أفاد باحثون في الأمن السيبراني عن رصد برمجية اختراق جديدة عالية التطور مكتوبة بلغة Rust وتحمل اسم ChaosBot. تسمح هذه البرمجية للمشغلين بإجراء استطلاع نظامي وتنفيذ أوامر عشوائية بفاعلية على الأجهزة المخترقة. اكتشفت شركة eSentire العينة الأولى أواخر سبتمبر 2025 داخل بيئة عميل يعمل في قطاع الخدمات المالية.
وفقاً للتحليل التقني، بدأ الهجوم باستغلال بيانات اعتماد مخترقة مرتبطة بخدمة Cisco VPN، ثم الاعتماد على حساب Active Directory مسروق مفرط الصلاحيات يدعى serviceaccount. مكنت هذه الثغرة المهاجمين من تنفيذ الأوامر عن بعد عبر أداة WMI ونشر برمجية ChaosBot الخبيثة بسرعة فائقة عبر الشبكة المستهدفة.
تعتمد برمجية ChaosBot على منصتي Discord وملفات اختصار Windows LNK كقنوات قيادة وتحكم، في خطوة تهدف إلى التخفي عن وسائل المراقبة التقليدية. يستخدم المشغل الرئيسي حساب Discord باسم chaos_00019 لإصدار الأوامر.
في سيناريو التوزيع البديل، تستخدم رسائل تصيد تحوي ملف LNK خبيث. عند فتحه، ينفّذ أمر PowerShell يقوم بتحميل وتشغيل ChaosBot، متبوعاً بعرض مستند PDF خداعي من بنك فيتنام المركزي لتشتيت اللانتباه.
تتضمن الحمولة الخبيثة الأساسية مكتبة ديناميكية ضارة msedge_elf.dll تُحمّل عبر آلية sideload باستخدام ثنائي Microsoft Edge (identity_helper.exe). بعد استكشاف النظام، تقوم البرمجية بتحميل أداة fast reverse proxy (FRP) لفتح نفق عكسي إلى الشبكة لضمان توفير وصول دائم.
تدعم ChaosBot مجموعة أوامر متعددة تشمل shell لتنفيذ أوامر PowerShell، وscr لالتقاط لقطات شاشة، إلى جانب وظائف download و upload للتلاعب بالملفات عبر قناة Discord المخصصة للتفاعل.
وأشارت eSentire إلى أن النسخ الجديدة من ChaosBot تضمنت تقنيات ترويض متطورة لتجنب التحليل وكشف البيئات الافتراضية. شمل ذلك تعليمات الدالة ntdll!EtwEventWrite لتعطيل Event Tracing for Windows، إلى جانب فحص عناوين MAC للتحقق من بادئات لماكينات افتراضية مثل VMware وVirtualBox ثم إيقاف التشغيل التلقائي عند وجود تطابق.
في تطور موازٍ ومرتبط، رصدت Fortinet FortiGuard Labs مجموعة جديدة من برامج الفدية مرتبطة باسم Chaos مكتوبة بلغة C++ تضيف خصائص تدميرية والتلاعب بالحافظة. هذا المتغير الجديد قادر على حذف ملفات كبيرة بشكل نهائي بدلاً من تشفيرها فقط، كما يستبدل عناوين بيتكوين في الحافظة بعناوين يسيطر عليها المهاجم لإعادة توجيه تحويلات العملة المشفرة. يوصف هذا التكتيك بأنه مزيج من الابتزاز المدمر والسرقة المالية الخفية لتعظيم العائد الإجرامي.
تنتشر عينات Chaos-C++ عبر ناقلات خداعية تتظاهر بأنها أدوات مساعدة System Optimizer v2.1 أو مرتبطة بخدمات ذكاء اصطناعي سابقة، مثل OpenAI ChatGPT وInVideo AI. عند التشغيل، تتحقق البرمجية من وجود ملف “%APPDATA%\READ_IT.txt” للإشارة إلى تنفيذ سابق؛ وفي حال التفعيل، تعطل وسائل استعادة النظام وتشرع في التشفير باستخدام مقاربة هجينة بين التشفير المتماثل وغير المتماثل مع روتين احتياطي XOR لضمان استمرارية الهجوم وصعوبة تعطيله.
تكمن خطورة هذا التحول في توسيع نطاق الأذى لدى مجموعة Chaos ليشمل حذف البيانات الكبيرة والتلاعب بالحافظة لسرقة العملات المشفرة، ما يجعل البرمجيات أكثر تعدداً وتعقيداً من الناحية التشغيلية. وتوصي الجهات الأمنية بتشديد المراقبة على حسابات الخدمة المتميزة الصلاحيات، والكشف عن اتصالات Discord غير المصرح بها، وفرض قواعد تنفيذ الملفات ذات الامتداد LNK، ومراقبة أنماط استخدام PowerShell وعمليات sideloading و FRP لإنشاء أنفاق عكسية.
