هجمات سيبرانية

هجمات سيبرانية تستهدف منظمة سعودية ببرمجية خبيثة جديدة تدعى «مارس سنيك»

رسائل بريدية متخفية في هيئة تذاكر سفر تستهدف موظفي جهة دولية ضمن حملة سيبرانية معقّدة

تم النشر في مايو. 20, 2025

هجمات سيبرانية تستهدف منظمة سعودية ببرمجية خبيثة جديدة تدعى «مارس سنيك» — أدوات متطورة تشير إلى مستوى عالٍ من التنسيق والتنفيذ في عالم الهجمات الرقمية

في حملة سيبرانية متقدمة، كشفت شركة «إيست» المتخصصة في الأمن السيبراني عن سلسلة محاولات لاختراق منظمة دولية داخل المملكة العربية السعودية من قِبل جهة تهديد مدعومة من الصين تُعرف باسم «أنسوليستد بوكر»، استخدمت خلالها باباً خلفياً جديداً يحمل اسم «مارس سنيك».

وذكر تقرير الشركة، الذي يغطي أنشطة التهديدات للفترة بين أكتوبر 2024 ومارس 2025، أن الجهة نفسها استهدفت المنظمة ذاتها في ثلاث مناسبات مختلفة: مارس 2023، ويناير 2024، ويناير 2025. وقد استخدمت الحملة رسائل تصيّد احتيالية تتنكر في هيئة تأكيدات حجز صادرة عن شركة خطوط سعودية شهيرة، بهدف تضليل المستلمين ودفعهم لفتح الملفات المرفقة.

وتبيّن أن الرسائل كانت مرفقة بملف بصيغة «وورد» يحتوي على تذكرة مزيفة تم إعدادها انطلاقاً من نسخة منشورة على منصة أكاديمية على الإنترنت. وعند فتح الملف، يتم تفعيل تعليمات ماكرو بلغة VBA تؤدي إلى تنزيل ملف تنفيذي باسم «smssdrvhost.exe»، يعمل كحامل خفي لباب خلفي يُعرف باسم «مارس سنيك»، يتصل بخادم قيادة وتحكم عبر النطاق المموّه «contact.decenttoy[.]top».

وبحسب التقرير، تُعد هذه البرمجية امتداداً لترسانة أدوات مشابهة استخدمتها المجموعة في السابق، مثل «تشينوكس» و«ديد رات» و«بويزن آيفي» و«بي رات»، وهي أدوات رُصد استخدامها من قبل جهات سيبرانية مرتبطة بالصين. كما أظهرت التحليلات أن «أنسوليستد بوكر» تشترك في البنية والوسائل مع مجموعات أخرى، من بينها «سبيس بايرتس»، إلى جانب جهات لم تُنسب رسمياً بعد.

وتعتمد هذه الهجمات على تقنيات هندسة اجتماعية دقيقة، من خلال تقديم رسائل تحتوي على تفاصيل سفر وهمية، بما يعزز من احتمال تحميل البرمجيات الخبيثة من دون إثارة الانتباه. ويُعتقد أن الهدف من تلك المحاولات يتجاوز جمع المعلومات ليشمل الوصول إلى أنظمة حيوية داخل الجهة المستهدفة.

تزامن هذا الكشف مع أنشطة رُصدت من جهات صينية أخرى مثل «بيربليكسد غوبلين» التي استهدفت جهات حكومية أوروبية في ديسمبر 2024، إضافة إلى استمرار عمليات مجموعة «ديجيتال ريسايكلرز» التي اعتمدت أدوات مثل «أر كلاينت» و«هايدرو آر شيل» و«غيفت بوكس» ضمن حملات سيبرانية معقدة.

وتشير هذه الأنماط إلى تنسيق عالي المستوى بين تلك الجهات، ما يعكس توجهاً مستمراً نحو استهداف البنى التحتية الرقمية في مناطق ذات أهمية جيوسياسية، ومن ضمنها المملكة، مما يستدعي تعزيز تطبيق الضوابط الوطنية للأمن السيبراني والامتثال للإرشادات الصادرة عن الهيئة الوطنية للأمن السيبراني.