كشفت حملة هجوم سيبراني متطورة نفذها مجموعة تهديدات جنوب آسيوية تُعرف باسم “بيتر” أو “APT-Q-37″، عن استغلال ثغرة أمنية في برنامج WinRAR لنشر أبواب خلفية مخصصة بلغة C# لسرقة البيانات والحصول على وصول مستمر. تعتمد الحملة على طريقتين رئيسيتين للإصابة: استخدام ملفات Excel Add-In الضارة التي تحتوي على وحدات VBA، واستغلال ثغرة أمنية غير معروفة سابقًا في WinRAR تتعلق بتجاوز المسارات.
في الطريقة الأولى، يتم استخدام ملف باسم “Nominated Officials for the Conference—xlam” لنشر البرمجيات الخبيثة. عند تمكين وحدات الماكرو، يتم إنشاء ملف يحتوي على شفرة مصدرية بلغة C# مشفرة بنظام Base64، والتي يتم تجميعها وتثبيتها كحمولة في النظام. تضمن هذه الطريقة الاستمرارية من خلال إنشاء مهمة مجدولة تتصل بنطاق مرتبط بأنشطة سابقة لمجموعة “بيتر”.
أما الطريقة الثانية، فتتضمن أرشيفًا مُسلحًا يقوم بالكتابة فوق القالب الافتراضي لبرنامج Word، مما يضمن تنفيذ البرمجيات الخبيثة في كل مرة يتم فيها تشغيل Word. تحتوي هذه الطريقة أيضًا على وحدات ماكرو تتصل بخادم لاسترجاع باب خلفي، مما يشير إلى أصل مشترك مع الطريقة الأولى.
الباب الخلفي الذي تستخدمه مجموعة “بيتر” متطور للغاية، حيث يستخدم اتصالات HTTP مشفرة لجمع معلومات النظام ونقلها إلى خادم القيادة والتحكم. ترتبط هذه البنية التحتية بمجموعة نطاقات تم تسجيلها في أبريل 2025، مما يشير إلى تحسين مستمر لتقنياتهم التي تستهدف قطاعات ذات قيمة عالية مثل الحكومة والدفاع والطاقة.
يوصى المستخدمون بتحديث برنامج WinRAR، وتعطيل تنفيذ وحدات الماكرو، وتجنب فتح المرفقات غير المرغوب فيها لتقليل المخاطر.
