كشفت تقارير أمنية حديثة عن حملة تجسس إلكترونية متقدمة تستهدف حكومات ومؤسسات إعلامية في دول جنوب شرق آسيا، مستخدمة تقنيات متطورة لتجاوز الدفاعات السيبرانية. وتركز الهجمات، التي تم رصدها منذ بداية عام 2025، على دول مثل لاوس، وكمبوديا، وسنغافورة، والفلبين، وإندونيسيا.
تعتمد هذه الحملة على تكتيكات التهديد المستمر المتقدم (APT) لإلحاق الضرر بالبنية التحتية الحيوية وقطاعات المعلومات. ويُعتقد أن المجموعة المسؤولة عنها، والتي يطلق عليها اسم Nexus APT، تسعى لجمع معلومات استخباراتية حساسة تؤثر على السياسات والتوجهات الاستراتيجية للدول المستهدفة.
حملات Nexus APT تستهدف القطاعات الحكومية والإعلامية
تشير التحليلات الأمنية إلى أن حملات Nexus APT تستهدف بشكل خاص الجهات التي تلعب دوراً محورياً في تشكيل الرأي العام وصنع القرارات السياسية. وتُعد المؤسسات الحكومية ووسائل الإعلام أهدافاً ذات قيمة عالية نظراً لقدرتها على التأثير في مجريات الأحداث الداخلية والإقليمية.
وبحسب الباحثين في شركة CyberArmor، فإن الهجمات تبدأ عادةً برسائل بريد إلكتروني تصيدية (Spear-phishing) تحتوي على أرشيف ضار بصيغة RAR. ويتم استغلال ثغرة أمنية في برنامج WinRAR، وتحديداً CVE-2025-8088، لإتاحة الوصول غير المصرح به للنظام.
آلية الهجوم متعدد المراحل
تعمل الحملة عبر سلسلة من أربع مراحل متتالية، صممت كل منها لضمان البقاء داخل النظام المستهدف والتخفي عن أنظمة الكشف عن البرمجيات الخبيثة. فبعد استغلال الثغرة الأولية، يتم تثبيت نص برمجي خبيث في مجلد بدء التشغيل الخاص بالمستخدم، وذلك بالاستفادة من تقنية مسارات البيانات البديلة (Alternative Data Stream).
تتضمن المرحلة الثانية استغلال برنامج OBS browser، والذي يعتبر جزءاً من برمجيات مفتوحة المصدر. يتم تحميل مكتبة DLL معدلة (libcef.dll) بشكل تلقائي، والتي تنفذ تعليمات برمجية خبيثة بينما تبدو كعملية طبيعية للبرنامج. ويتم التواصل مع المهاجمين عبر Telegram باستخدام مفتاح تشفير خاص.
وفي المرحلة الثالثة، تستمر المجموعة في استخدام تقنية DLL sideloading، مستغلة هذه المرة برنامج Adobe Creative Cloud Helper. يقوم البرنامج الشرعي بتحميل مكتبة DLL خبيثة (CRClient.dll)، والتي تقوم بفك تشفير وتنفيذ برنامج التجسس النهائي الذي يتم تخزينه كملف “Update.lib”.
البرنامج الضار الخلفي (Backdoor) وقنوات التحكم
يستخدم البرنامج الضار الخلفي تقنيات تشفير بسيطة قائمة على XOR (Exclusive OR) لفئات بيانات معينة، ما يدل على أن التعقيد ليس دائماً الميزة الأساسية لهذه الهجمات. كما أن البرنامج يدعم ثماني أوامر مختلفة، تشمل تنفيذ الأوامر، وتحميل ملفات DLL، وتنفيذ Shellcode، والتلاعب بالملفات، ووظيفة إنهاء العمليات.
وتتواصل عصبة Nexus APT مع خوادم القيادة والتحكم (C2) عبر بروتوكول HTTPS، حيث تستخدم عناوين مثل public.megadatacloud[.]com وعنوان IP محدد. وتبقى حركة مرور البيانات مشفرة باستخدام عمليات XOR، مما يجعل اكتشافها صعباً على أنظمة المراقبة الأمنية التقليدية.
تُعد هذه الحملة مثالاً واضحاً على الاستهداف المنهجي للمؤسسات الحيوية. وضرورة تعزيز الوعي السيبراني وتحديث بروتوكولات الأمان لمواجهة التهديدات المتطورة باستمرار.