كشفت تقارير أمنية حديثة عن نشاط متزايد لمجموعة تهديد سيبراني مرتبطة بالصين، تم تحديدها بالاسم الرمزي “UTA0388”. تشن هذه المجموعة حملات تصيد استهدافي متطورة تستهدف جهات في أمريكا الشمالية وآسيا وأوروبا، بهدف نشر برمجية خبيثة تعرف باسم “GOVERSHELL”.
تم رصد الحملات الأولية وهي مصممة خصيصاً لتناسب أهدافها، حيث تضمنت رسائل تبدو وكأنها مرسلة من باحثين أو محللين رفيعي المستوى في مؤسسات مرموقة، ولكنها في الواقع وهمية. يهدف المساعي الرئيسية لهذه الحملات إلى خداع المستهدفين للنقر على روابط تؤدي إلى أرشيفات ضارة مستضافة عن بعد.
حملات تصيد استهدافي مدعومة بالذكاء الاصطناعي
منذ ذلك الحين، استغل الجهات الفاعلة وراء هذه الهجمات زخارف وهويات زائفة ومتنوعة، تمتد عبر لغات متعددة، بما في ذلك الإنجليزية والصينية واليابانية والفرنسية والألمانية. هذا التنوع يعكس مدى احترافية المجموعة وقدرتها على تكييف تكتيكاتها.
تمت ملاحظة النسخ الأولية للحملات وهي تتضمن روابط لمحتوى تصيدي مستضاف إما على خدمات سحابية أو على البنية التحتية الخاصة بهم، مما أدى في بعض الحالات إلى نشر برمجيات خبيثة. ومع ذلك، فقد وصفت الموجات اللاحقة بأنها “مصممة للغاية”، حيث يلجأ المهاجمون إلى بناء الثقة مع المستلمين بمرور الوقت قبل إرسال الرابط، وهي تقنية تعرف باسم “التصيد الاحتيالي لبناء العلاقات”.
تطور البرمجيات الخبيثة
بغض النظر عن النهج المستخدم، فإن الروابط تؤدي إلى أرشيف ZIP أو RAR يتضمن حمولة DLL خبيثة يتم تشغيلها باستخدام آلية تحميل DLL جانبية. هذه الحمولة هي برنامج باب خلفي قيد التطوير النشط يعرف باسم “GOVERSHELL”. يجدر بالذكر أن هذا النشاط يتداخل مع مجموعة تتعقبها شركة Proofpoint تحت اسم UNK_DropPitch، وتصف Volexity “GOVERSHELL” بأنه خليفة لعائلة برمجيات خبيثة مكتوبة بلغة C++ تعرف باسم “HealthKick”.
أصناف “GOVERSHELL”
تم تحديد خمسة أصناف مميزة لـ “GOVERSHELL” حتى الآن:
- HealthKick: (لوحظ لأول مرة في أبريل 2025) مجهز لتشغيل الأوامر باستخدام cmd.exe.
- TE32: (لوحظ لأول مرة في يونيو 2025) مجهز لتنفيذ الأوامر مباشرة عبر shell عكسي لـ PowerShell.
- TE64: (لوحظ لأول مرة في أوائل يوليو 2025) مجهز لتشغيل أوامر أصلية وديناميكية باستخدام PowerShell للحصول على معلومات النظام، ووقت النظام الحالي، وتشغيل الأوامر عبر powershell.exe، والاستعلام عن خادم خارجي للحصول على تعليمات جديدة.
- WebSocket: (لوحظ لأول مرة في منتصف يوليو 2025) مجهز لتشغيل أمر PowerShell عبر powershell.exe وأمر فرعي “update” غير منفذ كجزء من أمر النظام.
- Beacon: (لوحظ لأول مرة في سبتمبر 2025) مجهز لتشغيل أوامر أصلية وديناميكية باستخدام PowerShell لتعيين فترة استعلام أساسية، أو جعلها عشوائية، أو تنفيذ أمر PowerShell عبر powershell.exe.
استغلال الخدمات الشرعية واستخدام أدوات الذكاء الاصطناعي
تشمل بعض الخدمات الشرعية التي تم استغلالها لتخزين الملفات المؤرشفة خدمات مثل Netlify و Sync و OneDrive. في المقابل، تم تحديد رسائل البريد الإلكتروني على أنها مرسلة من Proton Mail و Microsoft Outlook و Gmail.
من الجدير بالذكر استخدام UTA0388 لـ OpenAI ChatGPT لتوليد محتوى لحملات التصيد الاحتيالي باللغات الإنجليزية والصينية واليابانية، والمساعدة في سير العمل الضار، والبحث عن معلومات متعلقة بتثبيت أدوات مفتوحة المصدر مثل nuclei و fscan. تم حظر حسابات ChatGPT التي استخدمها الجهات الفاعلة. يشير استخدام نموذج لغوي كبير (LLM) لتعزيز عملياته إلى الأكاذيب السائدة في رسائل البريد الإلكتروني التصيدية، بدءًا من الشخصيات المستخدمة لإرسال الرسالة وصولًا إلى الافتقار العام للاتساق في محتوى الرسالة.
يُذكر أن ملفات تعريف أهداف الحملة متسقة مع جهة تهديد مهتمة بالقضايا الجيوسياسية الآسيوية، مع تركيز خاص على تايوان. تشير رسائل البريد الإلكتروني والملفات المستخدمة في هذه الحملة إلى أن UTA0388 لجأت إلى الأتمتة، سواء كانت LLM أو غيرها، والتي قامت بتوليد وإرسال هذا المحتوى إلى الأهداف مع القليل أو بدون أي إشراف بشري في بعض الحالات.
سياق التهديدات السيبرانية
يأتي هذا الكشف في الوقت الذي أعلنت فيه StrikeReady Labs أن حملة تجسس سيبراني يشتبه في ارتباطها بالصين استهدفت إدارة حكومية صربية معنية بالطيران، بالإضافة إلى مؤسسات أوروبية أخرى في المجر وبلجيكا وإيطاليا وهولندا. تتضمن الحملة، التي لوحظت في أواخر سبتمبر، إرسال رسائل بريد إلكتروني احتيالية تحتوي على رابط، عند النقر عليه، يوجه الضحية إلى صفحة تحقق زائفة من Cloudflare CAPTCHA تؤدي إلى تنزيل أرشيف ZIP، يحتوي بداخله على ملف اختصار لـ Windows (LNK) يقوم بتنفيذ PowerShell المسؤول عن فتح مستند وهمي وتشغيل PlugX بشكل خفي باستخدام تحميل DLL جانبي.