كشف محللو أمن المعلومات عن حملة تجسس إلكتروني متطورة تستهدف كيانات أوكرانية، مع إرجاع النشاط لمجموعة تهديدات مرتبطة على الأرجح بروسيا. وفقًا لتقرير مفصل من فريق الاستخبارات الخاص بالتهديدات LAB52 التابع لشركة الأمن السيبراني الإسبانية S2 Grupo، فإن الحملة التي رُصدت في فبراير 2026، تنشر برنامجًا خلفيًا جديدًا يعتمد على جافا سكريبت يحمل الاسم الرمزي DRILLAPP. يستغل هذا البرنامج الضار بشكل فريد ميزات تصحيح الأخطاء وسطر الأوامر في متصفح Microsoft Edge للعمل بخفاء، مما يمكنه من نطاق واسع من قدرات التجسس بما في ذلك سرقة الملفات، والتسجيل الصوتي عبر الميكروفون، والتصوير عبر كاميرا الويب.
تعتمد منهجية الهجوم على إغراءات مصممة هندسيًا اجتماعيًا تتمحور حول قضايا قضائية وأعمال خيرية، تشير تحديدًا إلى تثبيت خدمات Starlink أو التبرعات لمؤسسة "كوم باك ألايف" الأوكرانية. ناقل العدوى الأولي يتضمن ملف اختصار ويندوز (LNK)، والذي عند تنفيذه، ينشئ تطبيق HTML (HTA) في مجلد النظام المؤقت. يقوم هذا التطبيق HTA بعد ذلك بتحميل حمولة جافا سكريبت مشفرة ومستضافة عن بُعد على خدمة Pastefy الشرعية. لضمان الاستمرارية، يتم نسخ ملفات LNK الضارة إلى مجلد بدء تشغيل ويندوز، مما يضمن إعادة تنشيط البرنامج الخلفي بعد كل إعادة تشغيل للنظام.
جانب تقني حاسم في هذه الحملة هو إساءة استخدام مفاتيح سطر أوامر متصفح Microsoft Edge. يتم تشغيل المتصفح في الوضع غير المرئي (headless) مع معلمات مثل `--no-sandbox`، و`--disable-web-security`، و`--allow-file-access-from-files`. والأكثر تطفلاً، يتم استخدام مفاتيح مثل `--use-fake-ui-for-media-stream` و`--disable-user-media-security` لمنح النص البرمجي الضار صلاحية الوصول إلى ميكروفون النظام وكاميرته ووظيفة التقاط الشاشة بصمت دون إطلاق أي مطالبات موافقة من المستخدم. تحول هذه التقنية متصفح Edge بشكل فعال إلى أداة مراقبة قوية وخفيّة.
تم تقييم أن الحملة تشترك في نقاط تداخل كبيرة مع أنشطة سابقة نُسبت لمجموعة التهديدات المعروفة باسم Laundry Bear (والتي تُتعقب أيضًا تحت اسم UAC-0190 أو Void Blizzard)، والتي استهدفت سابقًا القوات الدفاعية الأوكرانية ببرنامج PLUGGYAPE الضار. يشير إعادة استخدام الإغراءات المواضيعية وسلاسل الهجوم المشابهة إلى تطور مستمر في التكتيكات من قبل خصم عنيد يركز على جمع المعلومات الاستخباراتية داخل أوكرانيا. يسلط استخدام خدمة شرعية مثل Pastefy لاستضافة نصوص التحكم والأوامر الضوء على اتجاه نحو تقنيات "العيش على الأرض" التي تخلط النشاط الضار بحركة مرور الشبكة العادية لتجنب الكشف.
يؤكد هذا الحادث على تطور متزايد في الهجمات القائمة على المتصفحات، حيث يتم تسليح التطبيقات الموثوقة من خلال ميزاتها الخاصة. إنه يذكرنا بضرورة قيام المنظمات، خاصة في القطاعات والمناطق عالية الخطورة، بتنفيذ سياسات تحكم قوية في التطبيقات، ومراقبة وسيطات سطر الأوامر غير المعتادة في عمليات تنفيذ المتصفح، والحفاظ على وعي متزايد بحملات التصيد التي تستغل الأحداث الجارية والمواضيع الإنسانية. يجب أن تتطور استراتيجيات الدفاع متعدد الطبقات لمواجهة إساءة استخدام الملفات الثنائية والتطبيقات الشرعية (LOLBins) هذه.
