أبلغ الباحثون من مختبر Kaspersky و Bi.Zone عن موجة جديدة من أنشطة Backdor Pipemagic. كان هذا الضرر ملحوظًا أولاً في عام 2022 في هجمات على الشركات في آسيا وبحلول نهاية عام 2024 ، تم استخدامه لمحاربة المنظمات في المملكة العربية السعودية. في عام 2025 ، استمرت الهجمات وتأثرت الشركات البرازيلية.
يلاحظ الخبراء أن المهاجمين قد احتفظوا باهتمامهم بالمملكة العربية السعودية ، لكنهم وسعوا جغرافيا الهجمات.
في الوقت نفسه ، تظهر تقنيات جديدة في ترسانة Pipemagic. أحد العوامل الرئيسية هو نشاط ثقوب CVE-2025-29824 في برامج تشغيل CLFS.SYS ، والتي أغلقتها Microsoft في أبريل 2025. في بعض الحالات ، يتم استخدام ملفات فهرس استفسارات Microsoft أيضًا لإطلاق رمز ضار.
بالإضافة إلى ذلك ، سجل الباحثون إصدارات جديدة من مجموعة تحميل الحذاء pipemagic ، متنكري في chatgpt. تم استخدام تمويه مماثل في الهجمات في المملكة العربية السعودية بحلول عام 2024.
وفقًا لـ Leonid Bezvlevshenko من Kaspersky Great ، يواصل المهاجمون تطوير pipemagic: في الإصدارات المحدثة ، تمت إضافة الآليات الموحدة في البنية التحتية وحركة الإغاثة عبر الإنترنت.
أشار بافل بلينيكوف بي. يتم استخدام 0 -Daysitation بشكل متزايد ، بما في ذلك للسائقين. الهدف الرئيسي من المتسللين هو زيادة الامتيازات وإخفاء الآثار.
شوهد Pipemagic لأول مرة في عام 2022 بالاشتراك مع Ransomexx. بعد ذلك ، تم استخدامهم للهجمات على الشركات الصناعية في جنوب شرق آسيا. يعرف Backdor كيفية العمل كأداة وصول عن بُعد أو وكيل ، وتنفيذ سلسلة من الأوامر.