استخدم القراصنة الاحتيال الهاتفي والثغرات الجديدة، وتمكنوا من اختراق 618 شركة

تقوم هاكرز من EncryptHub بدمج تكتيكات الهندسة الاجتماعية مع استغلالات متطورة، وقد اخترقوا أكثر من 600 منظمة حول العالم.

اكتشف الباحثون من Trustwave SpiderLabs حملة قرصنة جديدة قامت بها مجموعة EncryptHub، تجمع بين الاحتيالات الهاتفية والخدع التقنية المتقدمة لاختراق أجهزة الكمبيوتر التابعة للضحايا.

تبدأ الهاكرز بالتظاهر بأنهم طاقم دعم تقني، يقومون بإجراء مكالمات هاتفية مباشرة لبناء الثقة مع أهدافهم. ثم يقنعون الضحايا بمنحهم الوصول إلى أجهزة الكمبيوتر الخاصة بهم من خلال Microsoft Teams أو اتصالات سطح المكتب عن بُعد. بمجرد الاتصال، يقوم المهاجمون بتنفيذ أوامر تقوم بتنزيل البرامج الخبيثة سرًا.

EncryptHub، المعروف أيضًا باسم LARVA-208 و Water Gamayun، قد تمكن بالفعل من اختراق 618 منظمة حول العالم. قال الباحثون: “لا يزال الهندسة الاجتماعية من أكثر الأدوات فعالية في ترسانة الجريمة الإلكترونية، وقد انضمت مجموعة EncryptHub الناشئة الخطرة مباشرة إلى الركب للاستفادة منه”.

أحد الأخطاء الرئيسية المستخدمة في هذه الحملة هو ضعف في Windows يُعرف باسم CVE-2025-26633، ويُطلق عليه أيضًا اسم ‘MSC EvilTwin’. يتيح هذا الضعف للمتسللين خداع Windows لتحميل ملفات النظام الوهمية التي تعمل على تشغيل الكود الخبيث. يستخدم المهاجمون هذه الثغرة للسيطرة على الأجهزة المصابة.

كما يقوم الهاكرز بتوظيف أدوات جديدة. إحداها، تُدعى ‘SilentCrystal’، تخفي برامجها الخبيثة في مجلدات النظام الوهمية وتقوم بتنزيل الحمولات من Brave Support، وهي منصة مساعدة للمتصفحات مشروعة. واخرى هي بوابة خلفية للوكيل SOCKS5 التي تربط بين الأجهزة المخترقة ومراكز الأوامر لـ EncryptHub بسرية تامة.

بالإضافة إلى ذلك، أنشأت المجموعة خدمة مكالمة فيديو وهمية، rivatalk.net، لنشر مثبتات ضارة متنكرة على هيئة برامج مؤتمرات. بمجرد تثبيتها، يتم تشغيل نصوص PowerShell المخفية لسرقة البيانات، والحفاظ على الوصول، وتمويه حركة القراصنة على أنها نشاط تصفح عادي.

تحذر Trustwave SpiderLabs من أن EncryptHub تصبح أكثر خطورة من خلال مزج الاحتيال، الثقة المسروقة، والبرامج الضارة الجديدة. ويخلصون إلى أن المجموعة هي “خصم موارد جيدة ومتكيفة”، مما يجعل من الوعي المستخدم، التصحيحات، والاستجابة السريعة أكثر أهمية من أي وقت مضى.