هجمات سيبرانية

حملة تجسس باسم Silent Lynx تستهدف موظفي الحكومات بانتحال صفات مسؤولين رفيعين

حملة تصيد متطورة تستهدف موظفي الحكومات عبر انتحال مسؤولين وتوزيع مرفقات خبيثة جمع معلومات حساسة

تم النشر في Nov. 05, 2025

حملة تجسس باسم Silent Lynx تستهدف موظفي الحكومات بانتحال صفات مسؤولين رفيعين — تحليل أدوات Silent Lynx يوضح اعتماد المهاجمين على ملفات اختصار وPowerShell لتنفيذ شبكات شل عكسية معقدة

Silent Lynx APT مجموعة تهديد متقدمة رصدت منذ عام 2024 وتواصل حملة تجسس منهجية ضد مؤسسات حكومية في آسيا الوسطى. أعطى محللو Seqrite المجموعة هذا الاسم مميزين إياها عن أسماء أخرى متداخلة مثل YoroTrooper وSturgeon Phisher وShadowSilk.

تعتمد الحملة بشكل متكرر على رسائل تصيد تتقمص شخصيات مسؤولين حكوميين وتستهدف موظفي الجهات الحكومية مرفقة بملفات يتم التلاعب بها لغرض الحصول على معلومات حساسة. لاحظ الباحثون في Seqrite نمطاً متسارعاً في إعداد الحملات يتركز على جهات دبلوماسية مرتبطة باجتماعات وقمم دولية، حيث تستخدم مراسلات مزيفة عن قمم واجتماعات رسمية كطعم لنشر الحمولة الخبيثة. وقد امتدت العمليات إلى دول منها طاجيكستان وأذربيجان وروسيا والصين مع تركيز استراتيجي على دول تشارك بمشاريع بنية تحتية عابرة للحدود ومبادرات دبلوماسية.

حدد الخبراء حملتين مميزتين في عام 2025 استخدمتا منهجيات متشابهة لكن استهدفتا علاقات جيوسياسية مختلفة. اكتشفوا الحملة الأولى في أكتوبر 2025 واستهدفت جهات دبلوماسية المشاركة في تحضيرات قمة روسيا أذربيجان، بينما ركزت الحملة الثانية على جهات مرتبطة بالعلاقات بين الصين وبلدان آسيا الوسطى. يشير توقيت المواضيع واتساقها الموضوعي إلى عملية تجسس منسقة بدوافع جيوسياسية لا اقتصادية.

آلية الإصابة والأدوات التقنية

تبدأ سلسلة الإصابة بأرشيف RAR مخادع يحمل أسماء ملفات تبدو حميدة مثل План развитие стратегического сотрудничества.pdf.rar. عند فك الضغط يظهر ملف اختصار Windows LNK خبيث يستغل PowerShell.exe لتنزيل وتنفيذ سكربتات مشفرة من مستودعات GitHub. يحتوي ملف LNK بيانات دليل العمل التي تشير إلى مسار C:\Users\GoBus\OneDrive\Рабочий стол مما ساعد في ربط وتتبع حملات إضافية.

يحتوي السكربت PowerShell تعليمات مشفرة Base64 لمشبك عكسي reverse shell يتصل بخوادم القيادة والتحكم عبر المنفذ 443. وتنشئ الحمولات بعد فك تشفيرها اتصال TCP دائم يقرأ أوامر من المشغلين وينفذها باستخدام Invoke-Expression ويعيد النتائج عبر نفس القناة.

حدد الباحثون ثلاث برمجيات خبيثة أساسية تم نشرها في هذه الحملات: Silent Loader (أداة تنزيل قائمة على ++C)، و Laplas (برنامج وصول عكسي يعتمد على بروتوكولي TCP و TLS)، و SilentSweeper (برمجية خبيثة قائمة على .NET قادرة على استخراج وتنفيذ نصوص PowerShell البرمجية المضمنة).

كما رصدوا استخدام أداة Ligolo-ng مفتوحة المصدر التي منحت المشغلين قدرات تنفيذ أوامر غير مقيدة على الأنظمة المخترقة. تعكس آلية الإصابات متعددة المراحل وتعقيد الأدوات المستخدمة علماً متقدماً بعمليات الأمن التشغيلي ووعياً واضحاً بأساليب الاختفاء والتغطية، مع وجود أخطاء عملية في ممارسات OPSEC ساعدت الباحثين في التتبع ونسبتها للمجموعة.