هجوم CPUID يوزّع STX RAT — حين تتحوّل أدوات مراقبة الأجهزة إلى بوابة اختراق صامت

في الفترة بين 9 و10 أبريل 2026، تعرّض موقع شركة CPUID الرسمية — المطوّرة لأشهر أدوات مراقبة الأجهزة مثل CPU-Z وHWMonitor — لاختراق دقيق استبدل خلاله المهاجمون روابط التنزيل الشرعية بروابط تؤدي إلى ملفات خبيثة تحمل حصان طروادة STX RAT. الأخطر في هذا الهجوم أنه استهدف تحديداً أدوات يثق بها مهندسو تقنية المعلومات ويستخدمونها يومياً لتشخيص الخوادم والأجهزة — أي أن الثغرة لم تكن في النظام، بل في الثقة ذاتها.

ما الذي حدث بالضبط في هجوم CPUID؟

استغل المهاجمون ثغرة في واجهة API ثانوية على موقع CPUID، مما أتاح لهم استبدال روابط تنزيل الأدوات الشهيرة CPU-Z 2.19 وHWMonitor Pro 1.57 وHWMonitor 1.63 وPerfMonitor 2.04 بروابط تؤدي إلى خوادم خبيثة. استمر الهجوم قرابة 19 ساعة — من الساعة 15:00 UTC في 9 أبريل حتى الساعة 10:00 UTC في 10 أبريل — وخلال هذه الفترة نزّل أكثر من 150 مستخدماً الإصدار الملغوم من تلك الأدوات. وقد أكدت CPUID الاختراق وأرجعته إلى اختراق API ثانوي أتاح تغيير روابط التنزيل بشكل عشوائي، دون تأثير مباشر على ملفات الموقع الأساسية. التقنية المستخدمة هنا تُعرف بـ"Watering Hole Attack" أو هجوم نقطة الماء، حيث يستهدف المهاجمون مواقع موثوقة يزورها ضحاياهم المستهدفون بانتظام بدلاً من مهاجمتهم مباشرة.

STX RAT: حصان طروادة الذي يختبئ في الذاكرة دون آثار على القرص

الحمولة الخبيثة STX RAT هي أداة وصول عن بُعد (Remote Access Trojan) مبنية بـ.NET، تعتمد على تقنية DLL Sideloading عبر ملف cryptbase.dll خبيث مُدرج داخل المُثبّت، مما يُتيح تنفيذ كامل مراحل الهجوم في ذاكرة النظام (In-Memory Execution) دون ترك أثر يُذكر على القرص الصلب — وهو ما يجعل اكتشافها بالأدوات التقليدية أمراً عسيراً. تتضمن قدرات STX RAT: تشغيل جلسة VNC خفية لا يراها المستخدم، حقن ضغطات لوحة المفاتيح والماوس، سرقة بيانات اعتماد المتصفحات Chrome وFirefox وEdge وBrave، استخراج بيانات Windows Vault وCredential Manager، الوصول إلى محافظ العملات الرقمية، وتوفير بروكسي عكسي لتسليم حمولات إضافية لاحقاً. والجدير بالذكر أن البنية التحتية المستخدمة (نطاق supp0v3-dot-com) ارتبطت بحملة هجومية مشابهة في مارس 2026، مما يُشير إلى مجموعة تهديد نشطة ذات خبرة تشغيلية واضحة.

التأثير على المؤسسات المالية السعودية والربط بـ SAMA وNCA

هذا الهجوم يجب أن يكون جرس إنذار حقيقي لكل CISO ومدير تقنية معلومات في القطاع المالي السعودي. أدوات مثل CPU-Z وHWMonitor شائعة الاستخدام داخل أقسام تقنية المعلومات والبنية التحتية وفرق الـ SOC لأغراض تشخيص الأجهزة ومعالجة مشكلات الأداء. وإذا كان أي مهندس في مؤسستك قد نزّل هذه الأدوات خلال نافذة الهجوم، فقد يكون جهازه مصاباً بـ STX RAT يعمل بصمت تام. من منظور الامتثال التنظيمي، يستوجب هذا الحادث مراجعة الالتزام بضوابط سلسلة التوريد الرقمية ضمن SAMA CSCC (المجال 3.3: إدارة أطراف العلاقة)، وNCA ECC-1-4-4 المتعلق بضوابط برامج الطرف الثالث المستخدمة في البيئة التشغيلية. كما تفرض متطلبات نظام حماية البيانات الشخصية (PDPL) إجراء تحقيق رسمي لتحديد ما إذا كانت بيانات العملاء قد تعرضت للاختراق جراء أي وصول غير مصرح به.

التوصيات والخطوات العملية الفورية

1. فحص فوري لأجهزة الفريق التقني: ابحث عن مؤشرات الاختراق (IOCs) المرتبطة بـ STX RAT — خاصةً ملف cryptbase.dll في مسارات غير معتادة، والاتصالات الصادرة نحو نطاق supp0v3-dot-com أو عناوين IP المرتبطة به.
2. التحقق من فاعلية أداة EDR/XDR: تأكد من أن حل الكشف والاستجابة لديك يرصد تقنيات DLL Sideloading وهجمات In-Memory Execution التي لا تترك آثاراً على القرص. SentinelOne أثبت قدرته على رصد هذا الهجوم تلقائياً وحجبه.
3. تطبيق سياسة تنزيل البرامج المعتمدة: أنشئ قائمة برامج مُعتمدة (Software Allowlist) وامنع تنزيل أي أداة خارج القنوات الرسمية للـ IT. هذا متطلب صريح في NCA ECC-2-3-6 وضابط جوهري في SAMA CSCC.
4. مراجعة سياسة سلسلة التوريد الرقمية: حدّد قائمة شاملة بجميع أدوات الطرف الثالث التي يستخدمها فريقك التقني، وتحقق من التوقيعات الرقمية (Code Signing) عند كل تحديث أو تنزيل جديد.
5. تفعيل Network Segmentation الصارم: تأكد من أن أجهزة مهندسي الـ IT لا تملك وصولاً مباشراً لأنظمة الإنتاج والبيانات الحساسة دون مصادقة متعددة العوامل (MFA)، لتقليل نطاق الأضرار المحتملة في حال اختراق أي جهاز.
6. التحقق من سجلات الشبكة (Network Logs): راجع سجلات جدار الحماية وأدوات الـ SIEM للفترة بين 9 و10 أبريل 2026 بحثاً عن أي اتصالات غير معتادة صادرة من أجهزة الفريق التقني، خاصة تلك التي تمثّل اتصالات C2 أو نقل بيانات خارجي.

الخلاصة

هجوم CPUID نموذج مثالي لما يُسمى "هجوم الثقة المكتسبة" — المهاجمون لا يخترقون حصونك مباشرةً، بل يُسمّمون المصادر التي يثق بها فريقك. في بيئة المؤسسات المالية السعودية الخاضعة لأشد اشتراطات SAMA وNCA صرامةً، لا يكفي نشر أدوات الحماية؛ بل يجب بناء ثقافة التحقق الدائم حتى من المصادر الموثوقة ظاهرياً. مبدأ Zero Trust ليس خياراً استراتيجياً بعد الآن — بل هو متطلب تنظيمي وجوهر الدفاع السيبراني الناضج.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.