برمجية MiniFast المدعومة بالذكاء الاصطناعي تستهدف الطيران

مقدمة تحليلية

في أعقاب الحملة العسكرية المشتركة بين الولايات المتحدة وإسرائيل في أواخر فبراير 2026، كشفت تقارير استخبارات التهديدات الصادرة عن مؤسستي Check Point وPalo Alto Networks عن تصعيد سيبراني غير مسبوق تقوده مجموعة التهديد المتقدم المستمر الإيرانية المعروفة باسم Nimbus Manticore (والمصنفة أيضاً تحت أسماء Screening Serpens وUNC1549). لم تكن هذه الحملة مجرد رد فعل سياسي تقليدي، بل شكلت قفزة نوعية في تكتيكات الحرب السيبرانية الهجينة، حيث شملت استهدافاً مكثفاً لقطاعات الطيران، والبرمجيات، والدفاع، والاتصالات، والطاقة في الولايات المتحدة وأوروبا والشرق الأوسط، بما في ذلك استهداف مباشر لشركة غاز ونفط أمريكية كبرى. تكمن الأهمية القصوى لهذه الموجة الهجومية المتواصلة من فبراير إلى أبريل 2026 في توظيف المهاجمين لتقنيات برمجية هجينة ومتطورة، من أبرزها برمجية باب خلفي (Backdoor) جديدة كلياً أُطلق عليها اسم MiniFast (وتُعرف أيضاً باسم MiniUpdate). وتؤكد المؤشرات البرمجية والتحليلات العميقة لشيفرة هذه البرمجية الخبيثة أنها طُورت بالاستعانة المباشرة بأدوات الذكاء الاصطناعي التوليدي (AI-assisted development)، مما مكن المجموعة من تسريع وتيرة إنتاج البرمجيات الضارة وتحديثها في منتصف النزاع الإقليمي دون توقف، متجاوزين أساليب الاصطياد التقليدية إلى أساليب أكثر تعقيداً مثل تزييف نتائج محركات البحث (SEO Poisoning).

التحليل التقني

تمحورت البنية الهجومية لـ Nimbus Manticore حول ثلاث موجات متتالية استخدمت في كل منها آليات تسليم وتشغيل مختلفة تماماً لتجنب الكشف وتجاوز الحلول الأمنية التقليدية:

• الموجة الأولى (فبراير 2026): استهدفت موظفي قطاع الطيران والبرمجيات في المملكة العربية السعودية وأستراليا عبر رسائل اصطياد مهني (Career-themed lures) تماثل تكتيكات المجموعة الكورية الشمالية في "Operation Dream Job". تم إغراء الضحايا بتحميل ملفات أرشيف مضغوطة بصيغة ZIP مستضافة على منصات OnlyOffice، وعند فك الضغط وتشغيل ملف تنفيذي سليم (Benign Executable)، تم استغلال ثغرة اختطاف نطاق التطبيق (AppDomain Hijacking) لتمرير مكتبة ربط ديناميكي خبيثة (Rogue DLL) تقوم بتشغيل برمجية MiniJunk V2.
• الموجة الثانية (مارس 2026): اعتمدت على استغلال برامج الاجتماعات الافتراضية، حيث استخدم المهاجمون ملف تثبيت مفخخ لتطبيق Zoom (Trojanized Zoom Installer) ضمن دعوات اجتماعات وهمية. تم استخدام التقنية الأمنية ذاتها (AppDomain Hijacking) لزرع وتشغيل الباب الخلفي المطور حديثاً MiniFast.
• الموجة الثالثة (أبريل 2026): مثلت تغييراً جذرياً في أسلوب العمل، حيث تحول المهاجمون إلى استراتيجية تزييف محركات البحث (SEO Poisoning). قام المهاجمون بتسجيل عشرات النطاقات الوهمية لرفع تصنيف موقع خبيث يحمل الاسم getsqldeveloper[.]com عبر محركات البحث Bing وDuckDuckGo، لتقديم نسخة مفخخة من برنامج Oracle SQL Developer تحتوي على برمجية MiniFast.

وتكشف الهندسة العكسية لبرمجية MiniFast عن دلائل قوية تشير إلى دور الذكاء الاصطناعي في كتابة الشيفرة البرمجية، حيث تتميز بالآتي:

• وجود آليات معالجة أخطاء مكثفة للغاية (Excessive Error Handling) ومنطق برمجة دفاعي غير مألوف في الشيفرات اليدوية السريعة.
• أنماط تسمية مكررة ومطولة للوظائف والمتغيرات (Repetitive and Verbose Function Naming) تشبه المخرجات القياسية للنماذج اللغوية الكبيرة (LLMs).
• تنظيم هيكلي عالي البرمجة (Modular Code Organization) رغم بساطة المهام الوظيفية الكلية للبرمجية، بجانب رسائل تتبع الأخطاء البرمجية المفصلة (Debug-style Messages).

