كشف تقرير حديث عن أن مجموعة تهديدات متطورة مرتبطة بالصين، تُعرف باسم UAT-8302، شنت هجمات استهدفت جهات حكومية في أمريكا الجنوبية منذ أواخر عام 2024، وجهات حكومية في جنوب شرق أوروبا خلال عام 2025. وتشير التحقيقات إلى استخدام المجموعة لبرمجيات خبيثة مخصصة، بعضها شاركتها مجموعات قرصنة صينية أخرى.
يأتي هذا الكشف في وقت تتزايد فيه المخاوف الأمنية السيبرانية عالمياً، حيث تعمل الصين على تطوير قدراتها التقنية بشكل مستمر. ويُبرز استخدام UAT-8302 لأنواع متعددة من البرمجيات الخبيثة، بما في ذلك NetDraft، مدى تعقيد وتنوع أدواتها.
UAT-8302: التكتيكات والأدوات
تم تتبع الأنشطة لهذه المجموعة تحت اسم UAT-8302 من قبل Cisco Talos. وتتضمن مراحل ما بعد الاختراق نشر عائلات برمجيات خبيثة تم تصميمها خصيصاً، والتي سبق أن استخدمتها مجموعات قرصنة أخرى مرتبطة بالصين. وهذا يشير إلى مستوى عالٍ من التعاون أو المصادر المشتركة بين هذه المجموعات.
NetDraft (NosyDoor): حصان طروادة جديد
من أبرز هذه البرمجيات الخبيثة هو برنامج NetDraft، وهو باب خلفي يعتمد على .NET، ويعرف أيضاً باسم NosyDoor. ويعتبر هذا البرنامج نسخة مطورة من FINALDRAFT (المعروف أيضاً بـ Squidoor)، والذي سبق ربطه بمجموعات تهديدات تعرف بـ Ink Dragon و CL-STA-0049 و Earth Alux و Jewelbug و REF7707. وهذا الربط يؤكد على الاستراتيجيات المشتركة المستخدمة.
علاقات مع مجموعات أخرى
تظهر تقارير التحقيق أن ESET تتتبع استخدام NosyDoor من قبل مجموعة أسمتها LongNosedGoblin. ومن المثير للاهتمام أن نفس البرنامج الخبيث تم استخدامه ضد منظمات تكنولوجيا المعلومات الروسية من قبل جهة تهديد تعرف باسم Erudite Mogwai (المعروفة أيضاً بـ Space Pirates و Webworm)، وفقاً لشركة الأمن السيبراني الروسية Solar، والتي أطلقت عليه اسم LuckyStrike Agent. وهذا يوضح الانتشار الواسع لهذه الأدوات.
البرمجيات الخبيثة المستخدمة
وبحسب تقرير فني حديث، فإن البرمجيات الخبيثة التي نشرتها UAT-8302 تربطها بعدة مجموعات تهديدات تم الكشف عنها علناً في السابق، مما يشير إلى وجود علاقة تشغيل وثيقة بينها على الأقل. وبشكل عام، تشير المصنوعات الخبيثة المختلفة التي تنشرها UAT-8302 إلى أن المجموعة لديها وصول إلى أدوات تستخدمها جهات تهديد متطورة أخرى، والتي تم تقييمها على أنها مرتبطة بالصين أو ناطقة بالصينية من قبل تقارير مختلفة من طرف ثالث في الصناعة.
تفاصيل الهجوم والوصول الأولي
لا تزال الآليات الأولية للدخول التي تستخدمها UAT-8302 غير واضحة بشكل كامل. ومع ذلك، يُعتقد أن الهجمات تعتمد على أساليب مثبتة مثل استغلال ثغرات zero-day و N-day في تطبيقات الويب، والتي غالباً ما تكون فعالة في اختراق الشبكات.
استكشاف الشبكة والانتشار الجانبي
بمجرد اختراق الأنظمة، يقوم المهاجمون بإجراء استكشاف شامل لرسم خرائط للشبكة. ويتم استخدام أدوات مفتوحة المصدر مثل gogo لإجراء مسح آلي، والانتقال لاحقاً عبر البيئة المستهدفة. وعادة ما تتوج سلاسل الهجوم بنشر برمجيات خبيثة مثل NetDraft، و CloudSorcerer (الإصدار 3.0)، و VShell.
أدوات مساعدة وتكتيكات إضافية
لوحظ أن UAT-8302 تستخدم أيضاً نسخة مكتوبة بلغة Rust من SNOWLIGHT تسمى SNOWRUST، لتنزيل حمولة VShell من خادم بعيد وتنفيذها. بالإضافة إلى استخدام البرامج الخبيثة المخصصة، يقوم فاعل التهديد بإنشاء وسائل وصول بديلة كباب خلفي باستخدام أدوات بروكسي و VPN مثل Stowaway و SoftEther VPN. وهذا يظهر مرونة المجموعة في الحفاظ على تواجدها.
اتجاهات التعاون بين مجموعات التهديد
تؤكد هذه الاكتشافات الاتجاه المتزايد للتكتيكات التعاونية المتقدمة بين مجموعات متعددة مرتبطة بالصين. ففي أكتوبر 2025، سلّطت Trend Micro الضوء على ظاهرة أسمتها Premier Pass-as-a-Service، حيث يتم تمرير الوصول الأولي الذي تحصل عليه Earth Estries إلى Earth Naga للاستغلال اللاحق، مما يزيد من صعوبة جهود الاحتواء. ويُقدر أن هذه الشراكة موجودة منذ أواخر عام 2023 على الأقل.
وفقاً لـ Trend Micro، فإن خدمة Premier Pass-as-a-Service توفر وصولاً مباشراً إلى الأصول الهامة، مما يقلل من الوقت المستغرق في مراحل الاستطلاع، والاستغلال الأولي، والانتشار الجانبي. وعلى الرغم من أن النطاق الكامل لهذا النموذج لا يزال غير معروف، فإن العدد المحدود للحوادث المرصودة، جنباً إلى جنب مع الخطر الكبير الذي تنطوي عليه مثل هذه الخدمة، يشير إلى أن الوصول يقتصر على الأرجح على دائرة صغيرة من الجهات الفاعلة في مجال التهديد.