حزمة لغة مزيفة لتطبيق Telegram تنشر برمجية ValleyRAT في هجوم سيبراني معقد

تنتشر برمجية ValleyRAT الخبيثة حالياً بين المستخدمين عبر حزمة لغة مزيفة ومصممة ببراعة لتطبيق Telegram. صعدت مجموعة التهديد الصينية المعروفة باسم Silver Fox من عمليات التجسس السيبراني الخاصة بها، مستخدمة سلسلة إصابة معقدة من ست مراحل لتجاوز دفاعات برامج مكافحة الفيروسات القياسية والوصول إلى عمق النظام. يقوم المستخدمون الذين يسعون إلى تعريب تطبيقات المراسلة الخاصة بهم بتنزيل هذا التهديد الخطير دون قصد.

اكتُشف ملف التثبيت الخبيث على منصة MalwareBazaar في 8 أبريل 2026، وهو يتنكر في هيئة تحديث شرعي للغة الصينية لتطبيق Telegram. من خلال الاستفادة من أداة ضغط غير شائعة تعتمد على معيار ZPAQ وإساءة استخدام ملفات تنفيذية موقعة من شركات تقنية كبرى، ينجح المهاجمون في نشر برمجية خبيثة تعمل على مستوى النواة. يتيح لهم ذلك الحفاظ على وهم التثبيت الطبيعي للبرنامج أثناء اختراق الجهاز المضيف.

يستخدم المهاجمون تسلسلاً مصمماً بدقة للانتقال من برنامج تثبيت يبدو غير ضار إلى اختراق دائم وكامل للنظام. تم تصميم هذه العملية للتهرب من الاكتشاف في كل خطوة.

1. استخراج الأرشيف: يستخدم برنامج التثبيت نصوص VBScript وPowerShell لإعادة بناء وفك تشفير الأرشيفات المخفية، مستدعياً أداة zpaqfranz لاستخراج حمولة داخلية محمية بكلمة مرور.
2. التهرب من مكافحة الفيروسات: يستعلم البرنامج النصي عن أداة WMI لاكتشاف عمليات مكافحة الفيروسات الصينية، مثل 360 Safe أو Tencent PC Manager.
3. تسليم الحمولة: بناءً على برامج الأمان النشطة، تقوم البرمجية الخبيثة إما بإسقاط ملفاتها مباشرة في مجلد Windows أو بدء سلسلة تحميل جانبي لملفات DLL.
4. القيادة والسيطرة: يتم تشغيل حمولة ValleyRAT، مما يؤسس اتصالاً بخادم القيادة والسيطرة (C2) الخاص بها أثناء تحميل برنامج تشغيل ضعيف.
5. استغلال النواة: باستخدام برنامج تشغيل BIOS ضعيف لشركة Wincor Nixdorf عبر ملف wnBios.sys، يكتسب المهاجمون وصولاً مباشراً إلى الذاكرة الفعلية لتعطيل ميزات أمان النواة.
6. الحفاظ على الوهم: لتجنب إثارة الشكوك، يقوم برنامج التثبيت بتشغيل رابط Telegram شرعي (tg://setlanguage?lang=classic-zh-cn)، مما يؤدي إلى تطبيق حزمة اللغة المطلوبة بنجاح.

تتجنب مجموعة Silver Fox استراتيجياً أدوات الضغط الشائعة مثل 7-Zip أو WinRAR، وتختار بدلاً من ذلك أداة zpaqfranz الموقعة رقمياً. تعمل هذه الأداة غير البارزة كملف تنفيذي محلي، مما يسمح لعملية الاستخراج بالتهرب من قواعد اكتشاف نقاط النهاية التي تراقب أدوات الأرشيف القياسية. يعد استخدام أداة الضغط المحددة هذه خطوة محسوبة لتجاوز الاكتشاف القائم على التوقيعات.

إذا كان النظام يقوم بتشغيل برامج مكافحة فيروسات محددة، تتحول البرمجية الخبيثة إلى إساءة استخدام خدمة تصعيد موقعة من شركة ByteDance عبر عملية SodaMusicLauncher.exe. من خلال التحميل الجانبي لملفات DLL الخبيثة في هذه العملية الموثوقة والمسموح بها، يحقق المهاجمون تنفيذ التعليمات البرمجية دون إطلاق إنذارات. تعتبر هذه التقنية فعالة بشكل خاص في أنظمة السوق الصينية حيث تحظى هذه التطبيقات بثقة متأصلة.

يجب على فرق الأمان البحث بشكل استباقي عن مؤشرات الاختراق المحددة هذه لمنع إصابات برمجية ValleyRAT. ينبغي على المدافعين حظر البنية التحتية النشطة للقيادة والسيطرة فوراً، ومراقبة أي عمليات تنفيذ غير متوقعة لعملية zpaqfranz.exe.

# Block C2 IP Addresses
118.107.43.65
118.107.40.0/21

# Hunt for Suspicious Processes
GjdLUhqZIJJB.exe
SingMusice.exe
DesignAccent.exe

يجب على المسؤولين أيضاً تدقيق بيئاتهم بحثاً عن أي مسارات تحميل لبرامج تشغيل النواة تشير إلى برنامج التشغيل الضعيف بإصدار wnBios 1.2.0.0. يمكن أن يساعد تنفيذ سياسات صارمة للتحكم في التطبيقات في التخفيف من مخاطر التحميل الجانبي غير المصرح به لملفات DLL.

يسلط نشر برمجية ValleyRAT عبر برنامج تثبيت مزيف لتطبيق Telegram الضوء على تحول حاسم في كيفية تجاوز الجهات الفاعلة في التهديد لحماية نقاط النهاية الحديثة. من خلال الجمع بين أداة ضغط غامضة وبرنامج تشغيل BIOS ضعيف، تُظهر مجموعة Silver Fox فهماً عميقاً لكيفية استغلال النقاط العمياء في برامج مكافحة الفيروسات الاستهلاكية. يشير هذا المستوى من التطور إلى مجموعة جيدة الموارد تعمل باستمرار على تحسين تقنيات التهرب الخاصة بها.

يعد قرار تطبيق حزمة لغة Telegram فعلياً في نهاية سلسلة الإصابة أمراً خبيثاً بشكل خاص. يضمن هذا التلاعب النفسي بقاء المستخدم غير مدرك تماماً للاختراق، مما يمنح المهاجمين وصولاً مستمراً على مستوى النواة. يمكن بعد ذلك استخدام هذا الوصول لجمع البيانات أو نشر حمولات ثانوية، مثل عملية DesignAccent.exe، للاتصالات المخفية.