وفي خريف عام 2025، حدد خبراء الاستخبارات السيبرانية في شركة Positive Technologies حملتين مماثلتين تهدفان إلى تثبيت أبواب خلفية في شبكات مقدمي خدمات الاتصالات في قيرغيزستان. وفي الشهر الماضي، تم تنفيذ هجمات مماثلة في طاجيكستان.
وفي جميع الحالات، استخدم المهاجمون حملات البريد الإلكتروني لعناوين المنظمات المستهدفة. تحتوي رسائل البريد الإلكتروني المزيفة على مرفقات أو روابط ضارة لمثل هذه الملفات؛ تم إخفاء البرامج الضارة نفسها كمكونات مشروعة لنظام التشغيل Microsoft Windows.
تم إرسال رسائل مزيفة إلى مشغلي الاتصالات في قيرغيزستان في سبتمبر نيابة عن العملاء المحتملين. المؤلف مهتم بتعريفات الاتصالات المتنقلة الحالية.
عند فتح المرفق، تظهر للمستلم صورة مع طلب لتمكين وحدات الماكرو باللغة الروسية. عند تفعيلها، تظهر للضحية خطة (منسوخة من مزود آخر!) كوسيلة إلهاء ويتم تثبيت البرامج الضارة المستهدفة.
يظهر التحليل أن الباب الخلفي محمل ببرنامج نصي (يطلق عليه PT اسم LuciDoor) مكتوب بلغة C++ ويمكنه الاتصال بـ C2 ليس فقط بشكل مباشر، ولكن أيضًا من خلال وكلاء النظام والخوادم الأخرى في البنية التحتية للضحية. وتشمل مهامها جمع المعلومات حول الأجهزة المصابة، وتنزيل البرامج، وتصفية البيانات.
وقد سُجلت هجمات متكررة على أنظمة الاتصالات في قيرغيزستان، في نوفمبر/تشرين الثاني. قام المهاجمون بتغيير المستند الخادع، وارتكبوا نفس الخطأ (كان يحتوي على اسم لا يتطابق مع المستلم) وأنشأوا بابًا خلفيًا لنظام Windows – هذه المرة MarsSnake، الذي ظهر في هجمات التجسس في المملكة العربية السعودية.
يتميز الباب الخلفي MarsSnake بسهولة إعداده: يتم إجراء التغييرات عن طريق تحديث المعلمات في أداة تحميل التشغيل، مما يعني أنه لا يتطلب وقتًا لإعادة إنشاء الملف القابل للتنفيذ. بمجرد الإعداد، تقوم البرمجيات الخبيثة بجمع بيانات النظام، وإنشاء معرف فريد، ونقل كل شيء إلى C2.
“من المثير للاهتمام، أنه في هجمات العام الماضي، كانت جميع الوثائق الخبيثة باللغة الروسية، في حين تضمنت التركيبات العربية والإنجليزية والصينية”، كما أشار ألكسندر بادايف، خبير PT ESC TI. “لقد وجدنا أيضًا حقلاً في الملفات يشير إلى استخدام اللغة الصينية. ربما قام المهاجمون بتثبيت Microsoft Office بالإعدادات المقابلة، أو استخدموا قالب مستند باللغة الصينية.”
في هجوم البريد الإلكتروني الذي وقع في يناير في طاجيكستان، تم استخدام الروابط بدلاً من المرفقات الضارة. صورة مع تغيير المكالمة لتمكين وحدات الماكرو والنص باللغة الإنجليزية. مرة أخرى، البرمجيات الخبيثة المستهدفة هي LuciDoor، ولكن بتكوين مختلف.