وتعمل برمجية MiniFast كباب خلفي كامل الصلاحيات مخصص لضمان البقاء الطويل (Persistence) داخل الشبكة والتحكم عن بعد (Remote Command Execution)، حيث تتواصل مع خادم القيادة والسيطرة (C2) عبر بروتوكول HTTP لإرسال معلومات النظام الأساسية وتلقي الأوامر التي تشمل تنفيذ العمليات البرمجية عبر "cmd.exe"، وإدارة الملفات والمجلدات، وحقن مكاتب الـ DLL، وجدولة المهام لتثبيت الوجود الرقمي، وتصعيد الصلاحيات باستخدام الأمر "runas". كما تدعم البرمجية ميزة تغيير فترات الفحص والطلب (Polling Interval) وتطبيق قيم عشوائية (Jitter) لتفادي أنظمة مراقبة تدفق البيانات الأمنية الشاذة.

السياق وتأثير السوق

يتزامن هذا الكشف مع رصد شركة Palo Alto Networks (Unit 42) لهجمات موازية تستهدف منشآت حيوية تشمل قطاعات النفط والغاز في الولايات المتحدة، وشركات الطيران والدفاع في الإمارات وإسرائيل. لم يتوقف النشاط التخريبي عند هذا الحد، بل ارتبط أيضاً بهجمات استهدفت أنظمة قياس الخزانات الأوتوماتيكية (Automatic Tank Gauge - ATG) في محطات الوقود بعدة ولايات أمريكية، مستغلة عدم وجود حماية بكلمات مرور للأنظمة المتصلة بالإنترنت، مما يثير مخاوف جدية حول إمكانية العبث بقراءات الوقود وحجب اكتشاف التسريبات النفطية. إن تبني المجموعة التكتيكات الكورية الشمالية القائمة على انتحال هويات مسؤولي التوظيف وتقديم عروض عمل وهمية ومغرية يشير إلى مستوى متقدم من التعاون والتبادل المعرفي التكتيكي بين مجموعات التهديد المتقدم التابعة للدول الحليفة سياسياً. يعكس هذا التحول تهديداً مباشراً لاستقرار سلاسل التوريد البرمجية، حيث لم يعد المهندسون والمطورون بمنأى عن الاستهداف الشخصي أثناء بحثهم عن الأدوات البرمجية الشائعة عبر محركات البحث، مما يعيد صياغة مفهوم التهديد الداخلي غير المقصود (Unintentional Insider Threat).

رؤية Glitch4Techs

إن ما نشهده اليوم يمثل التدشين الفعلي لعصر "البرمجيات الخبيثة الهجينة والمسرعة بالذكاء الاصطناعي". إن قيام Nimbus Manticore ببناء ونشر باب خلفي جديد بالكامل مثل MiniFast في خضم نزاع عسكري نشط يثبت كيف يساهم الذكاء الاصطناعي التوليدي في تقليص ما يُعرف بـ "الدورة البرمجية الهجومية" (Offensive Software Lifecycle) من شهور إلى أيام معدودة. تتيح هذه الأدوات للمهاجمين تجاوز عقبات البرمجة، والتركيز بدلاً من ذلك على هندسة آليات التوصيل وتطوير أساليب مبتكرة لتجاوز الضوابط الدفاعية. من الناحية الدفاعية، تبرز حملة تسميم نتائج البحث (SEO Poisoning) الموجهة للمطورين ضعفاً فادحاً في معايير الثقة داخل بيئات التطوير. فبينما تركز المؤسسات جل جهودها الأمنية على تأمين خوادم البريد الإلكتروني لمكافحة التصيد، يقع المطورون في فخ تنزيل برمجيات أساسية من محركات بحث يثقون بها. نرى في Glitch4Techs أن استراتيجيات الأمن السيبراني المستقبلية يجب ألا تكتفي بمراقبة البريد الوارد، بل يتعين عليها فرض بيئات عمل معزولة (Sandboxed Development Environments) لكل مطور، مع تفعيل آليات التحقق الصارم من التوقيع الرقمي للملفات، وفرض جدران حماية تمنع الاتصال المباشر لبيئات التطوير بالإنترنت الخارجي دون المرور عبر مستودعات برمجية محلية مأمونة ومراقبة.