برمجية GoSerpent الخبيثة ظهرت في هجمات تجسس استهدفت حكومات ودبلوماسيين في جنوب شرق آسيا منذ أواخر 2025، مع تركيز واضح على سرقة البيانات والبقاء الطويل داخل الشبكات.
ما هي برمجية GoSerpent ولماذا تثير القلق؟
بحسب التحليل الأمني الذي تابعته تيكبامين، فإن GoSerpent هي أداة تجسس رقمية غير موثقة سابقاً، صُممت لمنح المهاجمين وصولاً مستمراً إلى الأجهزة المصابة وجمع معلومات حساسة بهدوء.
اللافت في هذه البرمجية أنها لا تكتفي بفتح باب خلفي فقط، بل تعمل أيضاً على تنزيل أدوات إضافية تساعد في جمع الملفات، واستخراج كلمات المرور، ثم تجهيز البيانات لتهريبها لاحقاً خارج البيئة المستهدفة.
كيف تعمل برمجية GoSerpent داخل الأنظمة؟
تعتمد البرمجية على تلقي أوامر مشفرة ومشفوعة بترميز Base64، تتضمن عنوان خادم التحكم والسيطرة وكلمة المرور الخاصة بالاتصال. وبعد فك التشفير، تبدأ في إنشاء قناة اتصال مشفرة مع الخادم البعيد.
وتستخدم GoSerpent مفتاحاً مبنياً على SHA256 لكلمة المرور من أجل حماية الاتصال، ما يصعّب رصد النشاط بسرعة. هذا الأسلوب يمنح المهاجمين قدرة على إدارة البرمجية عن بعد وتنفيذ أوامر متعددة دون إثارة الشبهات بسهولة.
أبرز قدرات GoSerpent التشغيلية
- إنشاء اتصال مشفر مع خادم التحكم والسيطرة.
- تنزيل أدوات خبيثة إضافية على الجهاز المصاب.
- تشغيل وكيل SOCKS5 لإخفاء حركة المهاجمين داخل الشبكة.
- سرقة بيانات الاعتماد وكلمات المرور من الأنظمة.
- جمع الملفات الحساسة تمهيداً لتهريبها لاحقاً.
ما الأدوات التي استخدمها المهاجمون مع GoSerpent؟
الهجمات لم تعتمد على أداة واحدة فقط، بل على سلسلة كاملة من البرمجيات المساندة. الهدف كان بناء مسار متكامل يبدأ بالاختراق ثم التوسع داخل الشبكة وصولاً إلى سرقة البيانات الحساسة.
- ThumbcacheService: لجمع الملفات الحساسة وتجهيزها للنقل.
- Mimikatz: لاستخراج بيانات الاعتماد من الأنظمة.
- QuarksDumpLocalHash: للحصول على تجزئات كلمات مرور الحسابات المحلية.
- Stowaway RAT: للوصول عن بعد والتحكم المستمر.
- أداة Proxy خبيثة: لتمرير الحركة وإخفاء مصدر الهجوم الحقيقي.
متى تطورت الهجمات وما الذي تغيّر في 2026؟
تشير المؤشرات إلى أن نسخاً مبكرة من هذا الزرع الخبيث المبني بلغة Go استُخدمت منذ 2021 ضد أهداف في جنوب شرق آسيا، لكن النشاط عاد بقوة أكبر خلال 2026 بأدوات أكثر تطوراً وتخفياً.
وفي مايو 2026، عاد المهاجمون إلى البيئات المخترقة لنشر أدوات جديدة مخصصة لسحب البيانات التي جُمعت خلال الأشهر السابقة عبر المشاركات الشبكية. هذا يعني أن العملية لم تكن ضربة سريعة، بل حملة تجسس طويلة النفس.
لماذا تمثل برمجية GoSerpent تهديداً خطيراً؟
تكمن الخطورة في أن برمجية GoSerpent تجمع بين التخفي، وسرقة الاعتمادات، والحركة داخل الشبكة، ثم تهريب البيانات على مراحل. هذا النمط يجعل اكتشافها متأخراً، خصوصاً في المؤسسات الحكومية والدبلوماسية ذات البنية المعقدة.
وترى تيكبامين أن هذا النوع من الهجمات يبرز الحاجة إلى مراقبة الأدوات الجانبية داخل الشبكات، وليس الاكتفاء برصد البرمجية الأساسية فقط. ومع تصاعد حملات التجسس الرقمي، يصبح تعزيز الحماية متعددة الطبقات ضرورة، لأن برمجية GoSerpent مصممة أساساً للبقاء وجمع أكبر قدر ممكن من المعلومات.