كشفت وحدة Unit 42 التابعة لشركة Palo Alto Networks عن نشاط متطور لمجموعة تهديد ناطقة بالصينية تُعرف باسم CL-STA-1062، حيث استخدمت بابًا خلفيًا جديدًا يحمل اسم TinyRCT في هجمات موجهة ضد كيانات حكومية ومؤسسات حيوية في جنوب شرق آسيا. هذه المجموعة تشترك في أنماط عمل مع مجموعة أخرى تدعى UAT-7237 التي رُصدت سابقًا في هجمات ضد البنية التحتية في تايوان.
خلفية عن المجموعة
منذ مارس 2022، نفذت المجموعة حملات متعددة ضد قطاعات استراتيجية في شرق آسيا، مع تركيز خاص على المؤسسات الحكومية وشركات الطاقة المملوكة للدولة. ويبدو أن الهدف الأساسي هو توسيع نطاق الوصول عبر التحرك الجانبي داخل الشبكات المستهدفة، وجمع بيانات حساسة من خوادم حكومية.
خصائص TinyRCT
الباب الخلفي الجديد TinyRCT، المعروف أيضًا يتميز بقدرات متقدمة تشمل:
- تنفيذ أوامر عشوائية.
- استعراض الملفات وسرقتها.
- التقاط صور الشاشة.
- رفع الملفات إلى خوادم المهاجم.
- حذف نفسه لإخفاء الأثر.
ويعمل TinyRCT عبر قناة اتصال مشفرة باستخدام AES-128-CBC مع خادم تحكم وسيطرة، ويرسل البيانات المسروقة عبر طلبات POST بينما يستقبل التعليمات عبر GET، مع فترة انتظار افتراضية تبلغ 10 ثوانٍ بين كل اتصال.
أساليب الاختراق
في إحدى الحملات التي رُصدت في سبتمبر 2025، تمكنت المجموعة من اختراق كيان حكومي في جنوب شرق آسيا وزرع web shell لاستخراج بيانات من خادم MS SQL. كما نفذت عمليات استطلاع شبكي ضد مؤسسة حكومية أخرى في نفس الدولة. طرق التوزيع تضمنت أرشيفًا خبيثًا باسم chrome_setup.zip يحتوي على ملف تنفيذي شرعي وملف إعداد، إضافة إلى مكتبة DLL خبيثة تستغل هجوم AppDomainManager injection لتحميل TinyRCT.
أدوات مساعدة
اعتمدت المجموعة على مزيج من الأدوات المفتوحة المصدر مثل:
- SoftEther VPN.
- Mimikatz.
- VNT وYuze (بروكسي SOCKS5).
غالبًا ما يتم تمويه هذه الأدوات على شكل ملفات مرتبطة بـ VMware أو وكلاء XDR
دلالات أمنية
تكشف هذه الحملة عن قدرة المهاجمين على تطوير أدوات مخصصة مثل TinyRCT إلى جانب استخدام أدوات مفتوحة المصدر، ما يعكس نهجًا عمليًا يجمع بين المرونة والتخصيص. استهداف البنية التحتية الحيوية في المنطقة يشير إلى أن نشاط CL-STA-1062 سيظل يمثل تهديدًا مستمرًا، خاصة مع قدرتهم على التكيف مع بيئات مختلفة وتوسيع نطاق عملياتهم.





























