رصد باحثو الأمن السيبراني منذ سبتمبر 2025 حملة جديدة مرتبطة بمجموعة Mustang Panda، وهي مجموعة تهديد مدعومة من دولة، تستهدف منطقة آسيا والمحيط الهادئ واليابان (APJ). الحملة تعتمد على تقنية DLL Side-Loading لنشر نسخة محدّثة من أداة FDMTP الخبيثة.
خصائص الأداة الخبيثة
- الاتصال بخادم خارجي: الأداة تنشئ قناة اتصال مع خادم تحكم وسيطرة (C2) لاستقبال أوامر مباشرة.
- جمع معلومات الأجهزة: تقوم بملف تعريف شامل للأجهزة المصابة، بما في ذلك تفاصيل النظام والبيئة.
- تحميل إضافات (Plugins): تسمح الأداة بتحميل وحدات إضافية لتنفيذ مهام مجدولة، إدارة استمرارية عبر سجل ويندوز (Registry Persistence)، أو جلب ملفات وأوامر جديدة.
- تقنية DLL Side-Loading: تُستخدم لتشغيل البرمجية الخبيثة عبر مكتبات DLL شرعية، مما يساعد على التمويه وتجاوز أنظمة الكشف.
أهداف الحملة
الحملة تندرج ضمن أسلوب عمل Mustang Panda المعروف باستهداف المؤسسات الحكومية والدبلوماسية والبنى التحتية الحيوية في آسيا، مع تركيز على التجسس السيبراني وجمع المعلومات طويلة الأمد. استخدام نسخة مطوّرة من FDMTP يعكس تطور المجموعة في تعزيز قدراتها على التخفي والاستمرارية داخل الأنظمة المصابة.
دلالات أمنية
- استمرار Mustang Panda في تحديث أدواتها يؤكد على استراتيجية طويلة الأمد في استهداف المنطقة.
- الاعتماد على DLL Side-Loading يبرز الحاجة إلى تعزيز آليات الكشف السلوكي، وليس فقط التوقيعات التقليدية.
- قدرة الأداة على تحميل إضافات متعددة تجعلها منصة مرنة للهجمات، قادرة على التكيف مع أهداف مختلفة.
