كشفت حملة هجمات سيبرانية متطورة، يُرجح ارتباطها بمجموعة التهديدات المعروفة باسم “تروبيك تروبر” (Tropic Trooper)، عن أساليب مبتكرة تستهدف إمكانية الوصول عن بعد. تم اكتشاف هذه الحملة مؤخراً، حيث استخدم المهاجمون ملفات تعريفية بأسلوب عسكري لجذب ضحايا يتحدثون اللغة الصينية في تايوان، بالإضافة إلى استهداف أفراد في كوريا الجنوبية واليابان.
بدأت هذه الحملة في 12 مارس 2026، عندما لاحظ الباحثون ملف ZIP خبيث أطلق سلسلة هجمات متعددة المراحل تهدف إلى تحقيق وصول عن بعد مستمر إلى الأنظمة المخترقة. ما يميز هذه الحملة هو تحولها نحو أدوات هجومية حديثة مفتوحة المصدر، بالإضافة إلى الاستغلال الإبداعي للبنية التحتية للمطورين، والتي غالباً ما يعتبرها معظم الناس غير مريبة.
حملة تروبيك تروبر تربط بين أدوات عسكرية وقدرات تطوير برمجيات
تتركز هذه الحملة حول نسخة مصابة من قارئ الملفات SumatraPDF مفتوح المصدر، تم إخفاؤها تحت اسم ملف “تحليل مقارن للتعاون البحري النووي بين الولايات المتحدة والمملكة المتحدة والولايات المتحدة وأستراليا (2025).exe”. عندما يقوم الضحية بتشغيل هذا الملف، يقوم برنامج التحميل (loader) بتنزيل وعرض ملف PDF مقنع ببراعة، يعرض محتوى يبدو شرعياً حول الغواصات الأمريكية وشراكة AUKUS الأمنية، بينما يقوم في نفس الوقت بتنزيل وتنفيذ عميل AdaptixC2 Beacon في الخلفية. يرى الضحية وثيقة عادية، ولكن خلف الكواليس، يتم اختراق نظامه بالفعل.
قام باحثون من Zscaler ThreatLabz بتحليل الحملة بالكامل، ورجحوا بدرجة عالية ارتباطها بمجموعة Tropic Trooper، وهي مجموعة تهديدات تُعرف أيضاً باسم Earth Centaur و Pirate Panda. أشاروا إلى أن المجموعة استخدمت برنامج تحميل يشبه إلى حد كبير برنامج TOSHIS loader، الذي تم ربطه سابقاً بمجموعة Tropic Trooper في حملة سابقة معروفة باسم TAOTH.
تم العثور على خادم التوزيع المستخدم في هذه الهجوم وهو يستضيف أدوات Tropic Trooper معروفة أخرى، بما في ذلك CobaltStrike Beacon مع علامة مائية خاصة بالمجموعة “520”، وباب خلفي (backdoor) من نوع EntryShell. هذه الأدلة تعزز بشكل كبير من إمكانية تحديد الجهة المسؤولة.
تعكس تكتيكات المجموعة تطوراً واضحاً في مجموعة أدواتها. فبدلاً من الاعتماد على الأبواب الخلفية المستخدمة سابقاً مثل CobaltStrike Beacon أو وكلاء Merlin Mythic، تحولت Tropic Trooper الآن إلى استخدام إطار عمل AdaptixC2 مفتوح المصدر، مع عميل استماع مخصص مبني فوقه. هذا التحول نحو أدوات هجومية متاحة للجمهور يجعل عملية تحديد الهوية في الهجمات أصعب، ويقلل من حاجز إعادة الاستخدام عبر عمليات مختلفة، وهو اتجاه شائع بشكل متزايد بين مجموعات التهديدات المستمرة المتقدمة (APT) التي تعمل في منطقة آسيا والمحيط الهادئ.
