كشف تقرير حديث صادر عن شركة ReliaQuest في العشرين من يناير لعام 2026، عن نشاط سيبراني مكثف يستهدف الشخصيات ذات القيمة العالية في بيئات الأعمال عبر منصة LinkedIn. تعتمد هذه الحملة على بناء جسور من الثقة المهنية الزائفة عبر الرسائل الخاصة، وصولاً إلى إقناع الضحية بتحميل ملفات مضغوطة ذاتية الاستخراج (SFX) من برنامج WinRAR.
تمثل هذه الملفات بداية لسلسلة عدوى تقنية تهدف في نهايتها إلى زرع حصان طروادة للتحكم عن بعد (RAT)، لمنح المهاجمين قدرة مستمرة على البقاء داخل الأنظمة المخترقة وسحب البيانات الحساسة منها.
التكتيكات الفنية للهجوم من الانتحال إلى السيطرة الكاملة
تبدأ العملية بمحادثة مهنية تبدو اعتيادية على LinkedIn، حيث يستدرج المهاجم الضحية لتنزيل أرشيف SFX تحت مسميات مغرية تتوافق مع التخصص الوظيفي للمستهدف، مثل خطط المشاريع أو قوائم المنتجات المستقبلية. بمجرد تشغيل هذا الأرشيف، يقوم باستخراج 4 عناصر أساسية تعمل بانسجام لتنفيذ الهجوم، وهي تطبيق شرعي لقراءة ملفات PDF، ومكتبة DLL خبيثة، ونسخة محمولة من مفسر لغة Python، بالإضافة إلى ملف RAR وهمي كتمويه.
تكمن الخطورة في لحظة تفعيل قارئ الـ PDF؛ إذ يستغل التطبيق تقنية DLL Sideloading عبر تحميل المكتبة الخبيثة الموجودة في المجلد نفسه بدلاً من مكتبات النظام، ما يجعل النشاط الضار يبدو كعملية موثوقة يصعب على أدوات الرصد اكتشافها في مراحلها الأولى. إثر ذلك، تقوم المكتبة الخبيثة بتثبيت مفسر Python وإنشاء مفتاح في سجل Windows لضمان التشغيل التلقائي مع كل دخول للنظام. وفي النهاية، يتم تنفيذ سكريبت Python مشفر في الذاكرة للاتصال بخادم التحكم، يمنح المهاجم صلاحيات كاملة تشمل تصعيد الامتيازات والتحرك الجانبي داخل الشبكة.
منصة LinkedIn كبقعة عمياء في المنظومة الدفاعية للمؤسسات
تشير التحليلات إلى أن اختيار LinkedIn كقناة للهجوم يعود لكونها تقع غالباً خارج نطاق المراقبة الصارمة التي تفرضها المؤسسات على البريد الإلكتروني. وفي حين تمتلك الشركات أدوات فلترة متقدمة للرسائل الواردة عبر الإيميل، تظل الرسائل الخاصة على المنصات الاجتماعية نقطة عمياء تفتقر إلى الضوابط الأمنية الكافية. ووصفت ReliaQuest هذا النشاط بأنه واسع النطاق وانتهازي، حيث يصعب تقدير الحجم الفعلي للضحايا بسبب خصوصية التفاعلات داخل الرسائل المباشرة.
بالتوازي مع هذه الحملة، رصدت موجة أخرى تعتمد على التعليقات المزيفة التي تنتحل صفة المنصة الرسمية، مستخدمة أحياناً مختصر الروابط الرسمي (lnkd.in) لتوجيه المستخدمين إلى وجهات خبيثة. يؤكد هذا التنوع في الأساليب تحول LinkedIn إلى ساحة نشطة للهندسة الاجتماعية، سواء من خلال التفاعل المباشر أو الردود العامة.
استراتيجيات التحصين وإدارة مخاطر التواصل الاجتماعي
يتطلب التصدي لهذه التهديدات إدراج منصات التواصل الاجتماعي ضمن سطح الهجوم الرسمي للمؤسسة، مع ضرورة تكثيف التدريب التوعوي للموظفين حول سيناريوهات بناء الثقة الزائفة.
كما ينصح تقنياً بتضييق مسارات التنفيذ عبر تقييد تشغيل الأرشيفات ذاتية الاستخراج والملفات التنفيذية القادمة من مجلدات التنزيل، وتعزيز سياسات القوائم المسموحة للتطبيقات، خاصة للأجهزة التي يمتلك أصحابها صلاحيات وصول واسعة.
علاوة على ذلك، يجب على فرق الأمن السيبراني بناء قواعد كشف متطورة ترصد أنماط DLL Sideloading وعمليات إنشاء مفاتيح التشغيل التلقائي غير المبررة. وتكتمل هذه المنظومة بحوكمة صارمة لحسابات التواصل الاجتماعي المؤسسية، عبر تطبيق المصادقة متعددة العوامل وإدارة الصلاحيات بدقة، لضمان عدم تحول هذه الحسابات إلى ثغرات يستغلها المهاجمون للوصول إلى الموظفين أو العملاء تحت غطاء الهوية الرسمية للشركة.
