تُعدّ العصابة الرقمية المرتزقة DeathStalker إحدى الجهات سيئة السمعة المختصة بالتهديدات المتقدمة المستمرة، والتي يُعتقد أنها تقدّم خدماتها في القرصنة الرقمية لسرقة المعلومات التجارية الحساسة من الشركات لا سيما في القطاعين المالي والقانوني. وكان باحثو كاسبرسكي أول من أبلغ في أغسطس الماضي عن عودة هذه العصابة إلى النشاط، ولكن هذه المرة باستخدام تكتيكات جديدة لزرع البرمجيات الخبيثة وتوصيلها إلى الضحايا عبر منفذ خلفي أطلقت عليه كاسبرسكي الاسم PowerPepper، يستغلّ نظام أسماء النطاق (DNS) العامل على بروتوكول HTTPS كقناة اتصال لإخفاء الاتصالات التي تجري مع خادم القيادة الذي يحمل مظهرًا رسميًا سليمًا. كذلك تستخدم البرمجية الخبيثة PowerPepper العديد من أساليب التسلل، مثل إخفاء المعلومات ضمن الملفات، أو ما يُعرف بـ steganography.
ويجري نشر PowerPepper عادةً في عمليات تصيد موجّه تُستخدم فيها رسائل البريد الإلكتروني تحتوي على ملفات خبيثة في متن الرسالة أو عبر رابط خبيث، وذلك مثلما هو الحال في سلالات البرمجيات الخبيثة الأخرى المرتبطة بالعصابة. واستغلت العصابة الأحداث والفعاليات العالمية المهمة، واللوائح التنظيمية المحددة لانبعاثات الكربون، وحتى الجائحة العالمية الراهنة لخداع ضحاياها ودفعهم لفتح الملفات الخبيثة.
وقال بيير ديلشر الخبير الأمني لدى كاسبرسكي، إن PowerPepper تثبت مرة أخرى أن العصابة DeathStalker جهة تهديدات تخريبية إبداعية، مشيرًا إلى قدرتها على تطوير عمليات زرع وسلاسل أدوات جديدة باستمرار وفي فترة زمنية قصيرة، وأضاف: “PowerPepper هي الرابعة في سلاسل البرمجيات الخبيثة التي تطورها العصابة، وقد اكتشفنا سلالة خامسة محتملة، وبالرغم من أنها ليست شديدة التعقيد، فقد أثبتت فاعليتها، ربما لأن أهدافها الأساسية تتمثل في المنشآت الصغيرة والمتوسطة، والجهات التي تميل إلى امتلاك تطبيقات أمنية أقلّ قوة، ونتوقع أن تظل هذه العصابة نشطة ولكننا سنواصل مراقبة حملاتها”.
