات المُخترَقة مع القدرات التحليلية للذكاء الاصطناعي، لكننا نأمل أن يحدّ بحثنا من الأضرار المستقبلية».
توصي كاسبرسكي المؤسسات باتباع الإجراءات التالية للحماية من هجمات مشابهة لحملتي GhostCall وGhostHire:
• احذر من العروض السخية وعروض الاستثمار. وتحقق من هوية جهات الاتصال الجديدة، خاصة تلك التي تتواصل معك عبر تيليجرام، أو لينكدإن، أو منصات التواصل الاجتماعي الأخرى. واعتمد على القنوات الرسمية الموثوقة والآمنة في جميع الاتصالات الحساسة.
• افترض دوماً احتمال اختراق حساب إحدى جهات الاتصال الموثوقة. لهذا تحقق من الهويات عبر قنوات بديلة قبل فتح الملفات أو الروابط، وتأكد أنّ النطاق المستخدم رسمي ومعتمد. وامتنع عن تشغيل النصوص البرمجية أو الأوامر غير الموثوقة لمعالجة المشكلات.
• استخدم حلول Kaspersky Next المتنوعة لحماية شركتك من تهديدات كثيرة، فهي توفر حماية فورية، وتقدم رؤية شاملة للتهديدات، وتوفر قدرات التحقق والاستجابة عبر برامج حماية النقاط الطرفية (EDR) والكشف والاستجابة الموسعة (XDR) للشركات بمختلف أحجامها وقطاعاتها. يمكنك اختيار فئة المنتج الأنسب وفقاً لاحتياجاتك الحالية ومواردك المتاحة، كما يمكنك الانتقال إلى فئة أخرى إذا تغيرت متطلبات الأمن السيبراني في شركتك.
• اعتمد خدمات الأمن المدارة من كاسبرسكي مثل تقييم حالة الاختراق، وخدمة الاكتشاف والاستجابة المدارة (MDR)، و/أو الاستجابة للحوادث، فهذه الخدمات تغطي عملية إدارة الحوادث كلها؛ بدءاً بتحديد واكتشاف التهديدات السيبرانية وانتهاء بتوفير الحماية المستمرة والمعالجة. وتحميك هذه الخدمات من الهجمات السيبرانية المعقدة، وتحقق في الحوادث السيبرانية، وتمنحك خبرات إضافية إذا افتقرت شركتك إلى اختصاصيي الأمن السيبراني.
• زوّد خبراء أمن المعلومات برؤى معمّقة عن التهديدات السيبرانية التي تستهدف مؤسستك. فالإصدار الأحدث من حلّ Kaspersky Threat Intelligence يمنحهم سياقاً متكاملاً يغطي عملية إدارة الحوادث كلها، ويساعدهم في اكتشاف المخاطر والتهديدات السيبرانية في الوقت المناسب.