أفادت تقارير أمنية حديثة بشن جهة فاعلة من خلفية صينية، تُعرف باسم UAT-7290، حملات تجسسية تستهدف مؤسسات في جنوب آسيا وجنوب شرق أوروبا، مما سلط الضوء على التهديدات السيبرانية المتزايدة في المنطقة.
يشير التحليل إلى استمرار نشاط هذه الجهة منذ عام 2022 على الأقل، مع تركيز أساسي على إجراء استطلاع تقني شامل قبل شن هجماتها. تهدف هذه الهجمات إلى نشر عائلات برمجيات خبيثة متنوعة، بما في ذلك RushDrop و DriveSwitch و SilentRaid.
UAT-7290: تكتيكات وأدوات متطورة للتجسس السيبراني
كشف الباحثون الأمنيون عن أن UAT-7290 لا تكتفي بالتجسس، بل تسعى أيضاً إلى إنشاء بنية تحتية تسمى “صناديق الترحيل التشغيلية” (ORBs). يمكن استخدام هذه البنية لاحقاً من قبل جهات فاعلة أخرى مرتبطة بالصين، مما يشير إلى دور مزدوج لهذه الجماعة كمحور وصول أولي ونشاط تجسسي.
تركز الهجمات التي شنتها UAT-7290 بشكل رئيسي على مزودي خدمات الاتصالات في جنوب آسيا. ومع ذلك، فقد توسعت موجات الاختراق الأخيرة لتشمل منظمات في جنوب شرق أوروبا، مما يشير إلى اتساع نطاق عملياتها الجغرافية.
تعتمد الجماعة على مزيج من البرمجيات الخبيثة مفتوحة المصدر، وأدوات مخصصة، واستغلال ثغرات يوم واحد في منتجات شبكات الحافة الشائعة. من أبرز أدوات الاختراق المستخدمة، برنامج RedLeaves (المعروف أيضاً باسم BUGJUICE) و ShadowPad، وكلاهما مرتبط حصرياً بمجموعات قرصنة صينية.
ترسانة البرمجيات الخبيثة
تستخدم الجماعة بشكل أساسي مجموعة برمجيات خبيثة تعمل على نظام لينكس. تشمل هذه المجموعة RushDrop (المعروف أيضاً باسم ChronosRAT)، وهو برنامج يقوم ببدء سلسلة العدوى.
إضافة إلى ذلك، يتم استخدام DriveSwitch، وهو برنامج ملحق يُستخدم لتنفيذ SilentRaid على النظام المخترق. و SilentRaid (المعروف أيضاً باسم MystRodX) هو برنامج خبيث قائم على C++، يوفر وصولاً مستمراً إلى النقاط النهائية المخترقة.
يعمل SilentRaid على التواصل مع خادم خارجي، وفتح واجهة أوامر عن بعد، وإعداد إعادة توجيه المنافذ، وتنفيذ عمليات الملفات. وقد أشارت تحليلات سابقة إلى أن MystRodX هو نسخة معدلة من ChronosRAT، وهو برنامج ثنائي يستخدم بنية وحدات وقادر على تنفيذ التعليمات البرمجية، وإدارة الملفات، وتسجيل ضغطات المفاتيح، وإعادة توجيه المنافذ.
من الجدير بالذكر أن جهات أخرى، مثل Palo Alto Networks Unit 42، تتابع هذه الأنشطة تحت اسم CL-STA-0969.
البنية التحتية والارتباطات
تستخدم UAT-7290 أيضاً برمجية خبيثة تسمى Bulbature، والتي تهدف إلى تحويل جهاز حافة مخترق إلى أحد نقاط ORBs. تم توثيق هذه البرمجية لأول مرة في أكتوبر 2024.
تشارك الجهة الفاعلة في هذه الهجمات أوجه تشابه تكتيكية وبنيوية مع جهات فاعلة أخرى مرتبطة بالصين، مثل Stone Panda و RedFoxtrot (المعروفة أيضاً باسم Nomad Panda).
يُجري المهاجمون استطلاعاً واسعاً للمنظمات المستهدفة قبل تنفيذ الاختراقات. وتعتمد UAT-7290 على استغلال ثغرات يوم واحد وتجارب القوة الغاشمة على مفاتيح SSH المستهدفة لاختراق أجهزة الحافة المواجهة للجمهور، مما يتيح لها الحصول على وصول أولي وتصعيد الامتيازات على الأنظمة المخترقة. ويبدو أن هذه الجهة تعتمد على أكواد إثبات المفاهيم المتاحة للجمهور بدلاً من تطوير أدوات خاصة بها.