كشفت تقارير أمنية حديثة عن موجة جديدة من حملات التجسس السيبراني التي تستهدف وكالات حكومية وإنفاذ القانون في جنوب شرق آسيا، والتي يُعتقد أن جهات فاعلة مرتبطة بالصين تقف وراءها طوال عام 2025. تأتي هذه التطورات لتسلط الضوء على استمرار التهديدات السيبرانية المتقدمة في المنطقة.
تتابع شركة Check Point Research هذه الأنشطة تحت اسم Amaranth-Dragon، مشيرة إلى وجود صلات بينها وبين النظام البيئي لمجموعة APT 41. وقد شملت الدول المستهدفة كمبوديا وتايلاند ولاوس وإندونيسيا وسنغافورة والفلبين.
حملات Amaranth-Dragon تستهدف حكومات جنوب شرق آسيا
وأسفرت العديد من هذه الحملات عن تزامُن توقيتها مع تطورات سياسية محلية حساسة، أو قرارات حكومية رسمية، أو أحداث أمنية إقليمية. وقد أدى ربط النشاط الخبيث بسياقات زمنية مألوفة إلى زيادة احتمالية تفاعل الأهداف مع المحتوى المقدم.
وأضافت الشركة أن الهجمات كانت “مركزة بشكل ضيق” و”محدودة النطاق”، مما يشير إلى جهود الجهات الفاعلة في التهديدات لترسيخ وجود طويل الأمد لجمع المعلومات الاستخباراتية الجيوسياسية.
وتتمثل السمة الأكثر بروزًا في أساليب الجهات الفاعلة في التهديدات في درجة التخفي العالية، حيث كانت الحملات “محكومة بدقة” وتم تكوين البنية التحتية للهجوم بحيث تتفاعل فقط مع الضحايا في بلدان مستهدفة محددة، وذلك لتقليل التعرض.
وقد تم اكتشاف سلاسل هجومية قادها المهاجمون تستغل الثغرة الأمنية CVE-2025-8088، وهي ثغرة تم إصلاحها الآن في برنامج RARLAB WinRAR. تسمح هذه الثغرة بتنفيذ تعليمات برمجية عشوائية عند فتح أرشيفات مصممة خصيصًا من قبل الأهداف. وقد لوحظ استغلال الثغرة بعد حوالي ثمانية أيام من الكشف العلني عنها في أغسطس.
ووزعت المجموعة ملف RAR خبيث يستغل ثغرة CVE-2025-8088، مما يسمح بتنفيذ تعليمات برمجية عشوائية والحفاظ على الاستمرارية في الجهاز المخترق، حسبما لاحظ باحثو Check Point. وتشير سرعة وثقة عمليات استغلال هذه الثغرة إلى النضج التقني والاستعداد العالي للمجموعة.
وعلى الرغم من أن المتجه الأولي للوصول الدقيق لا يزال غير معروف في هذه المرحلة، إلا أن الطبيعة المستهدفة للحملات، جنبًا إلى جنب مع استخدام الطُعم المخصصة المتعلقة بالتطورات السياسية أو الاقتصادية أو العسكرية في المنطقة، تشير إلى استخدام رسائل البريد الإلكتروني التصيدية (spear-phishing) لتوزيع الملفات المضغوطة المستضافة على منصات سحابية معروفة مثل Dropbox لتقليل الشكوك وتجاوز الدفاعات المحيطية التقليدية.
ويحتوي الأرشيف على عدة ملفات، بما في ذلك ملف DLL خبيث يسمى Amaranth Loader، يتم تشغيله عن طريق تحميل DLL جانبي (DLL side-loading)، وهي تقنية أخرى مفضلة لدى الجهات الفاعلة الصينية في التهديدات. ويشارك هذا المحمل أوجه تشابه مع أدوات مثل DodgeBox وDUSTPAN (المعروفة أيضًا باسم StealthVector) وDUSTTRAP، والتي تم تحديدها سابقًا على أنها تستخدم من قبل طاقم القرصنة APT41.
