يُظهر استغلال مجموعة Amaranth-Dragon لثغرة في برنامج WinRAR مدى سرعة استغلال جهات التجسس للثغرات الأمنية العامة كسلاح.

لا يهم اسم جهة التجسس "الجديدة" بحد ذاته. المهم هو نمط العمل: مدى سرعة استغلال مجموعة ما لثغرة تم الكشف عنها حديثًا، وما يدل عليه ذلك بشأن فترة تحديث نظام الحماية، وأنواع المنظمات التي يتم استهدافها.

تصف التقارير والأبحاث المنشورة جهة تهديد تُدعىتنين أمارانث، تم تقييمها على أنها مرتبطة بـAPT41، وتنفيذ حملات مُستهدفة في جميع أنحاء جنوب شرق آسيا واستغلالثغرة أمنية في برنامج WinRAR (CVE-2025-8088). توصف الحملات بأنها ذات نطاق ضيق - مصممة لتجنب الضوضاء - ومبنية على المثابرة والتخفي.

يركز هذا المقال على قصة الأمن العملي: ما تفعله فئة الاستغلال هذه، ولماذا يعتبر WinRAR موطئ قدم متكرر، وكيف يبدو "الدفاع الجيد" عندما يكون المهاجمون سريعين.

ما يتم الإبلاغ عنه (مصادر يمكنك التحقق منها)

في جميع التقارير والأبحاث المرجعية:

• يتم تتبع الممثل على أنهتنين أمارانثويوصف بأنه مرتبط بـAPT41.
• تتميز الحملات بـالتجسس الموجه(ليست جريمة جماعية).
• تشمل الأهدافالحكومة وإنفاذ القانونالمنظمات.
• يتركز الاستهداف فيجنوب شرق آسيا(تشمل الدول المدرجة سنغافورة وتايلاند وإندونيسيا وكمبوديا ولاوس والفلبين).
• استغل الممثلCVE-2025-8088فيWinRAR.
• يصف البحث التبني السريع لثغرة WinRAR بعد فترة وجيزة من الكشف عنها ويذكر سلوك C2 المحدد جغرافيًا والأدوات المرحلية (المحمل → الحمولة).

تكفي هذه النقاط لاستخلاص استنتاج مفيد: الجزء الصعب بالنسبة للمدافعين ليس "تحديد تنين أمارانث". بل هوتقليص الفجوة الزمنية للاستغلالللبرامج واسعة الانتشار.

لماذا يستمر ظهور برنامج WinRAR في سلاسل الاختراقات الحقيقية؟

تعتبر أدوات الأرشفة أهدافًا جذابة لأنها تقع على الحدود بين "المحتوى غير الموثوق به" و "عمليات نظام الملفات الموثوق بها".

يُعد برنامج WinRAR شائعًا للأسباب التالية:

• يتم تثبيته على العديد من نقاط نهاية الأعمال
• يفتح المستخدمون الملفات المؤرشفة التي تم استلامها عبر البريد الإلكتروني أو تنزيلها من الإنترنت
• عمليات الاستخراج روتينية ولا تنطوي على مخاطر.

لذا، يمكن تحويل الخلل الذي يسمح للأرشيف بكتابة الملفات في أماكن لا ينبغي له كتابتها فيها إلى:

• تنفيذ التعليمات البرمجية (بحسب السلسلة)
• وبشكل أكثر موثوقية، يتم الحفاظ على البيانات عن طريق وضع ملف في المكان الذي يقوم النظام بتنفيذه فيه لاحقًا

حتى عندما يتطلب الاستغلال الأولي تفاعل المستخدم، يمكن للمهاجمين جعل هذا التفاعل يبدو طبيعياً ("افتح حزمة المستندات هذه").

ما الذي يتيحه CVE-2025-8088 (بعبارات تشغيلية بسيطة)

يصف التقرير CVE-2025-8088 بأنه يسمح للأرشيفات الخبيثة بكتابة الملفات إلى مواقع عشوائية على نظام التشغيل Windows من خلال الاستفادة من سلوك نظام ملفات Windows (بما في ذلك تدفقات البيانات البديلة).

لا تحتاج إلى معلومات تافهة عن أنظمة الدفاع الجوي لفهم التأثير التشغيلي:

1. يقوم الضحية باستخراج/فتح أرشيف مُعدّ خصيصاً.
2. ينتهي المطاف بالملف في موقع اختاره المهاجم (وليس في المكان الذي اعتقد المستخدم أن عملية الاستخراج ستتم فيه).
3. يتم اختيار هذا الموقع للاستفادة منه - وغالبًا ما يكون مكانًا يؤدي إلى المثابرة أو يحفز التنفيذ.

تاريخياً، يهدف هذا النمط عادةً إلى:

• مواقع تنفيذ الشركات الناشئة
• المسارات التي تستخدمها التطبيقات التي يتم تشغيلها بشكل متكرر
• أو الدلائل التي يمكن للمستخدم الكتابة إليها والتي تقع ضمن سلسلة تنفيذ

النقطة الأساسية: إنها تحول "معالجة الأرشيف" إلى "عملية كتابة بدائية في نظام الملفات"، وهو عنصر بناء قوي.

تصميم الحملة: لماذا هو هادئ عن قصد

يختلف التجسس الموجه عن البرامج الضارة واسعة النطاق في الدوافع:

• أنت تريد الوصول، لا العناوين الرئيسية.
• أنت تريد عدداً قليلاً من الضحايا ذوي القيمة العالية، وليس الآلاف.
• تريد تجنب "نطاق الانفجار" الذي يؤدي إلى استجابة عالمية للحوادث.

