كشفت شركات أمن سيبراني عن حملة تجسس جديدة تتبع جهات صينية، تستهدف قطاعات حكومية ودفاعية في جنوب وشرق وجنوب شرق آسيا، بالإضافة إلى حكومة أوروبية تابعة لحلف الناتو. تهدف هذه الحملة الهجومية إلى جمع المعلومات الحساسة من دول مختلفة.
تعزو شركة تريند مايكرو النشاط الهجومي إلى مجموعة التهديدات التي تتعقبها تحت الاسم المؤقت SHADOW-EARTH-053. وتشير التقييمات إلى أن هذه المجموعة نشطة منذ ديسمبر 2024 على الأقل، وتظهر بعض التداخلات في شبكاتها مع مجموعات CL-STA-0049، و Earth Alux، و REF7707.
حملة SHADOW-EARTH-053 تستهدف قطاعات استراتيجية
تستغل المجموعة ثغرات أمنية معروفة في خوادم Microsoft Exchange و IIS المواجهة للإنترنت، مثل سلسلة ProxyLogon. بعد ذلك، تنشر المجموعة برامج خبيثة من نوع “ويب شل” (Godzilla) لضمان الوصول المستمر، ثم تقوم بتثبيت برامج تجسس مثل ShadowPad عبر تقنية تحميل وحدات DLL بشكل جانبي باستخدام ملفات تنفيذية موقعة بصفة شرعية. جاء ذلك بحسب تحليل قدمه الباحثون الأمنيون دانيال لونغي ولوكاس سيلفا.
تشمل قائمة الأهداف في هذه الحملة دول باكستان، تايلاند، ماليزيا، الهند، ميانمار، سريلانكا، وتايوان. أما الدولة الأوروبية الوحيدة التي تظهر ضمن نطاق ضحايا الجهة المهاجمة فهي بولندا.
ووفقًا لشركة الأمن السيبراني، فقد تم اختراق ما يقرب من نصف أهداف SHADOW-EARTH-053، وبالأخص تلك الموجودة في ماليزيا وسريلانكا وميانمار، في وقت سابق من قبل مجموعة اختراق ذات صلة تُعرف باسم SHADOW-EARTH-054. ومع ذلك، لم يتم رصد أي دليل على تنسيق عملياتي مباشر بين المجموعتين.
يكمن المنطلق الأساسي للهجمات في استغلال الثغرات الأمنية المعروفة لاختراق الأنظمة غير المحدثة وتثبيت برامج خبيثة من نوع “ويب شل” مثل Godzilla لتسهيل الوصول عن بعد والمستمر. تعمل هذه البرامج كأداة لتنفيذ الأوامر، وتمكين عمليات الاستطلاع، وفي النهاية تؤدي إلى نشر برنامج التجسس ShadowPad عبر AnyDesk. ويتم إطلاق البرمجيات الخبيثة باستخدام آلية تحميل وحدات DLL الجانبية.
في حالة واحدة على الأقل، يُقال إن استغلال ثغرة React2Shell (CVE-2025-55182) قد سهّل توزيع نسخة لينكس من برنامج Noodle RAT (المعروف أيضًا باسم ANGRYREBEL و Nood RAT). وتجدر الإشارة هنا إلى أن مجموعة Google Threat Intelligence Group (GTIG) ربطت سلسلة الهجمات هذه بمجموعة تُعرف باسم UNC6595.
كما يتم استخدام أدوات الأنفاق مفتوحة المصدر مثل IOX، و GO Simple Tunnel (GOST)، و Wstunnel، بالإضافة إلى RingQ لحزم الملفات الثنائية الخبيثة وتجنب الكشف. ولتسهيل تصعيد الامتيازات، وجدت حملة SHADOW-EARTH-053 أنها تستخدم Mimikatz، بينما يتم تحقيق الحركة الجانبية باستخدام مشغل بروتوكول سطح المكتب عن بعد (RDP) مخصص وتنفيذ C# لـ SMBExec يُعرف باسم Sharp-SMBExec.
وأشارت تريند مايكرو إلى أن “متجه الدخول الأساسي المستخدم في هذه الحملة كان عبر الثغرات الأمنية في تطبيقات IIS المواجهة للإنترنت. يجب على المنظمات إعطاء الأولوية لتطبيق أحدث التحديثات الأمنية والتصحيحات التراكمية لـ Microsoft Exchange وأي تطبيقات ويب مستضافة على IIS.”
