كشفت شركة Palo Alto Networks Unit 42 عن حملة تجسس سيبراني يُعتقد أنها مدعومة من الصين، تستهدف منذ عام 2020 مؤسسات عسكرية في جنوب شرق آسيا، في إطار عملية طويلة الأمد تحمل اسم CL-STA-1087. الباحثان الأمنيان ليوور روشبرغر ويوآف زيمح أوضحا أن النشاط أظهر “صبرًا استراتيجيًا في العمليات وتركيزًا على جمع معلومات استخباراتية دقيقة للغاية، بدلاً من سرقة بيانات بالجملة”.
أدوات التجسس: AppleChris وMemFun وGetpass
اعتمد المهاجمون على مجموعة أدوات متقدمة أبرزها باب خلفي باسم AppleChris، وآخر باسم MemFun، إضافة إلى أداة لجمع بيانات الاعتماد تدعى Getpass.
تم رصد الحملة بعد اكتشاف تنفيذ مشبوه لأوامر PowerShell، حيث يدخل البرنامج في حالة سبات لست ساعات قبل إنشاء قنوات اتصال عكسية مع خوادم تحكم وسيطرة (C2) يديرها المهاجمون.
البرمجيات الخبيثة صُممت لتجاوز أنظمة الكشف التقليدية، مع قدرة على التحرك الجانبي داخل الشبكات العسكرية، والبحث عن ملفات حساسة تتعلق بالهياكل التنظيمية العسكرية، والقدرات العملياتية، والأنشطة المشتركة مع القوات الغربية.
خصائص AppleChris وتطوراته
يتم إطلاق AppleChris عبر تقنية DLL hijacking، ليبدأ الاتصال بخادم C2 وتنفيذ أوامر مثل استعراض الملفات، رفع وتنزيل البيانات، حذفها، تنفيذ أوامر عن بُعد، وإنشاء عمليات صامتة.
النسخة الثانية من AppleChris تمثل تطورًا ملحوظًا، حيث تعتمد فقط على Pastebin للحصول على عنوان C2، وتضيف قدرات متقدمة في إدارة الشبكات عبر بروكسيات مدمجة.
اللافت أن AppleChris يستخدم حسابًا مشتركًا على Pastebin كـ “صندوق إسقاط” للحصول على عناوين C2 مشفرة بـ Base64، بينما تعتمد نسخة أخرى على Dropbox كخيار أساسي مع Pastebin كخطة بديلة.
MemFun: منصة برمجية متعددة المراحل
يُعتبر MemFun أكثر تطورًا من AppleChris، إذ يعمل كسلسلة متعددة المراحل تبدأ بمُحمّل أولي يحقن شيفرة برمجية لإطلاق مُنزّل يعمل في الذاكرة، مهمته جلب إعدادات C2 من Pastebin، ثم تحميل DLL من الخادم لتشغيل الباب الخلفي.
هذا التصميم يمنح المهاجمين مرونة كبيرة في نشر حمولة جديدة دون الحاجة لتغيير البنية الأساسية، ما يحول MemFun إلى منصة برمجية معيارية وليست مجرد باب خلفي ثابت.
كما يستخدم MemFun تقنيات process hollowing عبر حقن الحمولة في عملية “dllhost.exe” المعلقة، ليعمل تحت غطاء عملية ويندوز شرعية ويخفي آثاره على القرص.
Getpass: نسخة مخصصة من Mimikatz
إلى جانب AppleChris وMemFun، استخدم المهاجمون نسخة معدلة من أداة Mimikatz أطلقوا عليها اسم Getpass، والتي تهدف إلى تصعيد الامتيازات واستخراج كلمات المرور النصية، وهاشات NTLM، وبيانات المصادقة مباشرة من ذاكرة عملية “lsass.exe”.
هذا يعكس اهتمامًا خاصًا بالوصول إلى بيانات الاعتماد العسكرية الحساسة، بما يتيح للمهاجمين توسيع نطاق سيطرتهم داخل الشبكات المستهدفة.
أشارت Unit 42 إلى أن المهاجمين أظهروا وعيًا أمنيًا عاليًا وصبرًا عملياتيًا، حيث حافظوا على وصول خامد لشهور طويلة، مع التركيز على جمع معلومات دقيقة حول أنظمة القيادة والسيطرة والاتصالات والاستخبارات (C4I)، ما يعكس طبيعة عمليات التجسس السيبراني المدعومة من دول.
