كشفت تقارير أمنية حديثة عن هجمات سيبرانية متطورة تستهدف منظمات غير ربحية في الولايات المتحدة، تتبع لمجموعة تهديدات مرتبطة بالصين، بهدف زرع أدوات للوصول طويل الأمد. تأتي هذه الهجمات ضمن نشاط أوسع يستهدف كيانات أمريكية ذات صلة بالقضايا السياسية.
ووفقاً لبيانات صادرة عن فريقي “سيمانتك” و”كربون بلاك” التابعتين لشركة برودكوم، فإن المنظمة المستهدفة “تنشط في محاولة التأثير على السياسة الحكومية الأمريكية بشأن القضايا الدولية”. وقد نجح المهاجمون في اختراق شبكة المنظمة لعدة أسابيع في أبريل 2025.
هجوم سيبراني متطور يستهدف منظمة أمريكية
بدأت أولى مؤشرات النشاط في 5 أبريل 2025، عندما تم رصد جهود مسح واسعة النطاق ضد خادم، مستغلين ثغرات معروفة تشمل CVE-2022-26134 (Atlassian) و CVE-2021-44228 (Apache Log4j) و CVE-2017-9805 (Apache Struts) و CVE-2017-17562 (GoAhead Web Server).
وأوضح كل من “سيمانتك” و”كربون بلاك” لـ “ذا هاكر نيوز” أنه لا توجد دلائل على نجاح جهود استغلال هذه الثغرات. ويُعتقد أن المهاجمين توصلوا إلى الوصول الأولي عبر هجمات القوة الغاشمة أو هجمات حشو بيانات الاعتماد.
لم تُسجَّل أي إجراءات أخرى حتى 16 أبريل، حين نفذ المهاجمون أوامر “curl” لاختبار الاتصال بالإنترنت. تلا ذلك استخدام أداة سطر الأوامر “netstat” في ويندوز لجمع معلومات تكوين الشبكة. ثم تم إنشاء مهمة مجدولة لضمان استمرارية التواجد على النظام.
كانت المهمة المجدولة مصممة لتنفيذ ملف “msbuild.exe” الشرعي من مايكروسوفت لتشغيل حمولة غير معروفة، بالإضافة إلى إنشاء مهمة مجدولة أخرى تعمل كل 60 دقيقة كمستخدم “SYSTEM” ذي صلاحيات عالية.
ووفقاً لـ “سيمانتك” و”كربون بلاك”، كانت هذه المهمة الجديدة قادرة على تحميل وحقن شفرة غير معروفة في ملف “csc.exe”، مما أتاح في النهاية التواصل مع خادم قيادة وتحكم (C2) برقم IP “38.180.83[.]166”. بعد ذلك، لوحظ قيام المهاجمين بتنفيذ “loader” مخصص لفك وتشفير وتشغيل حمولة غير محددة، يُرجح أنها حصان طروادة وصول عن بعد (RAT) في الذاكرة.
كما لوحظ استخدام مكون Symantec AV الشرعي (“vetysafe.exe”) لتحميل DLL مخصص (“sbamres.dll”) عن طريق التحميل الجانبي. ويُشار إلى أن هذا المكون قد استُخدم سابقاً في هجمات مرتبطة بـ Deed RAT (المعروفة أيضاً باسم Snappybee) والتي نُسبت إلى مجموعة Salt Typhoon، وكذلك في هجمات نسبت إلى Earth Longzhi، وهي مجموعة فرعية من APT41.
“نسخة من هذا DLL الخبيث استُخدمت سابقاً في هجمات مرتبطة بمجموعات تهديدات صينية تُعرف باسم Space Pirates،” حسبما ذكرت برودكوم. “متغير من هذا المكون، يحمل اسم ملف مختلف، استُخدم أيضاً من قبل مجموعة APT الصينية Kelp (المعروفة أيضاً باسم Salt Typhoon) في حادثة منفصلة.”
تضمنت الأدوات الأخرى التي لوحظ استخدامها في الشبكة المستهدفة Dcsync و Imjpuexc. ومن غير الواضح مدى نجاح المهاجمين في مساعيهم. ولم تسجل أي نشاط إضافي بعد 16 أبريل 2025.
“من الواضح من خلال النشاط الذي استهدف الضحية أن المهاجمين كانوا يهدفون إلى تأسيس وجود مستمر ومتخفٍ في الشبكة، وكانوا مهتمين جداً باستهداف وحدات التحكم بالمجال (Domain Controllers)، مما قد يسمح لهم بالانتشار إلى العديد من الأجهزة في الشبكة،” أكدت “سيمانتك” و”كربون بلاك”.
“تشارك الأدوات بين المجموعات كان اتجاهاً راسخاً بين جهات التهديد الصينية، مما يجعل من الصعب تحديد أي مجموعة بعينها تقف وراء مجموعة من الأنشطة.”
يأتي هذا الكشف في الوقت الذي كشف فيه باحث أمني يُعرف بـ BartBlaze عن استغلال Salt Typhoon لثغرة أمنية في WinRAR (CVE-2025-8088) لبدء سلسلة هجوم تقوم بتحميل DLL مسؤول عن تنفيذ شفرة shellcode على الجهاز المخترق. وتهدف الحمولة النهائية إلى إنشاء اتصال بخادم بعيد (“mimosa.gleeze[.]com”).
