مهاجمون يتجسسون على البريد الإلكتروني لمسؤول في بورصة عالمية لخمسة أشهر

كشفت شركة Symantec وفريق Carbon Black Threat Hunter عن حملة تجسس سيبراني منظمة استهدفت صندوق بريد Outlook لمسؤول تنفيذي رفيع المستوى في بورصة عالمية كبرى. واستمرت هذه العملية قرابة خمسة أشهر، وتحديداً في الفترة الممتدة بين أكتوبر 2025 ومارس 2026، دون الكشف عن اسم البورصة المتضررة أو هوية المسؤول المستهدف.

وبحسب التقرير التقني، رُصدت أولى مؤشرات النشاط الخبيث في 10 أكتوبر 2025، حيث كانت البرمجيات الضارة تعمل بالفعل داخل الجهاز المخترق بصلاحيات كاملة، متخفية في هيئة تطبيقات مرتبطة بتحديثات Adobe وOneDrive. ورغم أن مسار الاختراق الأولي لا يزال غير مؤكد، إلا أن الباحثين يرجحون أن النشاط بدأ عبر تحرك جانبي من جهاز آخر تم اختراقه مسبقاً داخل البيئة الرقمية المستهدفة.

وقد ركزت العملية بشكل أساسي على جمع بيانات البريد الإلكتروني، ولم تهدف إلى تعطيل الأنظمة أو ابتزاز الضحية. وفي 12 نوفمبر 2025، بدأ المهاجمون في تشغيل أداة لسرقة البريد الإلكتروني مبنية على مكتبة .NET مشروعة تُعرف باسم Aspose؛ وهي أداة قادرة على قراءة ملفات Outlook من نوعي OST وPST وتحويلها إلى نسخ قابلة للاستخراج. وجرى تشغيل هذه الأداة مراراً باستخدام كلمات مرور ونطاقات زمنية محددة، حيث بدأت بجمع الرسائل المؤرشفة منذ أغسطس 2025، ثم والَت العمل بصفة دورية كل أسبوعين إلى أربعة أسابيع تقريباً لسحب الرسائل الجديدة في دفعات صغيرة، واستمر ذلك حتى 17 فبراير 2026.

وتعكس طريقة التشغيل هذه أسلوباً متطوراً لتقليل الضجيج الأمني؛ إذ اعتمد المهاجمون على تقسيم عملية النسخ إلى أرشيفات محدودة الحجم لتجنب نقل صندوق البريد كاملاً دفعة واحدة. ولتسهيل نقل البيانات إلى الخارج، استُخدمت منصتا Dropbox وOneDrive Personal؛ حيث لجأ المهاجمون في حالة OneDrive إلى استخدام عناوين Microsoft IP مدمجة ومباشرة بدلاً من الاعتماد على اسم النطاق onedrive.live.com، ما قلل من فرص رصد الحركة المشبوهة عبر أدوات مراقبة DNS على محيط الشبكة.

وأظهرت التحقيقات الجنائية الرقمية أن المهاجمين أنشأوا مهاماً مجدولة بأسماء تبدو نظامية ومألوفة، مثل الأسماء المرتبطة بـ Adobe وLenovo وOneDrive، بهدف ضمان الاستمرارية والمحافظة على وجودهم داخل الجهاز. وتضمنت مؤشرات الاختراق استخدام أدوات إضافية شملت أداة FRPC لإنشاء قنوات نفقية، وأداة Secretsdump لاستخراج بيانات اعتماد Windows، وأداة SharpDecryptPwd لاستعادة كلمات المرور المحفوظة في التطبيقات، فضلاً عن أداة مخصصة لتجاوز التحكم في حسابات المستخدمين في بيئة Windows.

وصنف الباحثون هذه الحملة كعملية تجسس موجهة وليست سرقة مالية مباشرة؛ نظراً لأن صندوق بريد مسؤول تنفيذي في بورصة عالمية يمثل مستودعاً للمراسلات الحساسة المتعلقة بالإدراجات، والإجراءات التنظيمية، والمفاوضات، والخطط الداخلية، وجداول السفر، وجهات الاتصال. وتمنح هذه المعلومات المهاجمين صورة دقيقة وشاملة عن توجهات المؤسسة وملفاتها السيادية دون الحاجة إلى تنفيذ اختراق واسع النطاق يشمل كافة الأنظمة.

ولم تنسب Symantec وCarbon Black هذه العملية إلى جهة تهديد محددة، نظراً لأن استخدام الأدوات العامة والخدمات السحابية الاستهلاكية يحد من القدرة على ربط هذا النشاط بمجموعة تخريبية معروفة بشكل قطعي. وقد سُجل آخر نشاط مرصود في 19 مارس 2026، عندما جرى تجهيز باب خلفي (Backdoor) جديد دون تشغيله، مما قد يشير إلى فقدان المهاجمين القدرة على الوصول بعد ذلك التاريخ أو توقف العملية تلقائياً.