كشف باحثون أمنيون عن حملة هجومية جديدة تشنها مجموعة تهديد غير معروفة سابقاً تُدعى UAT-9921، تستهدف بشكل مباشر المؤسسات المالية وشركات التكنولوجيا باستخدام إطار عمل برمجي خبيث ومتطور يُعرف باسم VoidLink.
ووفقاً لتقرير صادر عن Cisco Talos، فإن هذه المجموعة النشطة منذ عام 2019 بدأت مؤخراً في استخدام هذا الإطار البرمجي المعقد للسيطرة على الخوادم وشن عمليات مسح داخلية وخارجية للشبكات المستهدفة.
ما هي قدرات برمجية VoidLink الخبيثة؟
تُعد VoidLink برمجية معيارية (Modular) مصممة خصيصاً لاختراق البيئات السحابية التي تعمل بنظام لينكس (Linux) والبقاء فيها لفترات طويلة دون اكتشافها.
وتشير التحليلات التي أجراها فريق تيكبامين بناءً على التقارير الأمنية إلى أن البرمجية تتميز ببنية تقنية معقدة تعتمد على عدة لغات برمجية:
- لغة Zig: تُستخدم لبناء الغرسة (Implant) الأساسية.
- لغة C: تُستخدم لتطوير الإضافات والوحدات الملحقة.
- لغة GoLang: تُستخدم في تطوير البنية التحتية الخلفية (Backend).
هذا التنوع في اللغات البرمجية يجعل من الصعب اكتشاف البرمجية باستخدام أدوات الحماية التقليدية، مما يمنح المهاجمين أفضلية كبيرة في التخفي.
كيف يوظف المهاجمون الذكاء الاصطناعي؟
من المثير للاهتمام أن تطوير VoidLink يُعتقد أنه تم بواسطة مطور واحد بمساعدة كبيرة من نماذج الذكاء الاصطناعي (LLMs).
وتشير الأدلة إلى أن المطور استخدم تقنيات "التطوير القائم على المواصفات" (Spec-driven development) لبناء الأجزاء الداخلية للبرمجية، مما يقلل الحاجز التقني أمام إنشاء برمجيات خبيثة معقدة تحتوي على أدوات للوصول إلى نواة النظام (Kernel-level rootkits).
وقد حذر خبراء الأمن من أن الاعتماد على الذكاء الاصطناعي في كتابة الشيفرات الخبيثة يمثل تحدياً متزايداً لفرق الدفاع السيبراني حول العالم.
أهداف مجموعة UAT-9921 وأساليبها
تركز المجموعة هجماتها على سرقة المعلومات والوصول غير المصرح به، حيث تقوم بنشر خادم وكيل (SOCKS proxy) على الأجهزة المخترقة لاستخدامه في التحرك الجانبي داخل الشبكة.
وتستخدم المجموعة أدوات مفتوحة المصدر مثل Fscan لإجراء عمليات استطلاع واسعة النطاق.
مؤشرات التورط الصيني
يرجح باحثو Talos أن المطورين يمتلكون معرفة باللغة الصينية، نظراً لبعض الآثار اللغوية الموجودة في إطار العمل، مما يشير إلى احتمال وجود فريق تطوير منفصل عن فريق التشغيل الفعلي.
في الختام، ينصح خبراء تيكبامين بضرورة تحديث الأنظمة الأمنية ومراقبة حركة البيانات غير المعتادة، خاصة في البيئات السحابية، للتصدي لهذا النوع الجديد من التهديدات المدعومة بالذكاء الاصطناعي.
