شنت مجموعة تهديد سيبراني متقدمة (APT) مرتبطة بالصين حملة تجسس إلكتروني تستهدف كيانات في قطر، وذلك بعد يوم واحد فقط من اندلاع أعمال عدائية جديدة في الشرق الأوسط في 1 مارس 2026. استخدمت المجموعة وثائق تمويهية ذات طابع حربي، مصممة لتبدو كرسائل عاجلة وواقعية تتعلق بتحرك عسكري، بهدف خداع المستلمين لفتح ملفات خبيثة تقوم بتثبيت برمجية الباب الخلفي PlugX بصمت على أجهزتهم.
كان توقيت هذه الحملة لافتاً للغاية. ففي غضون 24 ساعة من تصاعد التوترات الإقليمية، كان المهاجمون قد أعدوا بالفعل ونشروا أرشيفات تصيد احتيالي مصممة بعناية، تحاكي المحتوى المشروع المتعلق بالصراع، مما جعلها تندمج مع سيل الاتصالات الذي ينتشر خلال الأحداث الجيوسياسية الكبرى. تظهر هذه السرعة مدى قدرة مجموعات التهديد المتقدمة الصينية على التكيف بسرعة عندما يحدث تطور كبير، وتحويل الأخبار العاجلة إلى سلاح.
حدد محللو Check Point حملتي اختراق منفصلتين تعملان بالتوازي، وكلاهما موجه لقطر، وكل منهما يستخدم آليات توصيل وحمولات نهائية مختلفة، مما يشير إلى تورط مجموعتين مختلفتين من الجهات الفاعلة في التهديد. يمتد التأثير الأوسع إلى ما وراء منظمة واحدة أو مكتب حكومي. تقع قطر عند مفترق طرق التأثير الإقليمي والعالمي، وتحافظ على علاقات مع قوى متنافسة في الشرق الأوسط وخارجه.
يمكن أن يمنح الاختراق الناجح أجهزة الاستخبارات الصينية وصولاً إلى الاتصالات الحساسة والبيانات الاستراتيجية ذات القيمة الجيوسياسية الكبيرة. تشير هذه الحملات أيضاً إلى تحول واضح في أولويات الاستهداف للمجموعات المرتبطة بالصين، حيث لم تكن منطقة الخليج تظهر بهذا البروز في التقارير العامة حول التجسس الذي ترعاه الدول.
حملات التجسس السيبراني الصينية تستهدف قطر ببرمجيات PlugX
لوحظت نفس طريقة التوصيل في أواخر ديسمبر 2025 ضد أهداف عسكرية تركية، مما يوحي بأن هذه المجموعة تحافظ على تركيز مستمر على منطقة الشرق الأوسط الأوسع. التحول شبه الفوري إلى قطر بعد التصعيد يوضح أن هذه الجهات الفاعلة كانت مستعدة ووضعت في مواقعها بالفعل، في انتظار اللحظة المناسبة لشن هجومها.
اختطاف DLL ونشر PlugX متعدد المراحل
بدأت الحملة الأولى بأرشيف متنكر في هيئة صور توثق ضربات صاروخية على قواعد أمريكية في البحرين. عندما قام الضحية بفتح محتويات الأرشيف وتشغيلها، أدى ملف اختصار ويندوز (.LNK) إلى إطلاق سلسلة عدوى طويلة ومتعددة المراحل بصمت، والتي وصلت أولاً إلى خادم بعيد مخترق لاسترجاع حمولة المرحلة التالية، قبل أن تستغل في نهاية المطاف اختطاف DLL لملف Baidu NetDisk الشرعي لتحميل وتنفيذ برمجية الباب الخلفي PlugX بصمت.
تعتبر PlugX برمجية باب خلفي معيارية مرتبطة بالعديد من الجهات الفاعلة في التهديدات الصينية منذ عام 2008 على الأقل. يسمح تصميمها القائم على المكونات الإضافية للمهاجمين بتنفيذ مجموعة واسعة من مهام ما بعد الاختراق – مثل سرقة الملفات، والتقاط لقطات الشاشة، وتسجيل ضربات المفاتيح، وتشغيل أوامر عن بعد – دون جذب انتباه أمني مفرط.
استخدمت عينة PlugX من هذه الحملة مفتاح تشفير التكوين qwedfgx202211 ومفتاح فك تشفير بتنسيق تاريخ (20260301@@@)، وكلاهما لوحظ سابقاً في حملات نُسبت إلى Camaro Dragon، والمعروفة أيضاً باسم Earth Preta و Mustang Panda.
استخدمت الحملة الثانية أرشيفاً محميًا بكلمة مرور باسم “Strike at Gulf oil and gas facilities.zip”، تم توصيله على الأرجح عبر البريد الإلكتروني. اعتمدت على وثائق تمويهية منخفضة الجودة تم إنشاؤها بواسطة الذكاء الاصطناعي، تنتحل صفة الحكومة الإسرائيلية، وقامت بنشر حمولة تحميل مبنية بلغة Rust لم ترَ من قبل، والتي استغلت اختطاف DLL عبر nvdaHelperRemote.dll، وهو مكون من قارئ الشاشة مفتوح المصدر NVDA، لإنزال Cobalt Strike في النهاية كحمولة نهائية.
جرت البنية التحتية للقيادة والتحكم (C2) عبر Kaopu Cloud و Cloudflare، مما يتطابق مع التكتيكات والتقنيات والإجراءات المرتبطة بالنشاط الصيني السابق. يجب على المنظمات في جميع أنحاء منطقة الخليج التعامل مع جميع المرفقات الإلكترونية ذات الطابع الصراعي بحذر شديد، خاصة خلال فترات التوتر الجيوسياسي النشط. يُنصح بشدة فرق الأمان بمراقبة اختطاف DLL الذي يشمل تطبيقات موثوقة من طرف ثالث، وحظر المؤشرات الضارة المعروفة بما في ذلك عناوين IP 185.219.220.73 و 91.193.17.117 والنطاق almersalstore[.]com، والحفاظ على تحديث أدوات الكشف عن نقاط النهاية للتعرف على متغيرات PlugX ونشاط Beacon الخاص بـ Cobalt Strike على شبكاتها.