المغرب مستهدف إلكترونيا عبر واتساب

الاثنين 10 نونبر 2025 - 16:03

بقلم: Harbal Wafae

كشفت أبحاث حديثة لفريق "Unit 42" التابع لشركة "Palo Alto Networks" عن حملة تجسس متطورة استهدفت مستخدمي هواتف سامسونغ في عدة دول، من بينها المغرب، عبر برمجية خبيثة تدعى "LANDFALL". وقد تمت عملية الاختراق عن طريق حقن البرمجية داخل صور يتم إرسالها عبر تطبيق "واتساب"، دون الحاجة لأي تفاعل من المستخدمين لتنفيذ الهجوم.

وأشار التقرير إلى أن المهاجمين استغلوا ثغرة "صفر-يومية" في مكتبة معالجة الصور الخاصة بهواتف سامسونغ، تحت المعرف "CVE-2025-21042". تم استخدام هذه الثغرة لزرع البرمجية الخبيثة في ملفات صور بصيغة "DNG"، والتي تم إرسالها عبر "واتساب" إلى الضحايا. المفاجأة أن البرمجية تعمل دون أن يضطر المستخدم لفتح الصورة أو النقر عليها.

وتمنح "LANDFALL" المهاجمين القدرة على التحكم الواسع في الجهاز المصاب، بما في ذلك تسجيل الصوت عبر الميكروفون، تتبع الموقع، الوصول إلى الصور وجهات الاتصال، وسجلات المكالمات. كما أوضح التقرير أن البرمجية تتسم بقدرات متقدمة في التسلل والاستمرارية وجمع البيانات.

الحملة استمرت منذ منتصف عام 2024، ولم يتم اكتشافها إلا بعد إصلاح سامسونغ للثغرة في أبريل 2025. وقد تم رصد عينات من الملفات الخبيثة على منصة "VirusTotal"، قادمة من دول متعددة مثل العراق، إيران، تركيا والمغرب، مما يعزز فرضية استهداف مستخدمين في هذه البلدان.

وأشار فريق "Unit 42" إلى أن بنية الهجوم تشبه تلك الأنشطة التجسسية المرتبطة بجهات هجومية خاصة تعمل في منطقة الشرق الأوسط، مما يعزز فرضية ارتباط البرمجية بفاعلين ضمن ما يعرف بـ "PSOAs" (الفاعلون في القطاع الخاص الهجومي).

تجدر الإشارة إلى أن هذه الحملة تتشابه في أسلوب الهجوم مع حادثة استغلال مماثلة على أجهزة "آيفون" في شتنبر 2025، والتي استهدفت أيضا مستخدمي "واتساب". ومع ذلك، أكدت سامسونغ أن التحديثات التي أصدرتها في شتنبر 2025 قد سدّت الثغرة "CVE-2025-21042" وثغرة أخرى مشابهة "CVE-2025-21043"، مما جعل البرمجية لا تشكل تهديدًا للمستخدمين بعد ذلك.

في الختام، وصف فريق "Unit 42" حملة "LANDFALL" بأنها برمجية تجسس متطورة، ظلّت نشطة لعدة أشهر دون اكتشاف، مما يبرز أهمية اليقظة المبكرة واستجابة الشركات بشكل سريع لحماية المستخدمين من مثل هذه التهديدات.