گروه SideWinder دیپلمات‌های جنوب آسیا را هدف گرفته‌اند

حملات فیشینگ هدفمندی شناسایی شده‌اند که گروه SideWinder با سوءاستفاده از فایل‌های PDF و فناوریClickOnce، بدافزارهای StealerBot و ModuleInstaller را در سامانه‌های دیپلماتیک هند، پاکستان و بنگلادش نصب کرده‌اند.

به گزارش افتانا، شرکت Trellixدر گزارشی که اواخر اکتبر ۲۰۲۵ منتشر کرد از یک کارزار هدفمند خبر می‌دهد که سفارت یکی از کشورهای اروپایی در دهلی‌نو و چند سازمان در سریلانکا، پاکستان و بنگلادش را هدف گرفته است. محققان این شرکت می‌گویند آنچه این مجموعه حملات را متمایز می‌کند، استفاده از یک زنجیره آلودگی تازه مبتنی بر فایل‌های PDF و فناوری ClickOnce است — روشی که کنار روش‌های قبلی این گروه مبتنی بر اسناد Word قرار گرفته است.

این حملات که بین مارس و سپتامبر ۲۰۲۵ در چهار موج ارسال ایمیل‌های فیشینگ انجام شد، با طعمه‌هایی بسیار گزیده‌کارانه تلاش کردند بدافزارهایی مثل ModuleInstaller و StealerBot را روی سامانه‌های هدف نصب کنند. ModuleInstaller نقش بارگذار را دارد و StealerBot، یک ایمپلنت مبتنی بر دات‌نت است که می‌تواند پوسته معکوس (reverse shell) باز کند، بدافزارهای دیگر را بارگذاری کند و از قربانی داده‌هایی شامل تصویر صفحه، کلیدهای فشرده‌شده، گذرواژه‌ها و فایل‌ها را استخراج کند.

براساس روایت Trellix، موج جدید حملات از سپتامبر ۲۰۲۵ به بعد شدت گرفت و مهاجمان از فایل‌های PDF یا Word استفاده کردند که به‌ظاهر قابل‌نمایش نبودند و کاربر را تشویق می‌کردند برای دیدن محتوا «نسخه جدید Adobe Reader را دانلود و نصب کند. در پسِ این ادعای فریبنده، یک اپلیکیشن ClickOnce از سرور راه دور دانلود می‌شد که فایل اجرایی از شرکت MagTek با نام ReaderConfiguration.exe بود — فایلی که با امضای دیجیتال معتبر عرضه شده تا مشکوک به‌نظر نرسد. اجرای این برنامه موجب بارگذاری یک DLL مخرب به‌نام DEVOBJ.dll و نمایش یک PDF فریب‌دهنده می‌شد تا کاربر از آلودگی بی‌خبر بماند. مکانیزم فنی به این صورت بود که DLL مخرب ابتدا ModuleInstaller را رمزگشایی و اجرا می‌کرد. ModuleInstaller سپس سیستم را پروفایل کرده و StealerBot را به‌عنوان مرحله بعدی نصب می‌کرد. نکته‌ای که تحقیق را پیچیده‌تر می‌کرد، منطقه‌بندی جغرافیایی ارتباط با سرور فرماندهی و کنترل بود؛ درخواست‌ها تنها از محدوده جنوب آسیا پذیرفته می‌شدند و مسیر دانلود بدافزار به‌صورت پویا تولید می‌شد تا ردیابی و تحلیل آن سخت‌تر شود.

این بدافزارها پیش‌تر نیز شناخته شده بودند: شرکت کسپرسکی در اکتبر ۲۰۲۴ برای اولین‌بار ModuleInstaller و StealerBot را تشخیص داده بود و در نیمه ۲۰۲۵ نیز آکرونیس گزارش داد که SideWinder با اسناد آلوده آفیس دولتی در سریلانکا، بنگلادش و پاکستان حملاتی مشابه را اجرا کرده است. حال، ترکیب ابزارهای جدیدِ مبتنی بر ClickOnce با طعمه‌های بسیار هماهنگ شده برای اهداف دیپلماتیک، نشان‌دهنده تکامل تاکتیک این گروه است.

محققان Trellix تأکید می‌کنند که طراحی طعمه‌ها بر اساس مسائل ژئوپلیتیک و استفاده هوشمندانه از نرم‌افزارهای رسمی، نشان می‌دهد این بازیگران تهدید از درک بالایی درباره اهداف خود برخوردارند و در حال تکامل روش‌های پنهان‌سازی و دور زدن سامانه‌های دفاعی هستند. در پایان، محققان هشدار داده‌اند که سازمان‌ها و دیپلمات‌ها نسبت به ایمیل‌های غیرمنتظره حاوی اسناد حساس هوشیار باشند، به‌روزرسانی‌های نرم‌افزاری و مکانیسم‌های شناسایی ترافیک مخرب را تقویت کنند و در صورت امکان از مکانیزم‌های احراز هویت چندمرحله‌ای و کنترل‌های محدودکننده منطقه‌ای برای ارتباطات حساس بهره ببرند.