کمیته رکن چهارم – پژوهشگران امنیت سایبری اعلام کردند بدافزار پیشرفته «PipeMagic» در حملات باجافزاری RansomExx از یک آسیبپذیری تازه در سیستمعامل ویندوز بهرهبرداری کرده است. این نقص امنیتی که با شناسه CVE-2025-29824 شناخته میشود، در بخش CLFS ویندوز وجود داشت و مایکروسافت در آوریل ۲۰۲۵ آن را برطرف کرد.
به گزارش کمیته رکن چهارم، PipeMagic نخستینبار در سال ۲۰۲۲ در حملات باجافزاری علیه شرکتهای صنعتی در جنوب شرق آسیا شناسایی شد و نقش یک در پشتی کامل را ایفا میکند. این بدافزار به مهاجمان امکان میدهد از راه دور کنترل سیستمهای آلوده را در دست گرفته و مجموعهای از فرمانها را اجرا کنند. در زنجیرههای آلودگی مشاهدهشده در اکتبر ۲۰۲۴ در عربستان سعودی نیز از برنامه جعلی ChatGPT برای توزیع این بدافزار استفاده شده بود.
مایکروسافت بهرهبرداری از آسیبپذیری CVE-2025-29824 را به گروه تهدیدی با نام Storm-2460 نسبت داده است. بررسیها نشان میدهد PipeMagic ساختاری ماژولار و افزونهای دارد و از زیرساخت ابری برای بارگیری اجزای اضافی بهره میگیرد. در مواردی، لودر آن در قالب فایلهای جعلی با پسوند .mshi یا از طریق تکنیک DLL Hijacking توزیع شده و در نهایت به اجرای ماژولهای مختلف برای ارتباط، تزریق کد و حرکت جانبی در شبکه قربانی منجر میشود.
گزارشها حاکی است نسخههای جدید این بدافزار در سال ۲۰۲۵ پیشرفتهتر از نمونههای ۲۰۲۴ بوده و تمرکز بیشتری بر پایداری در سیستم و سرقت اطلاعات از حافظه دارند. حملات شناساییشده در کشورهای مختلف از جمله عربستان سعودی و برزیل نشان میدهد PipeMagic همچنان فعال است و مهاجمان در حال توسعه قابلیتهای آن هستند.
این بدافزار از طریق پروتکل TCP با سرور فرمان و کنترل ارتباط برقرار میکند و دادهها و ماژولهای مخرب را بدون باقی گذاشتن ردپایی روی دیسک منتقل میسازد. مایکروسافت PipeMagic را چارچوبی انعطافپذیر و پنهان معرفی کرده که تحلیل و شناسایی آن برای مدافعان امنیتی بسیار دشوار است.