أنشطة لمجموعات قرصنة صينية أخرى
وفقاً لتقرير صادر عن ESET، استمرت المجموعات المتحالفة مع الصين في نشاطها، مستهدفة كيانات في آسيا وأوروبا وأمريكا اللاتينية والولايات المتحدة لدعم الأولويات الجيوسياسية لبكين. وتشمل بعض الحملات البارزة:
- استهداف قطاع الطاقة في آسيا الوسطى من قبل جهة تهديد تُعرف بـ Speccom (المعروفة أيضاً بـ IndigoZebra أو SMAC) في يوليو 2025 عبر رسائل بريد إلكتروني تصيدية لنشر نسخة من BLOODALCHEMY وأبواب خلفية مخصصة مثل kidsRAT و RustVoralix.
- استهداف منظمات أوروبية من قبل جهة تهديد تُعرف بـ DigitalRecyclers في يوليو 2025، باستخدام تقنية استمرارية غير عادية تضمنت استخدام أداة الوصول المساعد Magnifier للحصول على صلاحيات SYSTEM.
- استهداف كيانات حكومية في أمريكا اللاتينية (الأرجنتين والإكوادور وغواتيمالا وهندوراس وبنما) بين يونيو وسبتمبر 2025 من قبل جهة تهديد تُعرف بـ FamousSparrow، والتي من المحتمل أنها استغلت ثغرات ProxyLogon في Microsoft Exchange Server لنشر SparrowDoor.
- استهداف شركة تايوانية في قطاع الطيران الدفاعي، ومنظمة تجارية أمريكية مقرها في الصين، ومكاتب في الصين تابعة لكيان حكومي يوناني، وجهة حكومية إكوادورية بين مايو وسبتمبر 2025 من قبل جهة تهديد تُعرف بـ SinisterEye (المعروفة أيضاً بـ LuoYu و Cascade Panda) لنشر برمجيات خبيثة مثل WinDealer (لـ Windows) و SpyDealer (لـ Android) باستخدام هجمات “Adversary-in-the-Middle” (AitM) لسرقة آليات تحديث البرامج الشرعية.
- استهداف شركة يابانية ومؤسسة متعددة الجنسيات، في كمبوديا، في يونيو 2025 من قبل جهة تهديد تُعرف بـ PlushDaemon عبر تسميم DNS (AitM) لنشر SlowStepper.
“يحقق PlushDaemon وضع AitM عن طريق اختراق أجهزة الشبكة مثل أجهزة التوجيه، ونشر أداة أطلقنا عليها اسم EdgeStepper، والتي تعيد توجيه حركة مرور DNS من الشبكة المستهدفة إلى خادم DNS بعيد يتحكم فيه المهاجم،” حسبما ذكرت ESET.
“هذا الخادم يستجيب للاستعلامات الخاصة بالنطاقات المرتبطة بالبنية التحتية لتحديث البرامج بعنوان IP لخادم الويب الذي يقوم بسرقة التحديثات، ويقدم في النهاية الباب الخلفي الرئيسي لـ PlushDaemon، وهو SlowStepper.”
مجموعات قرصنة صينية تستهدف خوادم IIS غير المهيأة بشكل صحيح
في الأشهر الأخيرة، اكتشف باحثو التهديدات أيضاً جهة تهديد تتحدث الصينية تستهدف خوادم IIS غير المهيأة بشكل صحيح، باستخدام مفاتيح تشفير (machine keys) متاحة علناً لتثبيت باب خلفي يسمى TOLLBOOTH (المعروف أيضاً باسم HijackServer)، والذي يأتي بقدرات تحسين محركات البحث (SEO) وقدرات الويب شل (web shell).
“تستغل REF3927 مفاتيح تشفير ASP.NET المنشورة علناً لاختراق خوادم IIS ونشر وحدات TOLLBOOTH لتحسين محركات البحث (SEO) عالمياً،” قال باحثو Elastic Security Labs في تقرير نشر أواخر الشهر الماضي. ووفقاً لـ HarfangLab، فقد أصابت العملية مئات الخوادم حول العالم، مع تركيز العدوى في الهند والولايات المتحدة.
تتميز الهجمات أيضاً بمحاولات لتسليح الوصول الأولي لإنزال Godzilla web shell، وتنفيذ أداة الوصول عن بعد GotoHTTP، واستخدام Mimikatz لسرقة بيانات الاعتماد، ونشر HIDDENDRIVER، وهو نسخة معدلة من الجذر المفتوح المصدر Hidden، لإخفاء وجود الحمولات الخبيثة على الجهاز المصاب.
تجدر الإشارة إلى أن هذه الجماعة هي أحدث إضافة إلى قائمة طويلة من الجهات التهديدية الصينية، مثل GhostRedirector و Operation Rewrite و UAT-8099، التي استهدفت خوادم IIS، مما يشير إلى زيادة في هذا النوع من النشاط.
“بينما يبدو أن المشغلين الخبيثين يستخدمون الصينية كلغتهم الرئيسية ويستغلون الاختراقات لدعم تحسين محركات البحث (SEO)، لاحظنا أن الوحدة المنشورة توفر قناة مستمرة وغير مصادق عليها تسمح لأي طرف بتنفيذ الأوامر عن بعد على الخوادم المتأثرة،” قالت شركة الأمن السيبراني الفرنسية.