يصف ملخص البحث التقنيات المتوافقة مع هذا الهدف:

الاستهداف الدقيق / تحديد الموقع الجغرافي

إذا كانت أنظمة القيادة والتحكم تستجيب فقط لنطاقات عناوين IP أو المناطق الجغرافية ذات الأهمية:

• انخفاض حالات العدوى العرضية
• تقليل مشاركة البرامج الضارة علنًا
• يصعب على الباحثين العشوائيين إعادة إنتاجه

أدوات مرحلية (محمل → حمولة مشفرة)

استخدام أداة تحميل مخصصة لسحب الحمولات المشفرة:

• يجعل اكتشاف الثوابت أكثر صعوبة
• يُمكّن المشغل من تعديل الحمولة لكل ضحية
• يقلل ذلك من حجم ما يجب شحنه في الأرشيف الأولي

خدمات السلع الأساسية مثل السباكة

إن استخدام طبقات الاستضافة أو الحماية الشائعة (مثل شبكات توصيل المحتوى أو المنصات المعروفة) لا يعني التواطؤ، بل يتعلق الأمر بالاندماج.

الاستنتاج الدفاعي: البنية التحتية وحدها ليست إشارة موثوقة "جيدة مقابل سيئة".

ما ينبغي على المدافعين فعله (بشكل ملموس، وليس بشكل فضفاض)

بالنسبة للمؤسسات التي تدير نقاط نهاية ويندوز وتتعامل مع الأرشيفات (جميعها تقريبًا)، هناك بعض الخطوات ذات التأثير الكبير.

1) سدّ فجوة التوصيلات في المرافق المثبتة على نطاق واسع

أهمية المخزون:

• ما هي الأجهزة التي تحتوي على برنامج WinRAR؟
• ما هي الإصدارات؟
• كيفية نشر التحديثات

إذا كانت التحديثات "تبذل قصارى الجهد"، فسوف يتغلب عليك المهاجمون المستهدفون باستمرار.

2) تعامل مع استخراج الأرشيف كسلوك خاضع للمراقبة

لا داعي لحظر الأرشيفات. أنت بحاجة إلى إتاحتها للجمهور.

• استخراج البيانات من الأرشيف وكتابتها في مجلدات غير مألوفة
• تظهر الملفات في مواقع التخزين الدائمة بعد فترة وجيزة من استخراجها

وهنا تبرز أهمية قواعد EDR ومراقبة "إنشاء الملفات في مسارات بدء التشغيل" البسيطة، حيث يمكن أن يكون لها تأثير يفوق حجمها.

3) مراقبة مواقع الثبات بشكل مكثف

ليس من الضروري اكتشاف كل ثغرة أمنية. فإذا تمكنت من اكتشاف استمرارية الاختراق بشكل موثوق، فإنك تقلل من مدة بقاء الاختراق.

تحديد الأولويات:

• تغييرات مجلد بدء التشغيل
• إنشاء مهمة مجدولة
• تشغيل المفاتيح / نصوص تسجيل الدخول
• اختصارات مشبوهة أو برامج تحميل نصوص برمجية

4) افترض إمكانية كشف بيانات الاعتماد على نقاط النهاية المستهدفة

حتى لو كان الاستغلال الأولي "مجرد كتابة ملف"، فإن الهدف التشغيلي عادة ما يكون الوصول.

لذا ضع خطة لـ:

• قم بتغيير بيانات الاعتماد/الرموز المميزة عند اكتشاف أي اختراق.
• تطبيق مبدأ أقل الامتيازات
• تقسيم مسارات الإدارة ذات القيمة العالية

5) تحقق من مخاطر "المنطقة المستهدفة" في سياقك الخاص

قد تكون القصة ذات تركيز إقليمي، ومع ذلك تظل مهمة في أماكن أخرى للأسباب التالية:

• تقوم مجموعات أخرى بنسخ هذه الثغرة
• تصبح الثغرة جزءًا من مجموعات الأدوات الأساسية

إذن، السؤال الصحيح هو: هل لدينا البرنامج المعرض للاختراق ونفس سير العمل؟ إذا كانت الإجابة بنعم، فإن الدرس ينطبق.

ما الذي يجب مشاهدته لاحقًا (لفصل الإشارة عن الضوضاء)

أما بالنسبة لهذه القصة، فإن أهم المتابعات هي:

• تم تأكيد وجود ثغرات أمنية في إصدارات محددة من برنامج WinRAR مقابل الإصدارات التي تم إصلاحها.
• مؤشرات الاختراق وإرشادات الكشف من البائعين/الباحثين
• أدلة على استخدام مجموعات إضافية لنفس سلسلة الاستغلال
• سواء تغيرت عائلات الحمولة (تبقى الرافعة، وتدور الحمولة)

خلاصة القول

هذا هو نمط التجسس الحديث في صورة مصغرة: أداة منتشرة على نطاق واسع + ثغرة أمنية سريعة الاستخدام كسلاح + استهداف دقيق مصمم لتجنب الضوضاء.

الدفاع قابل للتنبؤ بنفس القدر - وفعال عند تنفيذه بشكل جيد: تقليل فجوة التصحيح، ومراقبة مسارات الاستمرارية ذات التأثير العالي، والتعامل مع معالجة الأرشيف "الروتينية" كسطح هجوم حقيقي.

---

مصادر

• https://www.bleepingcomputer.com/news/security/new-amaranth-dragon-cyberespionage-group-exploits-winrar-flaw/
• https://research.checkpoint.com/2026/amaranth-dragon-weaponizes-cve-2025-8088-for-targeted-espionage/