كشفت شركة Check Point Research عن نشاط تجسسي جديد تقوده مجموعة مرتبطة بالصين تحمل اسم Amaranth-Dragon، والتي يُعتقد أنها جزء من منظومة APT41. استهدفت هذه الحملات وكالات حكومية وأجهزة إنفاذ القانون في دول جنوب شرق آسيا مثل كمبوديا وتايلاند ولاوس وإندونيسيا وسنغافورة والفلبين خلال عام 2025.
التقارير تشير إلى أن الهجمات كانت مرتبطة بتطورات سياسية وأمنية حساسة في المنطقة، ما زاد من احتمالية تفاعل الضحايا مع المحتوى الخبيث. كما اتسمت العمليات بتركيز ضيق ونطاق محدد، في محاولة لبناء وجود طويل الأمد لجمع معلومات استخباراتية ذات طابع جيوسياسي.
استغلال ثغرة WinRAR
أبرز ما يميز هذه الحملات هو استغلال ثغرة CVE-2025-8088 في برنامج WinRAR، والتي تسمح بتنفيذ أوامر عشوائية عند فتح أرشيفات مصممة خصيصًا. وقد تم استغلال الثغرة بعد ثمانية أيام فقط من إعلانها في أغسطس 2025، ما يعكس سرعة المجموعة وكفاءتها التقنية.
المهاجمون وزعوا ملفات RAR خبيثة تحتوي على DLL ضار باسم Amaranth Loader، يتم تشغيله عبر تقنية DLL Side-Loading، وهي أسلوب مفضل لدى مجموعات القرصنة الصينية. هذا المحمل يتصل بخادم خارجي للحصول على مفتاح تشفير، ثم يفك تشفير حمولة خبيثة تُنفذ مباشرة في الذاكرة، وكانت الحمولة النهائية إطار التحكم والسيطرة مفتوح المصدر المعروف باسم Havoc.
أدوات وأساليب متنوعة
الحملات المبكرة في مارس 2025 استخدمت ملفات ZIP تحتوي على اختصارات LNK وملفات BAT لتشغيل المحمل. وفي أكتوبر 2025، استُخدمت طُعوم مرتبطة بخفر السواحل الفلبيني. أما في سبتمبر 2025، فقد استُخدم أرشيف RAR محمي بكلمة مرور لتوزيع TGAmaranth RAT، وهو حصان طروادة للتحكم عن بُعد يعتمد على بوت Telegram كقناة C2.
هذا الـ RAT يتمتع بقدرات متعددة مثل:
- إرسال قائمة العمليات الجارية.
- التقاط صور للشاشة.
- تنفيذ أوامر محددة وإرسال نتائجها.
- تحميل وتنزيل الملفات.
كما أن البنية التحتية للهجوم محمية عبر Cloudflare ومهيأة لقبول الاتصالات فقط من عناوين IP داخل الدول المستهدفة، ما يقلل من فرص اكتشافها عالميًا.
ارتباط وثيق بـ APT41
تشير الأدلة التقنية إلى أن أسلوب تطوير البرمجيات، توقيت الحملات، وإدارة البنية التحتية كلها تتماشى مع ممارسات APT41، ما يعزز فرضية أن مجموعة Amaranth-Dragon جزء من هذا النظام أو على الأقل تشترك معه في الموارد والأدوات.
حملة Mustang Panda بـ PlugX
في سياق متصل، كشفت شركة Dream Research Labs عن حملة أخرى مرتبطة بالصين تقودها مجموعة Mustang Panda، أُطلق عليها اسم PlugX Diplomacy. استهدفت هذه الحملة مسؤولين في مجالات الدبلوماسية والانتخابات والتنسيق الدولي بين ديسمبر 2025 ويناير 2026.
اعتمدت الحملة على ملفات مضغوطة تحتوي على اختصارات LNK مرتبطة بفعاليات دبلوماسية، لتثبيت نسخة مخصصة من PlugX تُعرف باسم DOPLUGS. هذه النسخة تستغل ثغرة DLL Search-Order Hijacking عبر برنامج شرعي مثل AOMEI Backupper، وتعرض للمستخدم وثيقة PDF وهمية لإخفاء النشاط الخبيث.
التقارير تؤكد أن توقيت هذه الحملات يتزامن مع أحداث سياسية ودبلوماسية فعلية، ما يشير إلى استمرارها مع تطور المشهد الجيوسياسي.
