في يوليو 2025، شهدت ساحة الأمن السيبراني اضطرابًا كبيرًا مع بدء مجموعة “وارلوك” لاستخدام ثغرة أمنية خطيرة غير مكتشفة في برنامج مايكروسوفت شير بوينت. تم التعرف على هذه الثغرة في 19 يوليو 2025، وتم تتبعها تحت رمز CVE-2025-53770، لتصبح وسيلة رئيسية لنشر برمجيات الفدية “وارلوك” على مستوى العالم.
يمثل هذا الحدث تصعيدًا محوريًا في التهديدات السيبرانية، حيث يجمع بين تقنيات الاستغلال المعروفة واستراتيجيات البرمجيات الخبيثة الجديدة. وظهرت “وارلوك” لأول مرة في يونيو 2025، واكتسبت شهرة من خلال هجمات “تولشيل” غير المكتشفة، وتميزت بإطار عمل تشغيلي مقره الصين، مما يختلف عن العمليات المعتادة لبرمجيات الفدية التي تركز على روسيا.
بدأت “وارلوك” كتهديد محلي، لكنها سرعان ما تطورت إلى حملة منسقة، مستهدفة قطاعات متنوعة من شركات الهندسة في الشرق الأوسط إلى المؤسسات المالية في الولايات المتحدة. وكشف محللون من شركتي “سيمانتيك” و”كاربون بلاك” عن هيكل تشغيلي متطور خلف “وارلوك”، والذي تم التعرف عليه من قبل استخبارات التهديدات في مايكروسوفت تحت اسم Storm-2603. واستخدمت المجموعة “وارلوك” إلى جانب برمجيات فدية أخرى مثل LockBit 3.0، مما يظهر مرونة وامتدادًا واسعًا لترسانة الهجمات السيبرانية.
تظهر آلية إصابة “وارلوك” درجة عالية من التعقيد التقني، حيث تعتمد بشكل رئيسي على تحميل ملفات DLL الضارة باستخدام تطبيق 7-Zip الشرعي لتنفيذ الحمولات الخبيثة. هذه الطريقة، التي غالبًا ما يستخدمها جهات التهديد الصينية، تتجنب الأمن التقليدي من خلال تضمين الشيفرة الخبيثة في عمليات شرعية. وعند التفعيل، تقوم “وارلوك” بتشفير الملفات بشكل عدواني بامتداد .x2anylock.
وأشار الباحثون إلى أن “وارلوك” يبدو أنها نسخة معاد تسميتها من الحمولة القديمة Anylock، مع دمج عناصر من LockBit 3.0. وتستخدم البرمجيات الخبيثة إطار عمل مخصصًا للقيادة والتحكم، ak47c2، للتواصل المستمر مع الأنظمة المصابة. بالإضافة إلى ذلك، توظف أدوات مخصصة لتجنب الدفاعات، موقعة بشهادة مسروقة، وتستخدم تقنيات “أحضر برنامج التشغيل الضعيف الخاص بك” لتعطيل تدابير الأمان وفرض السيطرة على الأنظمة.
