كشفت مجموعة Google Threat Intelligence Group عن حملة تجسس إلكتروني معقدة تقودها مجموعة APT24، المعروفة أيضاً باسم “Pitty Tiger”، وهي مجموعة تهديدات متقدمة يُعتقد أنها مرتبطة بالحكومة الصينية. بدأت هذه الحملة منذ نوفمبر 2022 واستمرت لما يقارب ثلاث سنوات، مستهدفة مؤسسات في تايوان عبر نشر برمجية خبيثة جديدة تُدعى BADAUDIO.
تُعد APT24 من أبرز المجموعات السيبرانية التي تنشط منذ عام 2008، وسبق أن استهدفت قطاعات حكومية وصحية وهندسية واتصالات في الولايات المتحدة وتايوان. وتُعرف باستخدامها لبرمجيات خبيثة مثل CT RAT وMM RAT وGh0st RAT وTaidoor، بهدف سرقة الملكية الفكرية والمعلومات الحساسة.
برمجية BADAUDIO: سلاح جديد في ترسانة APT24
البرمجية الخبيثة BADAUDIO مكتوبة بلغة C++ وتتميز بتقنيات تمويه متقدمة مثل “تسطيح تدفق التحكم” (Control Flow Flattening) لتفادي التحليل العكسي. تعمل كأداة تحميل أولية (First-stage Downloader) تقوم بجمع معلومات النظام وإرسالها إلى خادم تحكم وسيطرة (C2) مشفر، والذي يرد بحزمة خبيثة مشفرة باستخدام AES، غالباً ما تكون Beacon من Cobalt Strike.
تُنفذ BADAUDIO عبر مكتبات DLL خبيثة باستخدام تقنية “اختطاف ترتيب البحث عن DLL” (DLL Search Order Hijacking)، وتُوزع داخل أرشيفات مشفرة تحتوي على ملفات VBS وBAT وLNK، مما يعزز من تعقيد سلسلة التنفيذ ويصعب اكتشافها.
هجمات سلاسل التوريد والتصيد المستهدف
اعتمدت APT24 في البداية على اختراق مواقع إلكترونية شرعية عبر إدخال شيفرات JavaScript خبيثة، مستهدفة مستخدمي أنظمة Windows فقط، حيث يتم استبعاد مستخدمي macOS وiOS وAndroid. ومنذ يوليو 2024، اخترقت المجموعة شركة تسويق رقمي إقليمية في تايوان، واستغلت مكتبة JavaScript شهيرة توزعها الشركة لتنفيذ هجوم سلسلة توريد، مما أدى إلى اختراق أكثر من 1000 نطاق إلكتروني.
في أغسطس 2025، رفعت المجموعة مؤقتاً القيود التي كانت تحصر الهجوم على نطاقات محددة، مما سمح بانتشار البرمجية عبر جميع النطاقات المستهدفة خلال عشرة أيام، قبل إعادة فرض القيود.
الهندسة الاجتماعية والتقنيات السحابية في خدمة التجسس
لم تقتصر الحملة على الهجمات التقنية، بل استخدمت APT24 أيضاً حملات تصيد موجهة منذ أغسطس 2024، مستغلة مواضيع إنسانية مثل إنقاذ الحيوانات لجذب الضحايا. تضمنت الرسائل مرفقات مشفرة مستضافة على Google Drive وOneDrive، مزودة ببكسلات تتبع لرصد فتح الرسائل وتخصيص الهجمات لاحقاً.
أشارت Google إلى أن استخدام تقنيات متقدمة مثل اختراق سلاسل التوريد، والهندسة الاجتماعية متعددة الطبقات، واستغلال خدمات سحابية شرعية، يعكس قدرة APT24 على تنفيذ عمليات تجسس مستمرة ومتطورة يصعب اكتشافها.
