حملة تجسس صينية تستهدف حكومات آسيوية ودولة في الناتو وصحفيين ونشطاء

حملة تجسس صينية تستهدف حكومات آسيوية ودولة في الناتو وصحفيين ونشطاء
حملة تجسس صينية تستهدف حكومات آسيوية ودولة في الناتو وصحفيين ونشطاء
شارك هذا الخبر

كشفت أبحاث أمنية حديثة عن حملة تجسس إلكترونية مرتبطة بالصين تستهدف قطاعات حكومية ودفاعية في جنوب وشرق وجنوب شرق آسيا، إضافة إلى دولة أوروبية عضو في حلف الناتو هي بولندا. هذه الحملة، التي تتبعها شركة Trend Micro تحت الاسم المؤقت SHADOW-EARTH-053، تنشط منذ ديسمبر 2024، وتُظهر تقاطعات مع مجموعات أخرى مثل Earth Alux وREF7707.

أساليب الاختراق والتقنيات المستخدمة

يعتمد المهاجمون على استغلال ثغرات معروفة في خوادم Microsoft Exchange وIIS مثل سلسلة ProxyLogon، ثم يقومون بزرع أدوات وصول مستمرة مثل Godzilla web shell، يليها نشر برمجية ShadowPad عبر تقنية DLL sideloading باستخدام ملفات تنفيذية موقعة شرعياً. كما رُصد استخدام أدوات مفتوحة المصدر للتنصّل مثل IOX وGOST وWstunnel، إضافة إلى RingQ لتعبئة الملفات الخبيثة وتجاوز أنظمة الكشف. ولتعزيز الامتيازات، استُخدم برنامج Mimikatz، بينما تم تنفيذ الحركة الجانبية عبر مشغّل RDP مخصص وأداة Sharp-SMBExec.

الدول المستهدفة

شملت قائمة الضحايا دولاً مثل باكستان، تايلاند، ماليزيا، الهند، ميانمار، سريلانكا، وتايوان، إضافة إلى بولندا كحالة أوروبية وحيدة. نصف هذه الأهداف تقريباً، خاصة في ماليزيا وسريلانكا وميانمار، تعرضت سابقاً لهجمات من مجموعة مرتبطة تُعرف باسم SHADOW-EARTH-054، ما يشير إلى تشابك في البنية التحتية دون تنسيق مباشر.

هجمات موازية ضد الصحفيين والنشطاء

في سياق متصل، رصدت مؤسسة Citizen Lab حملات تصيّد إلكتروني نفذتها مجموعتان مرتبطتان بالصين هما GLITTER CARP وSEQUIN CARP، استهدفت صحفيين ونشطاء من الأقليات مثل الإيغور والتبتيين والشتات التايواني وهونغ كونغ. استخدمت هذه المجموعات تقنيات انتحال رقمية متقدمة، بما في ذلك تقليد شخصيات معروفة أو إرسال رسائل تبدو كتنبيهات أمنية من شركات تقنية.

استهدفت GLITTER CARP بشكل خاص الاتحاد الدولي للصحفيين الاستقصائيين (ICIJ)، بينما ركزت SEQUIN CARP على الصحفية سيلا أليتشي وآخرين ممن يكتبون في قضايا حساسة للصين. كما ارتبطت GLITTER CARP بحملات ضد صناعة أشباه الموصلات في تايوان، فيما أظهرت SEQUIN CARP تشابهاً مع مجموعات أخرى مثل UTA0388 وTAOTH.

أهداف الحملات وأبعادها السياسية

الهدف النهائي لهذه الحملات هو الحصول على وصول أولي إلى حسابات البريد الإلكتروني عبر سرقة بيانات الاعتماد أو استغلال رموز OAuth. كما استخدمت رسائل التصيّد وحدات تتبع صغيرة (1×1 tracking pixels) لجمع معلومات عن الأجهزة والتحقق من فتح الرسائل. يرى الباحثون أن هذه الأنشطة تمثل شكلاً من “القمع الرقمي العابر للحدود”، حيث تُدار عبر شبكة موزعة من الفاعلين، ويُرجح أن كيانات تجارية متعاقدة مع الدولة الصينية تقف وراءها.

وسوم
محمد وهبى
محمد وهبى
المقالات: 1117

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة