ويب وورم تستخدم ديسكورد ومايكروسوفت لنشر برمجيات خبيثة

كشفت تقارير أمنية عن نشاط جديد لمجموعة "ويب وورم" الصينية، حيث تستخدم أدوات خبيثة عبر ديسكورد ومايكروسوفت لاستهداف المؤسسات الكبرى حول العالم.

ما هي مجموعة ويب وورم (Webworm) الصينية؟

تُعد مجموعة ويب وورم واحدة من أخطر الجهات الفاعلة في مجال التهديدات الإلكترونية المرتبطة بالصين. وبدأت المجموعة نشاطها الموثق منذ عام 2022 على الأقل، حيث استهدفت في بداياتها الوكالات الحكومية والمؤسسات الكبرى في قطاعات حيوية.

وفقاً لما تابعه موقع تيكبامين، فإن المجموعة تركز هجماتها على القطاعات التالية:

• خدمات تقنية المعلومات (IT Services).
• قطاع الطيران والفضاء (Aerospace).
• قطاع الطاقة الكهربائية (Electric Power).
• المؤسسات التعليمية والجامعات.

كيف تستخدم المجموعة ديسكورد ومايكروسوفت في هجماتها؟

في عام 2025، طورت مجموعة ويب وورم ترسانتها الرقمية عبر إضافة برمجيتين خبيثتين جديدتين تعتمدان على منصات شرعية للتمويه وتجنب الاكتشاف، وهما:

1. برمجية EchoCreep

تستخدم هذه البرمجية منصة ديسكورد (Discord) كقناة للتحكم والسيطرة (C2). ومن خلال استغلال واجهات البرمجة الخاصة بالمنصة، يستطيع المهاجمون إرسال الأوامر وتلقي البيانات المسروقة دون إثارة ريبة أنظمة الحماية التقليدية.

2. برمجية GraphWorm

تعتمد هذه البرمجية على واجهة برمجة تطبيقات مايكروسوفت (Microsoft Graph API). تتيح هذه الطريقة للمهاجمين الاندماج مع حركة مرور البيانات العادية للمؤسسات التي تستخدم خدمات مايكروسوفت السحابية، مما يجعل اكتشاف الاختراق أمراً بالغ الصعوبة.

تطور أساليب الهجوم من البرمجيات التقليدية إلى الوكيل (Proxy)

أشار خبراء الأمن الرقمي إلى تحول استراتيجي في أساليب المجموعة. فبعد أن كانت تعتمد على برمجيات الوصول عن بعد التقليدية (RATs)، بدأت في الانتقال نحو أدوات الوكيل (Proxy) المخصصة التي توفر تخفياً أكبر.

وتشمل الأدوات الجديدة التي رصدها تيكبامين ما يلي:

• WormFrp: أداة لجلب الإعدادات من خوادم أمازون S3 المخترقة.
• ChainWorm: لدعم تسلسل الاتصال عبر مضيفين متعددين.
• SoftEther VPN: وسيلة مجربة تستخدمها مجموعات التسلل الصينية للاندماج في شبكات الضحايا.

ما هي الدول المستهدفة من قبل ويب وورم؟

لم يقتصر نشاط المجموعة على آسيا فحسب، بل توسع نطاق عملياتها بشكل ملحوظ ليشمل دولاً أوروبية وإفريقية. وتتضمن قائمة الدول المستهدفة مؤخراً:

• روسيا، جورجيا، ومنغوليا.
• دول أوروبية مثل بلجيكا، إيطاليا، صربيا، بولندا، وإسبانيا.
• جنوب إفريقيا، وتحديداً استهداف الجامعات المحلية.

كيف تحمي مؤسستك من هذه التهديدات؟

تستخدم المجموعة مستودعات على موقع GitHub تنتحل صفة مشاريع شرعية مثل "WordPress" لخداع المطورين ومسؤولي الأنظمة. ولتجنب هذه المخاطر، ينصح الخبراء بضرورة:

• مراقبة حركة مرور البيانات غير المعتادة المتجهة إلى منصات مثل Discord وMicrosoft API.
• تحديث أنظمة الحماية للكشف عن أدوات الوكيل (Proxy) غير المصرح بها.
• تدقيق المصادر البرمجية المفتوحة قبل دمجها في بيئة العمل.

في الختام، يظهر تطور مجموعة ويب وورم أن المهاجمين يبتعدون تدريجياً عن البرمجيات الخبيثة التقليدية لصالح أدوات أكثر ذكاءً وقدرة على التخفي داخل الخدمات السحابية اليومية.