كشفت تقارير أمنية عن أن مجموعة تهديد صينية تُعرف باسم UNC6384 تقف وراء سلسلة من الهجمات السيبرانية استهدفت دبلوماسيين في جنوب شرق آسيا وجهات أخرى حول العالم، في إطار مساعٍ لتعزيز المصالح الإستراتيجية لبكين.
وبحسب فريق Google Threat Intelligence Group (GTIG) فإن هذه الهجمات متعددة المراحل اعتمدت على هندسة اجتماعية متقدمة، وهجمات الرجل في الوسط (AitM)، إضافة إلى تقنيات تنفيذ غير مباشرة لتجاوز أنظمة الكشف.
ارتباط بـ Mustang Panda وأساليب متطورة
تشير التحليلات إلى أن UNC6384 تشترك في التكتيكات والأدوات مع مجموعة قرصنة صينية معروفة باسم Mustang Panda، التي تُعرف أيضاً بأسماء عديدة مثل Bronze President، Camaro Dragon، RedDelta وغيرها.
الحملة التي رُصدت في مارس 2025، تميزت باستخدام إعادة توجيه عبر بوابة مصيدة (Captive Portal Hijack) للاستيلاء على حركة مرور الإنترنت، ومن ثم تنزيل أداة تحميل رقمية موقعة تُعرف باسم STATICPLUGIN، والتي تفتح الطريق لنشر نسخة من برمجية PlugX (المعروفة أيضاً باسم Korplug أو SOGU) تحت اسم SOGU.SEC.
برمجية PlugX وخطورتها
تُعتبر PlugX من البرمجيات الخبيثة الخلفية (Backdoor) واسعة الاستخدام منذ عام 2008 من قبل مجموعات القرصنة الصينية. تدعم هذه البرمجية تنفيذ أوامر متعددة مثل سرقة الملفات، تسجيل ضغطات لوحة المفاتيح، تشغيل أوامر عن بُعد، وتنزيل أو رفع ملفات، كما يمكن توسيع وظائفها عبر مكونات إضافية.
عادة ما يتم نشر PlugX عبر تقنية DLL Side-loading، أو من خلال رسائل تصيّد تحتوي على مرفقات وروابط خبيثة، أو عبر وحدات USB وبرامج مُحمّلة من مصادر غير موثوقة. ويرى الباحثون أن برمجية ShadowPad تمثل الوريث الأحدث لـ PlugX.
آلية الاختراق وإيهام الضحايا
تستغل الحملة آلية التحقق من اتصال المتصفح بالإنترنت عبر بوابات Wi-Fi، حيث يقوم المهاجمون باعتراض الاتصال وتحويله إلى موقع مزيف تحت سيطرتهم. يتم بعد ذلك تنزيل STATICPLUGIN من موقع خبيث (mediareleaseupdates[.]com)، والذي يجلب بدوره حزمة MSI، ثم يقوم بتحميل ملف DLL باسم CANONSTAGER لتفعيل برمجية SOGU.SEC داخل الذاكرة.
ولإضفاء مزيد من المصداقية، يتم عرض التحديث المزيف على أنه إضافة لبرنامج Adobe، مع استخدام شهادات TLS صحيحة صادرة عن Let’s Encrypt، مما يخدع الضحايا للاعتقاد بأنه تحديث شرعي.
شهادات رقمية صحيحة لتعزيز الخداع
المثير للقلق أن أداة STATICPLUGIN وقّعت بشهادة رقمية صادرة عن شركة Chengdu Nuoxin Times Technology Co., Ltd بواسطة GlobalSign. وتشير تقارير Google إلى أن أكثر من عشرين عينة برمجيات خبيثة تم توقيعها بشهادات صادرة عن الشركة ذاتها منذ يناير 2023. ولا يزال غير معروف على وجه التحديد كيف حصلت هذه الجهات على تلك الشهادات الصالحة.
وبحسب الباحث باتريك ويتسل من GTIG، فإن هذه الحملة تُجسد بوضوح تطور القدرات التشغيلية لمجموعة UNC6384، كما تُبرز مدى تعقيد التهديدات المرتبطة بالصين والتي تجمع بين الهندسة الاجتماعية المتقدمة، هجمات AitM، واستخدام شهادات توقيع برمجيات صحيحة لإخفاء نشاطها.
