کمیته رکن چهارم– پژوهشگران امنیتی از اجرای کمپین جاسوسی سایبری جدیدی توسط گروه SideWinder خبر دادهاند که با استفاده از زنجیره آلودهسازی مبتنی بر فناوری ClickOnce، نهادهای دیپلماتیک در هند، پاکستان، سریلانکا و بنگلادش را هدف قرار داده است. این حمله از سپتامبر ۲۰۲۵ آغاز شده و تحول تازهای در روشهای این گروه نشان میدهد.
به گزارش کمیته رکن چهارم، این عملیات با ارسال ایمیلهای فیشینگ هدفمند حاوی فایلهای Word یا PDF آغاز شده که در ظاهر کاربران را به نصب نسخه جدید Adobe Reader دعوت میکنند. با کلیک روی این پیوند، یک برنامه ClickOnce از سرور جعلی بارگذاری میشود که شامل فایل اجرایی قانونی امضاشده است، اما همزمان یک DLL مخرب را نیز sideload میکند.
این DLL، ابزار ModuleInstaller را اجرا کرده و پس از شناسایی سیستم، بدافزار StealerBot را نصب میکند؛ بدافزاری که توانایی اجرای شل معکوس، سرقت رمزها و دادهها، ثبت کلیدهای فشردهشده و گرفتن اسکرینشات دارد. مسیرهای دانلود پویا و محدودیت جغرافیایی دامنههای C2 باعث شده این حمله از شناسایی گسترده مصون بماند.
گزارش شرکت Trellix حاکی است که SideWinder با طراحی طعمههای فیشینگ بسیار دقیق و سوءاستفاده از نرمافزارهای قانونی، توانسته به اهداف اطلاعاتی در فضای تنشآلود منطقه آسیای جنوبی دست یابد.
جمعبندی این حمله، نشاندهنده توانایی فنی بالا و تمرکز راهبردی این گروه در جاسوسی از نهادهای دیپلماتیک و دسترسی پایدار به زیرساختهای حساس منطقهای است.
