مجموعة التجسس الإلكتروني “الذئب الورقي” تستخدم تقنيات متقدمة لتجاوز أمان البريد الإلكتروني عن طريق تضمين برمجيات خبيثة في ملفات أرشيف تبدو شرعية. تستغل هذه الطريقة الاستخدام الواسع لمثل هذه المرفقات في الاتصالات التجارية. وعلى الرغم من تعقيدها، فإن هذه الهجمات غالباً ما تستخدم تكتيكات يمكن اكتشافها، مما يبرز أهمية المراقبة المستمرة للحوادث في البيئات المؤسسية.
في يوليو 2025، تم اكتشاف حملة تصيد انتحلت فيها الهجمات صفة مؤسسة بحثية روسية، حيث أرسلت رسائل بريد إلكتروني من حساب مخترق. احتوت هذه الرسائل على أرشيف RAR يستغل ثغرة في برنامج WinRAR، مما يسمح باستخراج ملفات خبيثة خارج الدلائل المقصودة، مثل مجلد بدء التشغيل، مما يتيح التنفيذ التلقائي.
قام الأرشيف بنشر ملف تنفيذي معدل يحتوي على شفرة برمجية لفتح اتصال عكسي بخادم التحكم والسيطرة. استخدم المهاجمون تقنيات تمويه لتجنب الاكتشاف، بينما قامت ملفات الطعم داخل الأرشيف بإخفاء الهجوم.
صعدت “الذئب الورقي” من عملياتها من خلال استغلال ثغرة غير معروفة سابقاً في WinRAR، والتي تم تصحيحها في الإصدار 7.13. تتيح هذه الثغرة كتابة حمولات عشوائية في دلائل النظام، مما يسهل هجمات اجتياز الدلائل. تضمنت الهجمات الأخيرة ملفات RAR خبيثة تنشر أداة تحميل .NET التي تقوم بجلب وتنفيذ حمولات عن بُعد من خوادم التحكم.
تمنع أداة التحميل تشغيل عدة نسخ وتستعلم الخادم بتفاصيل الضحية، مستخدمة سلاسل وكيل مستخدم معينة للاندماج مع حركة المرور الشرعية. إذا نجحت، تقوم بتحميل تجميع .NET وتنفيذ طرق مبرمجة.
تؤكد هذه الحوادث على تركيز المجموعة على استغلال ثغرات أدوات الضغط بالتزامن مع الهندسة الاجتماعية للوصول الأولي. تُحث المنظمات على تصحيح WinRAR، ومراقبة عمليات استخراج الأرشيف غير المعتادة، وتحليل حركة المرور على الشبكة إلى النطاقات المشبوهة. توفر التكتيكات القابلة للاكتشاف، مثل وحدات البكسل التتبعية المضمنة، فرصاً للكشف المبكر من خلال تحليلات السلوك.
