مجموعة التجسس الإلكتروني XDSpy تستغل ثغرة يوم الصفر في ملفات LNK الخاصة بنظام ويندوز، والمعروفة باسم ZDI-CAN-25373، لاستهداف الكيانات الحكومية في شرق أوروبا وروسيا. منذ مارس 2025، تستخدم هذه الحملة المتقدمة عملية عدوى متعددة المراحل لنشر زرع XDigo، المصمم بلغة البرمجة Go. يستغل المهاجمون تباينًا في تنفيذ مايكروسوفت لملفات LNK لتنفيذ أوامر مخفية تتجنب الكشف. تبدأ الهجمة برسائل بريد إلكتروني تصيدية تحتوي على أرشيفات ZIP مع ملفات LNK مصممة خصيصًا. عند تنفيذها، تقوم هذه الملفات بتشغيل ملف تنفيذي من مايكروسوفت لتحميل مكتبة DLL ضارة، مما يثبت الاستمرارية ويجلب حمولة إضافية من نطاقات مثل vashazagruzka365[.]com. يتمتع XDigo بقدرات جمع البيانات، بما في ذلك فحص الملفات والحصول على لقطات شاشة، والتواصل مع خوادم القيادة والسيطرة. استهدفت الحملة بشكل رئيسي الكيانات الحكومية البيلاروسية، مما يعكس تركيز XDSpy التاريخي على المؤسسات في شرق أوروبا. يشمل التعقيد الفني لهذه العملية إجراءات مضادة للتحليل وتشفير البيانات المسروقة، مما يبرز الحاجة إلى دفاعات قوية في مجال الأمن السيبراني.
هل يستغل قراصنة XDSpy ثغرة جديدة في نظام ويندوز؟
