رصد نشاط جديد لبرمجية PipeMagic الخبيثة في منطقة الخليج.. كيف تحمي نفسك؟

برمجية PipeMagic الخبيثة تعود للظهور في منطقة الخليج مع نشاط متزايد خلال 2025، حيث كشف فريق GReAT في كاسبرسكي بالتعاون مع خبراء BI.ZONE عن موجة جديدة من الهجمات التي تستهدف البنية التحتية الحيوية، خاصة في المؤسسات السعودية، لتؤكد استمرار تطور هذه البرمجية الخبيثة المعقدة وثباتها كتهديد سيبراني خطير.

تطور هجمات برمجية PipeMagic الخبيثة في الخليج وأسواق جديدة

بدأت هجمات برمجية PipeMagic الخبيثة في آسيا، لكنها توسعت لاحقًا لتشمل المملكة العربية السعودية في أواخر 2024، مما يشير إلى تركيز متزايد على استهداف المؤسسات السعودية الحيوية. بالإضافة إلى ذلك، رصد الباحثون نشاطًا في قطاعات صناعية مهمة في البرازيل، مما يعكس التوسع الإقليمي للتهديدات التي تجسّدها برمجية PipeMagic الخبيثة. تعكس هذه التوسعات توجه المهاجمين لتوسيع نطاق نفوذهم وإلحاق أكبر ضرر ممكن بالبنى التحتية الرقمية.

استغلال الثغرة CVE-2025-29824 ودورها في هجمات برمجية PipeMagic

يرتكز النشاط الخبيث الأخير لبرمجية PipeMagic على استغلال ثغرة مايكروسوفت المعروفة بالرمز CVE-2025-29824، التي تم تحديدها من بين 121 ثغرة تم رصدها خلال أبريل 2025، وكانت الوحيدة المستخدمة بشكل ملحوظ في الهجمات السيبرانية. حيث تعتمد الهجمات على أداة مدمجة ضمن سلسلة إصابات PipeMagic لاستهداف خلل برمجيات تشغيل سجلات ملف النظام clfs.sys، ما يسمح بتصعيد الصلاحيات داخل الأنظمة. كما استُخدمت في هجمات عام 2025 ملفات فهرس المساعدة من مايكروسوفت لفك تشفير وتشغيل تعليمات الشيل كود، مما يعزز فعالية البرمجية الخبيثة في تنفيذ أجندة المهاجمين.

• استغلال ثغرة CVE-2025-29824 لتصعيد الصلاحيات
• استخدام ملف فهرس المساعدة لفك تشفير تعليمات الشيل كود
• تشفير الشيل كود عبر خوارزمية RC4 وتنفيذه باستخدام دالة EnumDisplayMonitorsWinAPI
• حقن العمليات للوصول إلى واجهات برمجة التطبيقات للنظام

تطور أدوات برمجية PipeMagic الخبيثة وتأثيرها على الأمن السيبراني في الخليج

كشف فريق الباحثين عن إصدار مطوّر من أداة تحميل برمجية PipeMagic الخبيثة، ظهر على هيئة تطبيق يبدو شبيهاً بتطبيق شات جي بي تي، مستخدمًا إطاري العمل Tokio وTauri، ومكتبة libaes بالنسخة ذاتها التي استُخدمت في هجمات 2024 على المؤسسات السعودية. يؤكد «ليونيد بيزفيرشينكو»، الباحث الأمني في كاسبرسكي، أن الترقيات الأخيرة عززت قدرة البرمجية على البقاء ضمن الأنظمة المصابة والتنقل بحرية داخل الشبكات المستهدفة.

وأشار «بافيل بلينيكوف»، رئيس أبحاث الثغرات في BI.ZONE، إلى زيادة استهداف ملف clfs.sys في برمجيات الأنظمة، خاصة من قبل المجرمين السيبرانيين الذين يسعون لكسب مالي، مستغلين ثغرات اليوم الصفري للحصول على صلاحيات متقدمة وإخفاء أنشطة الاختراق لاحقًا. وأوصى باستخدام أنظمة كشف واستجابة متقدمة للنقاط الطرفية (EDR) لرصد السلوكيات المشبوهة قبل وبعد استغلال الثغرات الأمنية.

تُعد برمجية PipeMagic الباب الخلفي الخبيث الذي يسمح للمهاجمين بالعمل عبر وضعين، إما كأداة وصول متكاملة عن بعد أو كوكيل شبكة، وهو ما يتيح لهم تنفيذ أوامر متعددة تنسجم مع أهدافهم الخبيثة، فضلًا عن تمكينهم من الحفاظ على تواجد طويل الأمد ضمن الأنظمة المصابة. ويبرز استخدام تطبيقات زائفة شبيهة بالتطبيقات المألوفة كنوع من التضليل الذي يسهل اختراق الضحايا وإقناعهم بتنفيذ التعليمات الخبيثة دون إدراك.

يبقى التهديد الذي تشكله برمجية PipeMagic الخبيثة في منطقة الخليج علامة تحذير واضحة لمنظمات القطاعين العام والخاص، تحتم عليهم تعزيز إجراءات المراقبة الأمنية واعتماد تقنيات كشف وانعاش متقدمة لضمان الحماية من هذه البرمجيات المتطورة، التي تظهر دائمًا بوجوه جديدة وأساليب معقدة تهدف إلى تقويض الأمن السيبراني.