قراصنة Woodgnat يستغلون Microsoft Teams لنشر برمجية Backdoor.Mistic الخفية

يستغل مجرمو الإنترنت محادثات تطبيق Microsoft Teams بنشاط، ويوظفون أعطالاً وهمية في متصفحات الويب لنشر فيروس حصان طروادة للتحكم عن بُعد (RAT) شديد التخفي يُعرف باسم Backdoor.Mistic. تتيح هذه البرمجية الخبيثة، التي اكتُشفت في أبريل 2026 ولا تعتمد على الملفات، للمهاجمين رسم خريطة لشبكات الشركات بصمت، وبيع منافذ الوصول لعصابات برمجيات الفدية الكبرى قبل أن تدرك فرق الأمان حدوث الاختراق.

تُعد هذه البرمجية، التي يتتبعها باحثو شركة Zscaler باسم MLTBackdoor، أحدث أدوات مجموعة الاختراق Woodgnat (المعروفة أيضاً باسم KongTuke). تعمل هذه المجموعة، النشطة منذ مايو 2024، حصرياً كوسطاء للوصول الأولي (Initial Access Brokers). وبدلاً من نشر برمجيات الفدية بأنفسهم، يخترقون المدارس وشركات التأمين وخدمات تكنولوجيا المعلومات، ثم يبيعون نقاط الدخول لشبكات برمجيات فدية سيئة السمعة مثل Qilin، وInterlock، وRhysida، وAkira، و8Base، وBlack Basta.

تعتمد مجموعة Woodgnat بشكل كبير على الهندسة الاجتماعية (Social Engineering) لتجاوز الدفاعات المحيطية. في أوائل عام 2026، أطلقت المجموعة حملة أُطلق عليها اسم CrashFix، والتي تخترق مواقع WordPress المشروعة لتجميد متصفح الويب الخاص بالزائر عمداً. بعد ذلك، يطالب تنبيه فني وهمي الضحية بنسخ ولصق أمر برمجي خبيث لحل المشكلة.

وتُبنى هذه الاستراتيجية على حملاتهم السابقة في عام 2025، مثل ClickFix وFileFix. ومؤخراً، صعّد القراصنة من هجماتهم عبر مراسلة الموظفين مباشرة على تطبيق Microsoft Teams. ومن خلال انتحال صفة مكتب دعم تكنولوجيا المعلومات الداخلي للشركة، يخدعون الموظفين لتنفيذ أوامر خبيثة تحت ستار الدعم الفني الروتيني.

بمجرد أن ينفذ المستخدم الأمر، تقوم سلسلة متعددة المراحل عبر أداة PowerShell بتنزيل برمجية Backdoor.Mistic. تستخدم البرمجية تقنية التحميل الجانبي لمكتبات الربط الديناميكي (DLL Sideloading) - عبر استغلال ملفات Windows الموثوقة - لخداع برامج الأمان ودفعها لتنفيذ الحمولة الخبيثة. ونظراً لأنها تعمل بالكامل في الذاكرة المؤقتة للكمبيوتر دون كتابة ملفات على القرص الصلب، فإنها تتهرب بسهولة من فحوصات برامج مكافحة الفيروسات التقليدية.

يستخدم المهاجمون بعد ذلك أدوات Windows المدمجة لاستكشاف الشبكة وتسريب البيانات. تشمل الملفات التنفيذية الأساسية التي يتم استغلالها ما يلي:

Net.exe

Reg.exe

Curl

كما تتميز البرمجية بمفتاح إيقاف مدمج (Kill Switch)، مما يسمح لها بحذف نفسها فوراً إذا شعرت باقتراب اكتشافها. وأشار رومان سانيكوف، منسق الأبحاث العالمية في شركة iCOUNTER، إلى أن ظهور برمجية Mistic يُبرز استمرار تحول النظام البيئي للجرائم السيبرانية إلى صناعة منظمة. وأوضح أن وسطاء الوصول الأولي أصبحوا موردين أساسيين، يتخصصون في العثور على منافذ الوصول والتحقق منها وتحقيق أرباح منها.

تقع البنية التحتية للوصول في مرحلة تسبق الحادثة الأمنية، وتوفير رؤية واضحة لكيفية عمل هؤلاء الوسطاء، ومساراتهم، وأنماط إعادة استخدامهم للأدوات، وآليات التسليم الخاصة بهم، هو ما يتيح للمدافعين اكتشاف الهجوم وإحباطه قبل أن يدخل مشغل برمجيات الفدية إلى بيئة العمل.

- جوش بيكوليت، نائب رئيس قسم الاكتشاف والتحليل، شركة Team Cymru

نظراً لأن مجموعة Woodgnat تعتمد على خداع الموظفين بدلاً من استغلال ثغرات اليوم الصفر (Zero-day)، يجب على المؤسسات تكييف موقفها الدفاعي. ينبغي لفرق الأمان تنفيذ التدابير التالية:

• تقييد تنفيذ PowerShell: الحد من قدرة المستخدمين العاديين على تشغيل نصوص PowerShell البرمجية غير المصرح بها.
• مراقبة اتصالات Teams: تدريب الموظفين على التحقق من طلبات دعم تكنولوجيا المعلومات غير المتوقعة على تطبيق Microsoft Teams عبر قناة اتصال داخلية ثانوية.
• حظر التحميل الجانبي الخبيث: تنفيذ حلول اكتشاف النقاط الطرفية والاستجابة لها (EDR) التي تراقب السلوك غير الطبيعي من عمليات Windows الموثوقة.

يُثبت صعود مجموعة Woodgnat وبرمجية Backdoor.Mistic أن النظام البيئي لبرمجيات الفدية قد فصل سلسلة التوريد الخاصة به بالكامل. لم يعد مشغلو برمجيات الفدية بحاجة إلى أن يكونوا خبراء في التصيد الاحتيالي أو اختراق الشبكات؛ بل يشترون ببساطة منافذ وصول جاهزة من وسطاء متخصصين. هذا التقسيم للعمل يجعل الهجمات أسرع وأكثر قابلية للتوسع وأكثر تدميراً.

بالنسبة للمدافعين عن شبكات المؤسسات، فإن هذا يغير ساحة المعركة بالكامل. إذا كانت فرق الأمان تبحث فقط عن حمولة برمجيات الفدية النهائية، فقد خسرت المعركة بالفعل. يجب أن يتحول التركيز إلى اكتشاف أدوات الاستطلاع الخفية التي لا تعتمد على الملفات وتكتيكات الهندسة الاجتماعية التي يستخدمها الوسطاء. إن إحباط عمل الوسيط يؤدي فعلياً إلى حرمان عصابات برمجيات الفدية من أهدافها قبل أن تبدأ مرحلة التشفير.