بمجرد تنفيذه، يقوم المحمل بالاتصال بخادم خارجي لاسترداد مفتاح تشفير، والذي يستخدم بعد ذلك لفك تشفير حمولة مشفرة تم استردادها من عنوان URL مختلف وتنفيذها مباشرة في الذاكرة. الحمولة النهائية المنشورة كجزء من الهجوم هي إطار عمل القيادة والتحكم (C2) مفتوح المصدر المعروف باسم Havoc.
في المقابل، استخدمت التكرارات المبكرة للحملة التي تم اكتشافها في مارس 2025 ملفات ZIP تحتوي على اختصارات Windows (LNK) وملفات دفعية (BAT) لفك تشفير Amaranth Loader وتنفيذه باستخدام تحميل DLL جانبي. كما تم تحديد تسلسل هجومي مشابه في حملة في أواخر أكتوبر 2025 باستخدام طُعم تتعلق بخفر السواحل الفلبيني.
في حملة أخرى استهدفت إندونيسيا في أوائل سبتمبر 2025، اختار الجهات الفاعلة التهديد توزيع أرشيف RAR محمي بكلمة مرور من Dropbox لتسليم حصان طروادة وصول عن بعد (RAT) كامل الوظائف يحمل الاسم الرمزي TGAmaranth RAT بدلاً من Amaranth Loader، والذي يستفيد من بوت Telegram مدمج في التعليمات البرمجية للقيادة والتحكم.
وظائف TGAmaranth RAT
بالإضافة إلى تنفيذ تقنيات ضد التصحيح وضد برامج مكافحة الفيروسات لمقاومة التحليل والكشف، يدعم RAT الأوامر التالية:
- /start، لإرسال قائمة بالعمليات قيد التشغيل من الجهاز المصاب إلى البوت.
- /screenshot، لالتقاط صورة شاشة وتحميلها.
- /shell، لتنفيذ أمر محدد على الجهاز المصاب واستخلاص الناتج.
- /download، لتنزيل ملف محدد من الجهاز المصاب.
- /upload، لتحميل ملف إلى الجهاز المصاب.
علاوة على ذلك، يتم تأمين البنية التحتية للقيادة والتحكم بواسطة Cloudflare ويتم تكوينها لقبول حركة المرور فقط من عناوين IP داخل البلد أو البلدان المحددة المستهدفة في كل عملية. كما يوضح النشاط كيف تقوم الجهات الفاعلة المتطورة في التهديدات بأسلحة البنية التحتية المشروعة والموثوقة لتنفيذ هجمات مستهدفة مع الحفاظ على التشغيل سراً.
تنبع صلات Amaranth-Dragon بـ APT41 من التداخل في ترسانة البرامج الضارة، مما يشير إلى اتصال محتمل أو موارد مشتركة بين المجموعتين. وتجدر الإشارة إلى أن الجهات الفاعلة الصينية في التهديدات معروفة بمشاركة الأدوات والتقنيات والبنية التحتية.
و”بالإضافة إلى ذلك، فإن أسلوب التطوير، مثل إنشاء سلاسل جديدة داخل وظائف التصدير لتنفيذ التعليمات البرمجية الضارة، يماثل عن كثب ممارسات APT41 الراسخة”، حسبما ذكرت Check Point.
وتشير الطوابع الزمنية للتجميع، وتوقيت الحملات، وإدارة البنية التحتية إلى فريق منضبط ومدروس جيدًا يعمل في المنطقة الزمنية UTC+8 (توقيت الصين القياسي). وبالنظر إلى كل ذلك، فإن هذه التداخلات التقنية والتشغيلية تشير بقوة إلى أن Amaranth-Dragon مرتبطة ارتباطًا وثيقًا بنظام APT41 البيئي، أو جزء منه، وتواصل الأنماط المستقرة للاستهداف وتطوير الأدوات في المنطقة.
