كشف فريق الاستخبارات التابع لشركة “مايكروسوفت” (Microsoft Threat Intelligence) عن حملة تجسس إلكتروني معقدة تديرها مجموعة قراصنة مرتبطة بتركيا تُعرف باسم “Marbled Dust” (غبار الرخام). واستهدفت الحملة، منذ نيسان/أبريل 2024، حسابات تابعة للعسكريين الأكراد في العراق، عبر استغلال ثغرة أمنية “صفرية” غير مكتشفة سابقاً في تطبيق المحادثات المؤسساتي “Output Messenger”، بهدف سرقة البيانات واعتراض الاتصالات.
وأكد تقرير “مايكروسوفت” بدرجة عالية من الموثوقية أن الأهداف الرئيسية لهذه الهجمات ترتبط بالتشكيلات العسكرية الكردية العاملة في العراق، وهو ما ينسجم مع الأولويات الاستراتيجية للمجموعة. وتُعرف هذه المجموعة أيضاً بأسماء مثل “Sea Turtle” و”UNC1326″، وتنشط في استهداف الكيانات والمؤسسات في الشرق الأوسط وأوروبا التي تعتبرها أنقرة مناوئة لمصالحها.
وأوضح الباحثون أن الثغرة المكتشفة، والتي تحمل الرمز (CVE-2025-27920)، تتيح للمهاجمين تجاوز مسار الدليل (Directory Traversal) في خوادم التطبيق. وبمجرد اختراق الخادم، يتمكن القراصنة من رفع ملفات خبيثة وزرع برمجية خفية (Backdoor) مبرمجة بلغة “GoLang”. ويمنح هذا الاختراق مجموعة “Marbled Dust” وصولاً غير مقيد لمراسلات جميع مستخدمي التطبيق، ويتيح لهم سرقة البيانات الحساسة، وانتحال شخصيات المستخدمين، مما يهدد بتعطيل العمليات العسكرية وتسريب المعلومات الداخلية.
وأشارت “مايكروسوفت” إلى أن قدرة المجموعة على رصد واستخدام ثغرة “صفرية” (Zero-day) يمثل تحولاً نوعياً وتصعيداً في قدراتها التقنية، مما يدل على استعجال وأهمية قصوى في تحقيق أهدافها الاستخباراتية. وقد قامت “مايكروسوفت” بإبلاغ شركة “Srimax” المطورة للتطبيق، والتي أصدرت بدورها تحديثات أمنية (النسخة 2.0.63 لنظام ويندوز والنسخة 2.0.62 للخوادم) لسد الثغرة.