استغلال أنفاق VS Code للوصول عن بعد
ربما العنصر الأكثر بروزاً في هذه الحملة هو كيفية استخدام الجهة المهاجمة لأنفاق Visual Studio (VS) Code للوصول عن بعد بمجرد تحديد هدف “مثير للاهتمام” بعد الاختراق الأولي. تضمنت الأوامر التي لاحظها Zscaler ThreatLabz إنشاء مهمة مجدولة (scheduled task) لضمان الاستمرارية (persistence)، واستطلاع الشبكة باستخدام أدوات مثل arp و net view، والاستخدام المباشر لميزة أنفاق VS Code للوصول التفاعلي إلى أجهزة الضحايا. هذا الاستغلال لأداة تطوير شرعية يجعل الكشف عنها صعباً بشكل كبير، حيث يتم التعامل مع حركة مرور VS Code بثقة عالية من قبل أدوات الأمان المؤسسية وأنظمة مراقبة الشبكات.
كيف يستخدم عميل AdaptixC2 GitHub كمنصة للقيادة والتحكم
يُعد الجانب الأكثر ابتكاراً من الناحية التقنية في هذه الحملة هو كيفية تصميم عميل الاستماع المخصص AdaptixC2 لـ Tropic Trooper لاستخدام GitHub كمنصة للقيادة والتحكم (C2). فبدلاً من التواصل مباشرة مع خادم يتحكم فيه المهاجمون بشكل تقليدي، يتفاعل العميل مع مستودع GitHub، حيث يقرأ مهام القيادة من “GitHub Issues” ويرفع النتائج مرة أخرى إلى نفس المستودع كمحتوى ملف. تعمل دورة القيادة والتحكم بأكملها من خلال مستودع تم إنشاؤه تحت حساب GitHub وهمي، مما يجعل تمييز حركة المرور الضارة عن نشاط المطورين العادي شبه مستحيل لمدافعي الشبكات.
يبدأ العميل بالبحث عن عنوان IP الخارجي الخاص به من خدمة ipinfo.io، نظراً لأن الاتصال عبر GitHub لا يكشف هذه المعلومات لخادم المهاجم. ثم يرسل إشارة أولية عبر طلب POST إلى “GitHub Issue” رقم 1، مشفرة باستخدام مفتاح جلسة RC4 تم إنشاؤه من بذرة عشوائية، وذلك للمساعدة في تأسيس الجلسة.
يتحقق العميل من المهام المعلقة عن طريق الاستعلام عن المشكلات المفتوحة في المستودع، ويعالج الأوامر بناءً على أنماط عناوين المشكلات مثل “upload” أو “fileupload”، ويرسل الردود المشفرة مرة أخرى كملفات مشفرة بـ Base64 يتم تحميلها إلى المستودع. جميع حركة مرور القيادة والتحكم مشفرة باستخدام RC4، ولتغطية آثارهم بشكل أكبر، لاحظ الباحثون أنه تم حذف “إشارات” Beacon التي تم تحميلها إلى GitHub في غضون 10 ثوانٍ من نشرها، مما يؤدي إلى تدمير مفاتيح الجلسة ويجعل عملية فك التشفير من قبل أي مراقب شبه مستحيلة.
يمكن للمؤسسات اتخاذ الخطوات التالية لتقليل تعرضها لهذا النوع من الهجمات:
منع أو مراقبة حركة المرور إلى نقاط نهاية GitHub API غير المتوقعة من نقاط نهاية غير خاصة بالمطورين، خاصة الطلبات إلى مستودعات تم إنشاؤها بواسطة مستخدمين.
تطبيق سياسات صارمة للسماح بتشغيل البرامج (application allowlisting) لمنع تنفيذ الملفات التنفيذية المصابة التي تقلد البرامج الشرعية مثل SumatraPDF.
مراقبة إنشاء المهام المجدولة غير العادية باستخدام أسماء تقلد خدمات النظام، مثل “MSDNSvc” أو “MicrosoftUDN”.
تقييد أو مراجعة استخدام أنفاق VS Code في البيئات المؤسسية، حيث يمكن استخدام هذه الميزة للوصول عن بعد غير المصرح به.
البحث عن استخدام ipinfo.io وخدمات مماثلة لاستطلاع عناوين IP من الأنظمة الداخلية، والتي يمكن أن تشير إلى سلوك إرسال إشارات (beaconing).
تطبيق ضوابط على بوابات البريد الإلكتروني والملفات لكشف ملفات ZIP الضارة التي تحتوي على ملفات تنفيذية مخفية على أنها مستندات.