تحذيرات وتوصيات أمنية
وشددت الشركة على أنه “في السيناريوهات التي لا يكون فيها الترقيع الفوري ممكنًا، نوصي بشدة بنشر أنظمة منع الاختراق (IPS) أو جدران حماية تطبيقات الويب (WAF) مع مجموعات قواعد مضبوطة خصيصًا لمنع محاولات الاستغلال لهذه الثغرات المعروفة (التصحيح الافتراضي).”
حملات تجسس أخرى تستهدف النشطاء والصحفيين
يأتي الكشف عن حملة SHADOW-EARTH-053 بالتزامن مع إعلان مختبر المواطن (Citizen Lab) عن حملة تصيد احتيالي جديدة شنها فاعلان منفصلان على صلة بالصين، استهدفا وانتحلا صفة صحفيين ومجتمع مدني، بما في ذلك نشطاء من الأويغور والتبت وتايوان وهونغ كونغ. تم اكتشاف الحملات واسعة النطاق لأول مرة في أبريل ويونيو 2025 على التوالي.
تم تسمية هذه المجموعات بـ GLITTER CARP، التي استهدفت بشكل خاص الاتحاد الدولي للصحفيين الاستقصائيين (ICIJ)، و SEQUIN CARP، التي كان هدفها الرئيسي صحفية ICIJ سكيلا أليتشي وصحفيين دوليين آخرين يكتبون عن مواضيع ذات أهمية بالغة للحكومة الصينية.
وأوضح مختبر المواطن أن “الجهة المهاجمة توظف مخططات انتحال هوية رقمية مدروسة جيدًا في رسائل البريد الإلكتروني للتصيد الاحتيالي، بما في ذلك انتحال شخصيات معروفة وتنبيهات أمان من شركات التكنولوجيا. على الرغم من اختلاف المجموعات المستهدفة، فإن هذا النشاط يستخدم نفس البنية التحتية والتكتيكات عبر جميع الحالات، وغالبًا ما يعيد استخدام نفس المجالات ونفس الأفراد المنتحلين عبر أهداف متعددة.”
تُربط GLITTER CARP، إلى جانب شن هجمات تصيد احتيالي واسعة النطاق، بحملات استهدفت قطاع أشباه الموصلات في تايوان. وقد تم توثيق بعض جوانب هذه الجهود سابقًا بواسطة Proofpoint في يوليو 2025 تحت اسم UNK_SparkyCarp. من ناحية أخرى، تشترك SEQUIN CARP في أوجه تشابه مع مجموعة تتعقبها Volexity باسم UTA0388 ومجموعة اختراق وصفتها تريند مايكرو باسم TAOTH.
الهدف النهائي لهذه الحملات هو الحصول على وصول أولي إلى حسابات البريد الإلكتروني عبر سرقة بيانات الاعتماد، أو صفحات التصيد الاحتيالي، أو من خلال الهندسة الاجتماعية للهدف لمنحه الوصول إلى رمز OAuth لطرف ثالث. تتضمن رسائل التصيد الاحتيالي من GLITTER CARP أيضًا استخدام بكسلات تتبع بحجم 1×1 تشير إلى رابط على نطاق المهاجم لجمع معلومات الجهاز وتأكيد ما إذا كانت قد تم فتحها بواسطة المستلمين.
وأشار مختبر المواطن إلى أنه “لاحظ استهدافًا متزامنًا لمنظمات معينة باستخدام كل من مجموعة أدوات التصيد الاحتيالي AiTM (GLITTER CARP، UNK_SparkyCarp) وتسليم HealthKick باستخدام تكتيكات تصيد احتيالي مختلفة من قبل مجموعة منفصلة (UNK_DropPitch). وهذا يشير إلى درجة معينة من التداخل بين هذه المجموعات، على الرغم من أن الطبيعة الدقيقة للعلاقة لا تزال غير معروفة.”
وخلصت وحدة الأبحاث إلى أن “تحليلنا لهجمات GLITTER CARP و SEQUIN CARP يظهر أن القمع الرقمي عبر الوطنية يعمل بشكل متزايد من خلال شبكة موزعة من الجهات الفاعلة. تتوافق الأهداف التي حددناها في كل من GLITTER CARP و SEQUIN CARP مع أولويات الاستخبارات للحكومة الصينية.”
واختتم التقرير بالقول: “إن اتساع نطاق الاستهداف الموثق في هذا التقرير ومن قبل آخرين، بالإضافة إلى المعلومات المتاحة حول استخدام الصين السابق والحالي للمقاولين، والذي يعكس النشاط الذي لاحظناه، يوحي بمستوى متوسط من الثقة بأن الكيانات التجارية التي استأجرتها الدولة الصينية قد تكون وراء كلتا المجموعتين من الأنشطة الموصوفة هنا.”