من HealthKick إلى GOVERSHELL: تطور برمجيات التجسس UTA0388
في 9 أكتوبر 2025، تم رصد جهة تهديد مرتبطة بالصين تُعرف باسم UTA0388، وقد نُسبت إليها سلسلة من حملات التصيد المستهدفة التي تستهدف أمريكا الشمالية وآسيا وأوروبا، والتي تهدف إلى توصيل برمجية خبيثة قائمة على Go تُعرف باسم GOVERSHELL.
وفقًا لتقرير شركة Volexity، كانت الحملات التي تم رصدها في البداية مُخصصة للضحايا، وكانت الرسائل تُزعم أنها مُرسلة من باحثين ومحللين كبار من منظمات تبدو شرعية لكنها مُختلقة تمامًا. كان الهدف من هذه الحملات هو هندسة اجتماعية للضحايا لجعلهم ينقرون على روابط تؤدي إلى أرشيف مُستضاف عن بُعد يحتوي على حمولة خبيثة.
منذ ذلك الحين، يُقال إن الجهة المسؤولة عن الهجمات قد استخدمت طُعمًا وهويات خيالية مختلفة، مُتعددة اللغات، بما في ذلك الإنجليزية والصينية واليابانية والفرنسية والألمانية.
تطور GOVERSHELL
تم العثور على روابط في النسخ المبكرة من الحملات تشير إلى محتوى تصيد مُستضاف إما على خدمة سحابية أو على بنيتهم التحتية الخاصة، مما أدى في بعض الحالات إلى نشر البرمجيات الخبيثة. ومع ذلك، تم وصف الموجات اللاحقة بأنها “مُخصصة للغاية”، حيث لجأ المهاجمون إلى بناء الثقة مع المستلمين على مدى فترة زمنية قبل إرسال الرابط – وهي تقنية تُعرف باسم التصيد القائم على بناء العلاقة.
بغض النظر عن الأسلوب المستخدم، تقود الروابط إلى أرشيف ZIP أو RAR يتضمن حمولة DLL خبيثة تُطلق باستخدام تقنية تحميل DLL الجانبي. الحمولة هي باب خلفي قيد التطوير النشط يُعرف باسم GOVERSHELL. ومن الجدير بالذكر أن النشاط يتداخل مع مجموعة تتبعها Proofpoint تحت اسم UNK_DropPitch، حيث تصف Volexity GOVERSHELL كخليفة لعائلة برمجيات C++ تُعرف باسم HealthKick.
أنواع GOVERSHELL
تم تحديد ما يصل إلى خمسة متغيرات متميزة من GOVERSHELL حتى الآن:
- HealthKick (تم رصده لأول مرة في أبريل 2025)، مُجهز لتشغيل الأوامر باستخدام cmd.exe
- TE32 (تم رصده لأول مرة في يونيو 2025)، مُجهز لتنفيذ الأوامر مباشرة عبر PowerShell reverse shell
- TE64 (تم رصده لأول مرة في أوائل يوليو 2025)، مُجهز لتشغيل الأوامر الأصلية والديناميكية باستخدام PowerShell للحصول على معلومات النظام الحالية، ووقت النظام الحالي، وتشغيل الأوامر عبر powershell.exe، واستطلاع خادم خارجي للحصول على تعليمات جديدة
- WebSocket (تم رصده لأول مرة في منتصف يوليو 2025)، مُجهز لتشغيل أمر PowerShell عبر powershell.exe وأمر “تحديث” غير مُنفذ كجزء من الأمر النظامي
- Beacon (تم رصده لأول مرة في سبتمبر 2025)، مُجهز لتشغيل الأوامر الأصلية والديناميكية باستخدام PowerShell لتحديد فترة استطلاع أساسية، وتغييرها عشوائيًا، أو تنفيذ أمر PowerShell عبر powershell.exe
بعض الخدمات الشرعية التي تم إساءة استخدامها لتمهيد ملفات الأرشيف تشمل Netlify وSync وOneDrive، بينما تم التعرف على رسائل البريد الإلكتروني التي أُرسلت من Proton Mail وMicrosoft Outlook وGmail.
جانب ملحوظ من أسلوب UTA0388 هو استخدامه لـ OpenAI ChatGPT لإنشاء محتوى لحملات التصيد باللغات الإنجليزية والصينية واليابانية؛ والمساعدة في سير العمل الخبيث؛ والبحث عن معلومات تتعلق بتثبيت أدوات مفتوحة المصدر مثل nuclei وfscan، كما كشفت الشركة عن ذلك في وقت سابق من هذا الأسبوع. وقد تم حظر حسابات ChatGPT التي استخدمها المهاجم.
يظهر استخدام نموذج لغة كبير (LLM) لتعزيز عملياته في الفبركات السائدة في رسائل التصيد، بدءًا من الشخصيات المستخدمة لإرسال الرسالة إلى عدم اتساق الرسالة نفسها، وفقًا لـ Volexity.
“ملف تعريف استهداف الحملة يتماشى مع جهة تهديد مهتمة بالقضايا الجيوسياسية الآسيوية، مع تركيز خاص على تايوان”، أضافت الشركة. “تؤدي رسائل البريد الإلكتروني والملفات المستخدمة في هذه الحملة إلى تقييم Volexity بثقة متوسطة أن UTA0388 استخدمت الأتمتة، سواء كانت LLM أو غيرها، التي أنشأت وأرسلت هذا المحتوى إلى الأهداف مع القليل من الإشراف البشري في بعض الحالات.”
تأتي هذه الإفصاحات في الوقت الذي قالت فيه StrikeReady Labs إن حملة تجسس سيبراني يُشتبه في ارتباطها بالصين استهدفت إدارة حكومية صربية تتعلق بالطيران، بالإضافة إلى مؤسسات أوروبية أخرى في المجر وبلجيكا وإيطاليا وهولندا.
تتضمن الحملة، التي تم رصدها في أواخر سبتمبر، إرسال رسائل تصيد تحتوي على رابط، عند النقر عليه، يوجه الضحية إلى صفحة وهمية للتحقق من CAPTCHA من Cloudflare تؤدي إلى تحميل أرشيف ZIP، حيث يوجد ضمنه ملف اختصار Windows (LNK) يُنفذ PowerShell المسؤول عن فتح مستند وهمي وإطلاق PlugX بشكل خفي باستخدام تحميل DLL الجانبي.
