كشف تقرير أمني حديث عن مسؤولية مجموعة تجسس إلكتروني غير معروفة على نطاق واسع، تُعرف باسم Goffee، وراء حملة سيبرانية استهدفت أفرادًا من الجيش الروسي ومؤسسات في قطاع الصناعات الدفاعية، مستخدمة رسائل تصيد احتيالية على شكل دعوات وهمية لحفلات رأس السنة الجديدة.
وبحسب تقرير صادر عن شركة Intezer، بدأت الحملة في أكتوبر 2025 بعد رصد ملف خبيث من نوع XLL تم رفعه أولاً من أوكرانيا، قبل أن يُعاد تحميله لاحقًا من داخل الأراضي الروسية.
ويحمل الملف اسمًا يوحي بحساسية عالية هو “أهداف العدو المخطط لها”، ويستغل ثغرة جديدة أُطلقت عليها تسمية EchoGather، ليتمكن من تنفيذ تعليمات برمجية خبيثة تلقائيًا عبر برنامج Microsoft Excel دون تدخل المستخدم.
ويتيح هذا الباب الخلفي للمهاجمين صلاحيات واسعة تشمل جمع معلومات تفصيلية عن النظام المستهدف، وتنفيذ أوامر عن بعد، وتحميل أو سحب الملفات، مع إرسال البيانات المسروقة إلى خادم تم تمويهه ليبدو كموقع خدمات توصيل الطعام، بهدف إخفاء النشاط الخبيث وتفادي أنظمة الرصد.
استخدمت المجموعة رسائل تصيد مكتوبة باللغة الروسية، بما في ذلك دعوات مزيفة لحفلات موسيقية وخطابات منتحلة صادرة عن مسؤولين حكوميين، لاستدراج الضحايا وفتح الملفات المصابة.
وأشار التقرير إلى أن المجموعة اختبرت أساليب جديدة للتهرب من أنظمة الكشف، رغم وجود ثغرات واضحة على المستويين التقني واللغوي.
وتعرف المجموعة أيضًا باسم Paper Werewolf، ويعتقد خبراء الأمن السيبراني أنها موالية لأوكرانيا، على الرغم من غياب أي تأكيد رسمي.
وقد سجلت سابقًا استخدام برمجيات خبيثة لاستهداف أجهزة روسية غير متصلة بالإنترنت، واستغلال ثغرات يوم صفر وبرمجيات شهيرة مثل WinRAR لتعطيل بعض العمليات التشغيلية للمؤسسات المستهدفة.
ويُظهر هذا النشاط استمرار تصاعد الهجمات السيبرانية المعقدة التي تستهدف الجيوش والمؤسسات الدفاعية، مما يعكس تحديات كبيرة أمام الأمن السيبراني الروسي وقدرة الجهات المستهدفة على مواجهة التهديدات الحديثة.
