قالت وحدة استخبارات التهديدات في غوغل إن أكثر من 14 ألف موقع تعمل على نظام إدارة المحتوى “ووردبريس” تعرضت للاختراق واستُخدمت كمنصات لنشر برمجيات خبيثة. وأفاد التقرير بأن الحملة تنسب إلى جهة تهديد تُعرف باسم “UNC5142″، وهي مجموعة ظهرت في أواخر 2023 وأوقفت نشاطها المعلَن في أواخر يوليو 2025، دون أن يتضح ما إذا كان التوقف مؤقتًا أو تحولًا إلى أساليب جديدة.
وقالت غوغل إن ثقتَها كبيرة بأن المجموعة قد تحسّنت من تقنيات التعتيم لديها وقد تواصل عملها في الخفاء، مستهدفة مواقع ووردبريس العشوائية التي تحتوي إضافات أو ملفات بها ثغرات، وفي بعض الحالات استهدفت قاعدة بيانات ووردبريس نفسها.
وقد كانت المواقع المُخترقة تُحقن بأداة تنزيل جافاسكربت متعددة المراحل أُطلق عليها اسم “CLEARSHOT”، مكّنت المهاجمين من جلب الحمولة الخبيثة (المرحلة الثانية) من بلوكشين عمومي مثل شبكة “BNB Chain” بدلاً من الاعتماد على خوادم تقليدية يسهل تتبعها. ويمثل استخدام البلوكشين في هذا السياق وسيلة لزيادة قدرة الحملة على الصمود وجعل تعطيلها أصعب.