الهجوم الجديد “ذئب الفرسان” على الوكالات الروسية

الهجوم الجديد “ذئب الفرسان” يستهدف الوكالات الروسية باستخدام FoalShell و StallionRAT

03 أكتوبر 2025رافي لاكشمانان، الأمن السيبراني / البرمجيات الخبيثة

تم رصد مجموعة تهديدات تُعرف بتداخلها مع مجموعة قرصنة تُدعى YoroTrooper تستهدف القطاع العام الروسي باستخدام عائلات البرمجيات الخبيثة مثل FoalShell و StallionRAT.

تتبع شركة الأمن السيبراني BI.ZONE هذه الأنشطة تحت اسم ذئب الفرسان. كما تم تقييمها بأن لها أوجه تشابه مع مجموعات تم تتبعها مثل SturgeonPhisher و Silent Lynx و Comrade Saiga و ShadowSilk و Tomiris.

“للحصول على الوصول الأولي، أرسل المهاجمون رسائل تصيد مستهدفة تتنكر كرسائل رسمية من مسؤولين حكوميين قيرغيزستانيين،” قالت BI.ZONE. “كانت الوكالات الحكومية الروسية، بالإضافة إلى شركات الطاقة والتعدين والتصنيع، هي الأهداف الرئيسية للهجمات.”

الهجمات الأخيرة وتفاصيلها

في أغسطس 2025، كشفت Group-IB عن هجمات شنتها ShadowSilk تستهدف الكيانات الحكومية في آسيا الوسطى وآسيا-المحيط الهادئ، باستخدام أدوات بروكسي عكسي وبرمجيات وصول عن بعد مكتوبة بلغة بايثون وتم نقلها لاحقًا إلى PowerShell.

تعتبر الروابط بين ذئب الفرسان و Tomiris مهمة، ليس فقط لأنها تعزز فرضية أنه مجموعة تهديد مرتبطة بكازاخستان. في تقرير أواخر العام الماضي، نسبت مايكروسوفت برمجية Tomiris إلى مجموعة تهديدات مقرها كازاخستان تُعرف باسم Storm-0473.

الهجمات الأخيرة للتصيد، التي تم رصدها بين مايو وأغسطس 2025، تتضمن إرسال رسائل بريد إلكتروني باستخدام عناوين بريد إلكتروني مزيفة تنتحل صفة موظفي الحكومة القيرغيزستانية لتوزيع أرشيفات RAR التي تحمل FoalShell أو StallionRAT.

في حالة واحدة على الأقل، يُقال إن المهاجم قد قام باختراق عنوان بريد إلكتروني شرعي مرتبط بالسلطة التنظيمية لجمهورية قيرغيزستان لإرسال الرسائل. FoalShell هو قذيفة عكسية خفيفة الوزن تظهر في إصدارات Go و C++ و C#، مما يسمح للمشغلين بتشغيل أوامر عشوائية باستخدام cmd.exe.

تفاصيل StallionRAT

StallionRAT ليس مختلفًا في أنه مكتوب بلغة Go و PowerShell و Python، ويمكن المهاجمين من تنفيذ أوامر عشوائية، وتحميل ملفات إضافية، واستخراج البيانات المجمعة باستخدام روبوت Telegram. تشمل بعض الأوامر المدعومة من الروبوت –

/list، لتلقي قائمة بالمضيفين المخترقين (DeviceID واسم الكمبيوتر) المتصلين بخادم القيادة والتحكم (C2)

/go [DeviceID] [command]، لتنفيذ الأمر المعطى باستخدام Invoke-Expression

/upload [DeviceID]، لتحميل ملف إلى جهاز الضحية

أيضًا، يتم تنفيذ أدوات مثل ReverseSocks5Agent و ReverseSocks5 على الأجهزة المخترقة، بالإضافة إلى أوامر لجمع معلومات الجهاز.

قالت شركة الأمن السيبراني الروسية إنها اكتشفت أيضًا أسماء ملفات متنوعة بالإنجليزية والعربية، مما يشير إلى أن تركيز استهداف ذئب الفرسان قد يكون أوسع نطاقًا مما كان يُعتقد سابقًا.

“ذئب الفرسان يقوم حاليًا بتجربة توسيع ترسانته،” قالت BI.ZONE. “هذا يبرز أهمية الحصول على رؤى سريعة حول الأدوات المستخدمة من قبل المجموعة؛ وإلا سيكون من المستحيل الحفاظ على تدابير محدثة لمنع واكتشاف مثل هذه الهجمات.”

تأتي هذه الإفصاحات في الوقت الذي كشفت فيه الشركة أن تحليل المنشورات على قنوات Telegram أو المنتديات السرية من قبل كل من المهاجمين المدفوعين ماليًا والنشطاء الرقميين على مدار العام الماضي قد حدد اختراقات لأكثر من 500 شركة في روسيا، معظمها شمل قطاعات التجارة والمالية والتعليم والترفيه.

“في 86% من الحالات، نشر المهاجمون بيانات مسروقة من تطبيقات الويب العامة المخترقة،” لاحظت. “بعد الحصول على الوصول إلى تطبيق الويب العام، قام المهاجمون بتثبيت gs-netcat على الخادم المخترق لضمان الوصول المستمر. أحيانًا، كان المهاجمون يقومون بتحميل قذائف ويب إضافية. كما استخدموا أدوات شرعية مثل Adminer و phpMiniAdmin و mysqldump لاستخراج البيانات من قواعد البيانات.”