سلّط باحثون في الأمن السيبراني الضوء على نشاط خبيث تقوده مجموعة تجسس إلكتروني مرتبطة بالصين تُعرف باسم Murky Panda، حيث تستغل العلاقات الموثوقة في بيئات الحوسبة السحابية لاختراق شبكات المؤسسات.
وذكرت شركة CrowdStrike في تقرير صدر الخميس أن هذه الجهة أظهرت قدرة ملحوظة على تسليح ثغرات N-day وZero-day بسرعة، وغالبًا ما تحقق الوصول الأولي عبر استغلال الأجهزة المكشوفة على الإنترنت. وتُعرف المجموعة أيضًا باسم Silk Typhoon (سابقًا Hafnium)، واشتهرت باستغلالها ثغرات Microsoft Exchange Server عام 2021. وقد استهدفت هجماتها كيانات حكومية وأكاديمية وقانونية وخدمية وتقنية في أمريكا الشمالية.
Murky Panda واستغلال الثقة في السحابة
أشارت مايكروسوفت في مارس الماضي إلى تحول تكتيكات المجموعة نحو استهداف سلسلة توريد تكنولوجيا المعلومات للحصول على وصول أولي. وتعتمد عملياتها بدرجة كبيرة على جمع المعلومات الاستخبارية.
وكغيرها من مجموعات القرصنة الصينية، استغلت Murky Panda أجهزة مكشوفة على الإنترنت، ويُعتقد أنها اخترقت أيضًا أجهزة SOHO داخل الدول المستهدفة لتستخدمها كعُقد خروج تُصعّب عملية الكشف. كما شملت مسارات العدوى استغلال ثغرات معروفة مثل Citrix NetScaler ADC وNetScaler Gateway (CVE-2023-3519) إلى جانب Commvault (CVE-2025-3928). ومن ثم تُستخدم هذه الثغرات لتثبيت أدوات مثل neo-reGeorg للحفاظ على الاستمرارية، وصولًا إلى نشر برمجية مخصصة تسمى CloudedHope، وهي أداة وصول عن بُعد مكتوبة بلغة Golang مع تقنيات لإخفاء الأنشطة ومسح آثارها.
الأمر الأبرز في تكتيكات المجموعة هو إساءة استغلال العلاقات الموثوقة بين المؤسسات وشركائها في بيئات SaaS السحابية، ما يمكّنها من التحرك أفقيًا نحو ضحايا جدد. ففي حادثة سُجلت أواخر 2024، تمكنت Murky Panda من اختراق مزود لشركة أمريكية، واستخدمت صلاحياته الإدارية على Entra ID لإضافة حساب خلفي مؤقت ومن ثم زرع أبواب خلفية إضافية مرتبطة بإدارة Active Directory والبريد الإلكتروني.
Genesis Panda وتوسع الهجمات السحابية
إلى جانب Murky Panda، برزت مجموعة صينية أخرى تُعرف باسم Genesis Panda، والتي أثبتت مهارتها في استغلال الخدمات السحابية. تنشط هذه المجموعة منذ يناير 2024، ونُسبت إليها عمليات واسعة النطاق استهدفت قطاعات المال والإعلام والاتصالات والتقنية في 11 دولة.
ورغم أن نشاطها يقتصر أحيانًا على استخراج بيانات محدودة، إلا أن محللين يعتقدون أنها قد تعمل كوسيط وصول أولي (IAB). وتعتمد هجماتها على استغلال طيف واسع من الثغرات المكشوفة على الويب، مع تركيز خاص على الأنظمة المستضافة في السحابة لاستخدام بيئة التحكم السحابي في التحرك الجانبي وضمان الاستمرارية.
وبحسب CrowdStrike، تقوم Genesis Panda باستعلامات متكررة لخدمة Instance Metadata Service (IMDS) للحصول على بيانات اعتماد بيئة السحابة، ما يتيح لها التنقل داخل الشبكة المستهدفة. كما يُعتقد أنها تستغل بيانات اعتماد مسروقة من الأجهزة الافتراضية للتعمق أكثر في الحسابات السحابية.
Glacial Panda وهجمات الاتصالات
في الوقت ذاته، شهد قطاع الاتصالات ارتفاعًا بنسبة 130% في أنشطة التجسس السيبراني التي ترعاها دول خلال العام الماضي، نظرًا لقيمة البيانات الاستخبارية التي يحويها. ومن أبرز المجموعات الفاعلة في هذا السياق Glacial Panda، التي تستهدف كيانات في دول عدة بينها أفغانستان، هونغ كونغ، الهند، اليابان، كينيا، ماليزيا، المكسيك، بنما، الفلبين، تايوان، تايلاند، والولايات المتحدة.
تركز هذه المجموعة على جمع سجلات المكالمات وبيانات الاتصالات الأخرى من أنظمة Linux شائعة الاستخدام في شركات الاتصالات، بما في ذلك الإصدارات القديمة التي ما زالت تدعم تقنيات تقليدية. وتعتمد سلاسل هجماتها على استغلال ثغرات معروفة أو كلمات مرور ضعيفة في الخوادم المكشوفة، مع استخدام ثغرات تصعيد صلاحيات مثل Dirty COW (CVE-2016-5195) وPwnKit (CVE-2021-4034).
كما تستعين المجموعة بتقنيات Living-off-the-Land، إضافة إلى نشر مكونات OpenSSH مُعدلة تُعرف باسم ShieldSlide، قادرة على جمع بيانات جلسات تسجيل الدخول وكلمات المرور، فضلاً عن توفير باب خلفي يتيح الوصول لأي حساب بما في ذلك حساب الجذر عند إدخال كلمة مرور مدمجة في الكود.
