قراصنة UnsolicitedBooker يستهدفون اتصالات آسيا الوسطى

رصد خبراء الأمن السيبراني تحولاً خطيراً في هجمات مجموعة UnsolicitedBooker، حيث بدأت تستهدف شركات الاتصالات في آسيا الوسطى باستخدام برمجيات خبيثة متطورة للسيطرة على الأنظمة وسرقة البيانات الحساسة.

ما هي تفاصيل هجمات قراصنة UnsolicitedBooker؟

كشف تقرير أمني حديث عن قيام مجموعة التهديد المعروفة باسم UnsolicitedBooker بتوجيه هجماتها نحو قطاع الاتصالات في قيرغيزستان وطاجيكستان. ويمثل هذا التطور تحولاً ملحوظاً عن هجماتهم السابقة التي كانت تركز بشكل أساسي على مؤسسات في المملكة العربية السعودية.

تعتمد هذه الهجمات المعقدة على نشر نوعين مختلفين من الأبواب الخلفية (Backdoors) وهما:

• LuciDoor: برمجية خبيثة مصممة لاختراق الأنظمة وإنشاء قنوات اتصال سرية.
• MarsSnake: أداة تجسس متطورة تمنح المهاجمين تحكماً كاملاً في الأجهزة المخترقة.

تاريخ مجموعة التهديد وتطور أساليبها

وفقاً لمتابعة تيكبامين لتطورات الأمن الرقمي، تم توثيق نشاط هذه المجموعة لأول مرة في مايو 2025. وارتبط اسم هؤلاء القراصنة، الذين يُعتقد أنهم مدعومون من جهات صينية، بهجوم سيبراني استهدف منظمة دولية في السعودية باستخدام أداة MarsSnake.

تشير التقديرات إلى أن المجموعة تنشط منذ مارس 2023 على الأقل. ولديها سجل حافل باستهداف العديد من المنظمات في:

• قارة آسيا الوسطى والشرقية
• قارة أفريقيا
• منطقة الشرق الأوسط

كيف تعمل برمجيات LuciDoor و MarsSnake؟

تبدأ سلسلة الهجوم عادةً بإرسال رسائل تصيد احتيالي تحتوي على مستندات مايكروسوفت أوفيس خبيثة. بمجرد فتح المستند، يُطلب من الضحية "تمكين المحتوى" (Enable Content)، مما يؤدي إلى تشغيل ماكرو ضار في الخلفية.

بينما يعرض المستند خطة تعريفة وهمية لمزود اتصالات كطعم، يقوم الماكرو خلسة بتحميل برنامج ضار مكتوب بلغة C++ يُعرف باسم LuciLoad. يقوم هذا البرنامج بدوره بتثبيت الأداة الأساسية LuciDoor.

وفي هجمات أخرى شوهدت في أواخر نوفمبر 2025، اعتمد المهاجمون نفس أسلوب العمل، ولكن هذه المرة باستخدام برنامج تحميل مختلف يحمل الاسم الرمزي MarsSnakeLoader لنشر أداة MarsSnake.

قدرات الأبواب الخلفية المستخدمة

تتميز هذه البرمجيات الخبيثة المكتوبة بلغة C++ بقدرات تقنية عالية لتفادي الدفاعات الأمنية. وتشمل وظائفها الرئيسية ما يلي:

• تأسيس اتصال آمن ومشفّر مع خادم القيادة والسيطرة (C2).
• جمع المعلومات الأساسية حول النظام المخترق وإرسالها إلى الخوادم الخارجية.
• استخراج البيانات الحساسة بتنسيق مشفر لحمايتها من الكشف.
• تنفيذ أوامر عشوائية باستخدام موجه الأوامر (cmd.exe).
• قراءة وكتابة وتعديل ورفع أي ملف على القرص الصلب للضحية.

تطور أساليب الهجوم في عام 2026

في أحدث موجة من الهجمات التي تم رصدها في يناير 2026، لاحظ فريق تيكبامين أن مجموعة UnsolicitedBooker قامت بتحديث تكتيكاتها لاستهداف شركات في طاجيكستان.

ورغم أن سلسلة الهجوم العامة ظلت كما هي، إلا أن المهاجمين بدأوا في تضمين روابط خارجية للمستندات الخبيثة داخل رسائل البريد الإلكتروني، بدلاً من إرفاقها مباشرة. هذا التكتيك الجديد يساعدهم في التهرب من بوابات أمان البريد الإلكتروني التقليدية.

وإلى جانب استهدافها لآسيا الوسطى، ظهرت مؤشرات حديثة تفيد باستخدام برمجية MarsSnake في هجمات مماثلة استهدفت أهدافاً داخل الصين، مما يوضح تنامي قدرات وطموحات هذه المجموعة التخريبية على مستوى العالم.