Mustang Panda تقدم نسخة جديدة من PlugX في حملة محدثة
يأتي هذا الكشف بينما فصّلت شركة Dream Research Labs للأمن السيبراني ومقرها تل أبيب حملة نسقتها مجموعة أخرى من الجهات الحكومية الصينية المعروفة باسم Mustang Panda، والتي استهدفت مسؤولين مشاركين في الدبلوماسية والانتخابات والتنسيق الدولي في مناطق متعددة بين ديسمبر 2025 ومنتصف يناير 2026. وقد تم تحديد هذا النشاط باسم PlugX Diplomacy.
و”بدلاً من استغلال ثغرات البرامج، اعتمدت العملية على انتحال الهوية والثقة”، حسبما ذكرت الشركة. “تم استدراج الضحايا لفتح ملفات بدت وكأنها ملخصات دبلوماسية أو وثائق سياسية مرتبطة بالولايات المتحدة. كان مجرد فتح الملف كافياً لبدء الاختراق.”
وتُمهد هذه المستندات الطريق لنشر نسخة مخصصة من PlugX، وهو برنامج ضار طويل الأمد تستخدمه مجموعة القرصنة لجمع البيانات سراً وتمكين الوصول المستمر إلى الأجهزة المخترقة. وقد تم اكتشاف النسخة، المسماة DOPLUGS، قيد الاستخدام منذ أواخر ديسمبر 2022 على الأقل.
تتميز سلاسل الهجوم هذه بالاتساق، حيث تعمل المرفقات الخبيثة من نوع ZIP التي تتمحور حول الاجتماعات الرسمية والانتخابات والمنتديات الدولية كمحفز لإطلاق عملية متعددة المراحل. يوجد داخل الملف المضغوط ملف LNK واحد، والذي عند تشغيله، يؤدي إلى تنفيذ أمر PowerShell الذي يقوم باستخراج وإسقاط أرشيف TAR.
“تبحث منطق PowerShell المضمن بشكل متكرر في أرشيف ZIP، وتقرأه كبايتات خام، وتستخرج حمولة تبدأ من إزاحة بايت ثابتة”، حسبما أوضح فريق Dream. “يتم كتابة البيانات المستخرجة إلى القرص باستخدام استدعاء مشفر لطريقة WriteAllBytes. ويتم التعامل مع البيانات المستخرجة كأرشيف TAR ويتم فك ضغطها باستخدام الأداة الأصلية tar.exe، مما يدل على الاستخدام المتسق للأدوات المتاحة (LOLBins) طوال سلسلة الإصابة.”
يحتوي أرشيف TAR على ثلاثة ملفات:
- ملف تنفيذي شرعي موقع مرتبط بـ AOMEI Backupper، معرض لخطر اختطاف ترتيب البحث عن DLL (“RemoveBackupper.exe”).
- ملف مشفر يحتوي على حمولة PlugX (“backupper.dat”).
- ملف DLL خبيث يتم تحميله بشكل جانبي باستخدام الملف التنفيذي (“comn.dll”) لتحميل PlugX.
يؤدي تنفيذ الملف التنفيذي الشرعي إلى عرض مستند PDF وهمي للمستخدم لإعطاء انطباع بأن كل شيء على ما يرام، بينما في الخلفية، يتم تثبيت DOPLUGS على الجهاز.
واختتم فريق Dream بالقول: “يشير الارتباط بين الأحداث الدبلوماسية الفعلية وتوقيت الطُعم المكتشف إلى أن الحملات المماثلة من المرجح أن تستمر مع تطور التطورات الجيوسياسية.”
“وبالتالي، يجب على الكيانات العاملة في القطاعات الدبلوماسية والحكومية والسياسية اعتبار أساليب توزيع LNK الخبيثة واختطاف ترتيب البحث عن DLL عبر الملفات التنفيذية المشروعة تهديدات مستمرة وذات أولوية قصوى بدلاً من تكتيكات معزولة أو عابرة.”