عاد التهديد السيبراني المعروف باسم TA416 إلى أوروبا بنشاط جديد، مستهدفًا الموظفين الحكوميين والدبلوماسيين عبر حملات بريد إلكتروني تجسسية. تتضمن هذه الهجمات تكتيكات تجمع بين الاستطلاع الصامت وتوصيل البرمجيات الخبيثة، مما يعكس نهجًا استراتيجيًا من قبل الجهة الفاعلة لتقييم ردود فعل الأهداف قبل إرسال تهديدات أكثر خطورة.
تشير التقارير إلى أن أنشطة TA416، المجموعة المرتبطة بالصين، تركزت في الفترة بين منتصف عام 2025 وأوائل عام 2026 على البعثات الدبلوماسية لدى الاتحاد الأوروبي وحلف شمال الأطلسي في عدة دول أوروبية. وفي مارس 2026، وسعت المجموعة نطاق عملياتها لتشمل مسؤولين حكوميين ودبلوماسيين في الشرق الأوسط، خاصة بعد التطورات الجيوسياسية الأخيرة في المنطقة.
تكشف TA416 عن تكتيكات تجسسية متطورة
اعتمدت TA416 في حملاتها الحديثة على رسائل بريد إلكتروني تستخدم “علامات الويب” (web bugs) للانطلاق، مرسلة من حسابات بريد إلكتروني مجانية. استهدفت هذه الرسائل موضوعات متنوعة لجذب انتباه ضباط الاتصال، مثل الاهتمامات الإنسانية، طلبات المقابلات، مقترحات التعاون، ومقالات حول غرينلاند. كل رسالة كانت تحتوي على روابط تتبع فريدة أو أسماء ملفات صور مميزة، مما يسمح للجهة الفاعلة بتحديد الأهداف الذين فتحوا الرسائل أو نقروا على الروابط.
وفقًا لباحثين من شركة Proofpoint، استخدمت المجموعة مجموعة متنوعة من الأدوات لتنفيذ هجماتها، بما في ذلك علامات الويب، وروابط أرشفة خبيثة، وحسابات بريد إلكتروني مجانية، بالإضافة إلى اختراق حسابات البريد الإلكتروني الدبلوماسية أو الحكومية للوصول إلى الضحايا.
ومع ذلك، لاحظ الباحثون تغييرات مستمرة في مراحل العدوى الأولية، لكن الهدف النهائي ظل ثابتًا: تثبيت برنامج التجسس المخصص PlugX عبر تقنية “تحميل DLL جانبي” (DLL sideloading).
آلية العدوى: استراتيجيات متغيرة وهدف واحد
من أبرز ما يميز هذه الحملة هو ابتكار TA416 في تغيير آلية الدخول مع الحفاظ على الهدف النهائي. بين سبتمبر 2025 ومارس 2026، رصدت Proofpoint استخدام صفحات مزيفة تحاكي خدمة Cloudflare Turnstile، واستغلال إعادة توجيه OAuth من Microsoft Entra ID، بالإضافة إلى ملفات أرشيفية تحتوي على ملفات تنفيذية لـ MSBuild معدلة ومشروع C# خبيث.
في المراحل الأولى، انتحلت صفحات Turnstile المزيفة صفحات تسجيل دخول Microsoft، ووجهت المستخدمين إلى ملفات ZIP مخزنة على Microsoft Azure Blob Storage. استخدمت هذه الملفات تقنيات مثل “تهريب ZIP” (ZIP smuggling) وملفات LNK لتنفيذ المرحلة التالية، والتي انتهت بتشغيل ملف تنفيذي موقع، وملف DLL خبيث، وحمولة مشفرة تقوم بتحميل PlugX في الذاكرة.
لاحقًا، بدأت TA416 في استغلال عناوين URL صالحة للمصادقة من Microsoft عن طريق تسجيل تطبيقات طرف ثالث في Entra ID وإحداث فشل في المصادقة. أدى هذا التكتيك إلى إعادة توجيه الضحايا إلى صفحات تنزيل يتحكم بها المهاجم، مما ساهم في ظهور الرسائل بشكل أكثر أمانًا وتجاوز بعض فحوصات سمعة الروابط، حيث أن الرابط الأول كان يشير إلى نطاق Microsoft موثوق.
بحلول فبراير 2026، غير المهاجمون أسلوبهم مرة أخرى، مستخدمين ملفات أرشيفية مستضافة على Google Drive أو SharePoint مخترق. احتوت هذه الأرشيفات على ملف MSBuild معاد تسميته وملف CSPROJ خبيث يقوم بفك تشفير روابط مشفرة بصيغة Base64، وتنزيل حزمة تحميل جانبي أخرى إلى المجلد المؤقت، وتشغيل PlugX عبر برنامج تنفيذي شرعي.
ظهرت الإصدارات الحديثة من PlugX أيضًا بقدرات محسنة على التهرب والمثابرة. أفادت Proofpoint أن العينات في مارس 2026 قامت بنسخ مجموعة التحميل الجانبي إلى D:UsersPublicCanon، وإنشاء مفتاح تسجيل Run باسم Canon لبدء التشغيل تلقائيًا. استخدم المثبت تقنيات مثل تجزئة API، وشفرات غير مفيدة، وتسطيح تدفق التحكم لجعل التحليل أكثر صعوبة.
بمجرد تفعيله، استخدم PlugX قنوات قيادة وتحكم قائمة على HTTP مع تشفير RC4 للحركة، وأرسل تفاصيل أساسية عن الجهاز المضيف إلى الخادم، ودعم أوامر لتنزيل حمولات جديدة، وتغيير قيم التوقيت، وفتح قوقعة عكسية، أو إلغاء تثبيت نفسه.
توصيات للمؤسسات
تنصح Proofpoint المؤسسات التي تتعرض لهذا النوع من الاستهداف بالتعامل مع رسائل البريد الإلكتروني ذات الطابع الدبلوماسي، والأرشيفات السحابية غير المتوقعة، وروابط تسجيل دخول Microsoft التي تؤدي إلى تنزيلات، على أنها عالية المخاطر. وتتضمن الإجراءات الوقائية الفعالة: تصفية قوية لملفات LNK و ZIP و RAR والمشروعات، وحظر تنفيذ MSBuild غير الضروري، ومراقبة التغييرات في مفاتيح Run، والبحث النشط عن حركة مرور HTTP الخاصة بـ PlugX.
يمكن أيضًا أن يقلل تعطيل التحميل التلقائي للصور الخارجية حيثما أمكن، ووضع الأرشيفات من الروابط السحابية في بيئات معزولة (sandboxing)، من قيمة تكتيكات الاستطلاع المبكرة التي تستخدمها المجموعة.