استطاع فريق الأبحاث والتحليل العالمي (GReAT) في كاسبرسكي، بالتعاون مع خبراء أبحاث الثغرات الأمنية في شركة BI.ZONE، أن يرصد نشاطاً جديداً لبرمجية بايب ماجيك (PipeMagic) الخبيثةـ التي اكتشفت لأول مرة عام 2022 ثم عاودت الظهور في عام 2025. فقد توسعت هجمات البرمجية إلى مناطق متعددة؛ إذ رُصدت في البداية في آسيا، ثم اكتشفت لاحقاً في المملكة العربية السعودية في أواخر عام 2024. وتشير الهجمات الأخيرة إلى اهتمام متزايد باستهداف المؤسسات السعودية، فضلاً عن التوسع إلى مناطق جديدة أبرزها شركات التصنيع في البرازيل.
قام الباحثون على متابعة هذه البرمجية الخبيثة ومسار تطورها، وحددوا أبرز التغييرات في أساليب مشغليها، وأجروا تحليلاً تقنياً لثغرة مايكروسوفت المعروفة بالاسم الرمزي: CVE-2025-29824. فمن أصل121 ثغرة رصدت في شهر أبريل عام 2025، كانت هذه الثغرةُ الوحيدةَ التي استخدمت كثيراً في الهجمات السيبرانية. وقد استُهدِفت بالتحديد بأداة مدمجة في سلسلة إصابة PipeMagic. وأتاحت هذه الثغرةُ تصعيد الصلاحيات في نظام التشغيل جرّاء خلل في برنامج تشغيل سجل ملف النظام clfs.sys.
استخدمت إحدى الهجمات الجديدة في عام 2025 ملف فهرس المساعدة من مايكروسوفت (Microsoft Help Index File)، الذي يستخدم لغرضين هما: فك تشفير وتنفيذ تعليمات الشيل كود. فالشيل كود يشفر باستخدام خوارزمية RC4 (تشفير التدفق) بالترميز السداسي العشري. وبعد فك التشفير يشغل الكود عبر دالة EnumDisplayMonitors WinAPI، مما يتيح الوصول إلى عناوين واجهات برمجة التطبيقات الخاصة بالنظام عبر حقن العمليات.
بالإضافة إلى ذلك اكتشف الباحثون إصداراً جديداً مطوراً من أداة تحميل برمجية PipeMagic الخبيثة، التي كانت على هيئة تطبيق شات جي بي تي. ويشبه هذا التطبيق نظيره المستخدم سابقاً في هجمات عام 2024 على المؤسسات السعودية؛ إذ يتشاركان إطاري العمل ذاته Tokio وTauri، ويستخدمان نفس إصدار مكتبة libaes، ويتشابهان في بنية الملفات والسلوك.
يعلق على هذه المسألة «ليونيد بيزفيرشينكو»، وهو باحث أمني رئيسي في فريق GReAT لدى كاسبرسكي: «يؤكد هذا الظهور الجديد لبرمجية PipeMagic الخبيثة أنها لا تزال نشطة ومستمرة في التطور. فنسخ هذه البرمجية عام 2024 تضمنت تحسينات لتعزيز قدرتها على الاستمرار في أنظمة الضحايا، وتسهيل التنقل ضمن الشبكات المستهدفة».
كذلك يقول «بافيل بلينيكوف»، رئيس أبحاث الثغرات الأمنية في شركة BI.ZONE: «تزايد استهداف المجرمين السيبرانيين لملف clfs.sys خلال السنين الأخيرة، لا سيما المجرمين الساعين وراء مكاسب مالية. ويستغل المهاجمون ثغرات “اليوم الصفري” في هذا البرنامج التشغيلي وغيرها للحصول على صلاحيات أعلى وإخفاء الأنشطة اللاحقة للاختراق. لهذا نوصي للوقاية من هذه التهديدات باستخدام أدوات اكتشاف تهديدات النقاط الطرفية والاستجابة لها (EDR)، التي تكتشف السلوكيات المشبوهة قبل استغلال الثغرات الأمنية وبعدها».
تعرف PipeMagic بأنها برمجية باب خلفي خبيثة اكتشفتها كاسبرسكي لأول مرة عام 2022، وذلك خلال تحقيقها في حملة خبيثة مرتبطة ببرمجية الفدية RansomExx. وكان من ضحايا هذه الهجمات شركات صناعية في جنوب شرق آسيا. وقد استغل المهاجمون ثغرة CVE-2017-0144 للوصول إلى البنية التحتية الداخلية. ويقدم الباب الخلفي وضعين للتشغيل؛ إما كأداة متكاملة للوصول عن بعد وإما كوكيل شبكة، مما يتيح تنفيذ مجموعة واسعة من الأوامر. وفي أكتوبر عام 2024، اكتشفت نسخة جديدة من برمجية PipeMagic ضمن هجمات استهدفت مؤسسات في المملكة العربية السعودية، واستخدمت تطبيقاً زائفاً شبيهاً بتطبيق شات جي بي تي لخداع الضحايا والإيقاع بهم.
