كشفت شركة تريند مايكرو أن خادم تحديث مهجور مرتبط ببرنامج إدخال النصوص الصينية Sogou Zhuyin قد تم الاستيلاء عليه واستخدامه في حملة تجسس إلكترونية لنشر برمجيات خبيثة مثل C6DOOR وGTELAM، مستهدفةً مستخدمين في شرق آسيا، خاصة في تايوان.
تفاصيل الحملة السيبرانية
أوضحت تريند مايكرو أن المهاجمين اعتمدوا على سلاسل عدوى معقدة تضمنت تحديثات برمجية مخترقة وصفحات تسجيل دخول مزيفة لتوزيع البرمجيات الخبيثة وجمع المعلومات الحساسة. وتم رصد الحملة لأول مرة في يونيو 2025 وحملت الاسم الرمزي TAOTH.
استهدفت الحملة صحفيين وباحثين ومعارضين سياسيين وقادة في قطاع التكنولوجيا والأعمال في الصين وتايوان وهونغ كونغ واليابان وكوريا الجنوبية، إضافة إلى الجاليات التايوانية بالخارج. وشكلت تايوان ما نسبته 49% من الضحايا، تلتها كمبوديا بنسبة 11%، ثم الولايات المتحدة بنسبة 7%.
كيفية السيطرة على النطاق المهجور
أفاد التقرير أن المهاجمين في أكتوبر 2024 سيطروا على النطاق المهجور المرتبط بـ Sogou Zhuyin والذي توقف عن تلقي التحديثات منذ يونيو 2019. وبعد تسجيله، استُخدم النطاق لاستضافة تحديثات خبيثة منذ نوفمبر 2024. وتشير التقديرات إلى أن مئات الضحايا قد تأثروا بهذه العملية.
أنواع البرمجيات الخبيثة المستخدمة
-
TOSHIS: كاشف برمجيات أولية تم رصده في ديسمبر 2024، يستعمل لتحميل أدوات مثل Cobalt Strike.
-
DESFY: برمجية تجسس اكتشفت في مايو 2025، تقوم بجمع أسماء الملفات من سطح المكتب ومجلد Program Files.
-
GTELAM: أداة تجسس تركز على ملفات أوفيس مثل PDF وDOC وXLS، وترسل البيانات إلى Google Drive.
-
C6DOOR: باب خلفي متقدم مكتوب بلغة Go، يسمح بتنفيذ أوامر عن بعد، رفع وتنزيل ملفات، التقاط صور للشاشة، وإدارة العمليات النشطة.
تقنيات التمويه والإخفاء
استخدم المهاجمون خدمات سحابية شرعية مثل Google Drive لإخفاء حركة البيانات، ما صعّب من رصد الهجوم. كما تم تعديل صفحة ويكيبيديا الصينية التقليدية الخاصة بـ Sogou Zhuyin في مارس 2025 لتوجيه المستخدمين إلى نطاق خبيث لتنزيل المثبّت المزيف.
مرحلة الاستطلاع والتجسس
أشارت تحليلات تريند مايكرو إلى أن المهاجمين كانوا في مرحلة استطلاع أولية يركزون خلالها على التعرف على الأهداف ذات القيمة العالية دون تنفيذ عمليات استغلال لاحقة على نطاق واسع.
هجمات التصيّد الاحتيالي
بالإضافة إلى استغلال خادم التحديث، استخدم المهاجمون حملات تصيّد عبر البريد الإلكتروني تضمنت صفحات تسجيل دخول مزيفة مرتبطة بعروض مجانية أو قارئات PDF، وأخرى تقلد خدمات سحابية مثل Tencent Cloud StreamLink، ما سمح لهم بجمع بيانات الدخول عبر تفويض OAuth.
توصيات الحماية
أوصت تريند مايكرو المؤسسات بمراجعة بيئاتها بانتظام والتخلص من البرامج غير المدعومة، إضافة إلى توخي الحذر عند منح الأذونات لتطبيقات سحابية.
