كشفت مجموعة Google Threat Intelligence عن مجموعة تجسس جديدة ترعاها جهة حكومية صينية، وهي مجموعة UNC6508، والتي استمرت لسنوات في اختراق أنظمة حكومية وخاصة لسرقة البيانات عبر قطاعات حيوية مثل الأكاديميا والطب والعسكرية والأمن السيبراني والسياسة الخارجية.
اكتشف الباحثون في Google Threat Intelligence هذه المجموعة، التي لم تكن معروفة سابقًا، في أواخر عام 2025، ولكنهم تتبعوا أول اختراق معروف لها إلى سبتمبر 2023. بدأت المجموعة في استهداف منظمات في الولايات المتحدة وكندا، مما يثير مخاوف بشأن التهديدات السيبرانية المستمرة.
مجموعة UNC6508: نمط مقلق للتجسس الصيني
يعكس هذا الاكتشاف نمطًا مقلقًا لمجموعات التجسس الصينية التي تزرع برامج خبيثة (backdoors) في البنى التحتية الحيوية، وذلك استعدادًا لعمليات تخريب محتملة، واعتراض الأبحاث، وسرقة البيانات ذات الآثار على الأمن القومي. هذه المجموعات، التي تعمل بتوجيهات من الحكومة الصينية، بما في ذلك مجموعة UNC6508، كانت تعمل في الخفاء لسنوات قبل أن تكتشف السلطات أو الباحثون أنشطتها.
وقال باتريك ويتسل، كبير مهندسي الأمن في Google Threat Intelligence Group: “لا نعرف المدى الكامل أو التأثير للحملة”. وأشار الباحثون إلى أن الجهة الخبيثة تسللت إلى جامعة أبحاث طبية في سبتمبر 2023، وسرقت بيانات اعتماد واتصالات، وظلت نشطة في أنظمة المؤسسة حتى نوفمبر 2025، عند اكتشافها.
استراتيجيات الاختراق المتطورة
أكدت Google تورط العديد من الضحايا في حملة استخدمت برنامج INFINITERED، وهو برنامج خبيث مخصص زرعته الجهة الخبيثة في الشبكات المستهدفة لسرقة بيانات الاعتماد الإدارية، بعد استغلالها لخوادم REDCap (Research Electronic Data Capture) المواجهة خارجيًا.
لا يزال الباحثون غير متأكدين من كيفية حصول مجموعة UNC6508 على الوصول الأولي إلى خوادم REDCap. وأوضحت Google أن برنامج المسح وقواعد البيانات هذا، الذي تم إنشاؤه في جامعة فاندربيلت وتم إصدار العديد من التصحيحات له بسبب ثغرات حرجة في تنفيذ التعليمات البرمجية عن بعد طوال عام 2023، يُستخدم على نطاق واسع في مجتمع الأبحاث الطبية.
واضاف ويتسل: “نظرًا لاتساع نطاق معايير جمع المعلومات الاستخباراتية للجهة الفاعلة والقدرة على البقاء غير مكتشفة داخل الشبكات المخترقة لأكثر من عام، فإننا نقدر أن الضحايا المعروفين يمثلون على الأرجح جزءًا صغيرًا من حملة أكبر”. وتابع: “نقدر أيضًا أن هذه الجهة الخبيثة ذات القدرات العالية ستظل نشطة وستستمر في تشكيل تهديد لصناعات الدفاع والتكنولوجيا والطب في المستقبل المنظور”.
التصدي للتهديدات السيبرانية
أشارت Google إلى أن الحملة استهدفت مقدمي الخدمات السريرية، والمراكز الطبية الأكاديمية، والمؤسسات الصحية العسكرية الأمريكية، مما يوضح القدرات المتقدمة لمجموعة تهديدات لا تتداخل حاليًا مع أي مجموعات أخرى معروفة علنًا، مثل مجموعات برامج الفدية.
استغلت الجهة الخبيثة قواعد امتثال النطاق لسرقة البيانات. هذه التقنية لا تعتمد على البرامج الضارة أو الأدوات التي تستخدم موارد النظام الأصلي، وتم توجيه حركة المرور عبر عناوين IP مقرها الولايات المتحدة للاندماج مع حركة المرور المشروعة، وفقًا للباحثين.
آثار الاكتشاف وخطوات المواجهة
قال ويتسل: “لدينا بعض الأدلة التي تشير إلى أن هذه مجموعة تهديد كبيرة تضم فرقًا فرعية متعددة، ولكن هذا لم يتم تأكيده”.
مثل مجموعات التجسس الأخرى التي ترعاها جهات حكومية صينية والتي تم تحديدها سابقًا، لا تزال مجموعة UNC6508 نشطة.
أوضحت Google أنها تدخّلت في جزء من البنية التحتية المعروفة لمجموعة UNC6508 عن طريق تعطيل حساب Gmail الذي كانت تستخدمه لاستخراج البيانات، وأخطرت المنظمات المتأثرة، وساعدت في معالجة الاختراقات قبل نشر بحث حول أنشطة المجموعة.
وأشار ويتسل إلى أن هناك عدة حالات اختراق غير مؤكدة لا تزال قيد التحقيق، مما يؤكد أهمية اليقظة المستمرة في مجال الأمن السيبراني.