استغلت جهات تهديد مرتبطة بالصين ثغرة أمان تُعرف باسم ToolShell في خوادم Microsoft SharePoint المحلية لاختراق مزوّد اتصالات في الشرق الأوسط، وذلك بعد أسابيع من نشر مايكروسوفت لتصحيح أمني في يوليو 2025. وامتدت الهجمات لتطال جهات حكومية في أفريقيا وأمريكا الجنوبية، وجامعة في الولايات المتحدة، وكيانات حكومية ومالية في مناطق متعددة، مما يبرز استغلال الثغرة على نطاق جغرافي واسع لأغراض تجسّسية وربما ابتزازية.
الثغرة والأساس التقني للهجوم
الثغرة المستغلة هي CVE-2025-53770، وهي ثغرة في بيئات SharePoint المحلية تم تقييمها على أنها تسهّل تجاوز آليات المصادقة ويمكن إساءة استغلالها لتنفيذ كود عن بُعد. تُعتبر هذه الثغرة بمثابة تجاوز للتصحيح المتعلق بـ CVE-2025-49704 وCVE-2025-49706، وقد تم تصحيحها رسمياً من قِبل مايكروسوفت في يوليو 2025، لكن استغلالها استمرّ فعليًا في هجمات لاحقة.
الجهات الفاعلة وأدواتها
بحسب فريق Symantec Threat Hunter التابع لشركة Broadcom، استخدمت ثلاث مجموعات صينية الثغرة كأسلحة صفرية الأيام (zero-day)؛ من بين هذه المجموعات Linen Typhoon (المعروفة أيضاً بـ Budworm) وViolet Typhoon (Sheathminer) وStorm-2603، الذي ربطته تقارير سابقة بنشر عائلات فدية مثل Warlock وLockBit وBabuk. لكن التحليل الأحدث كشف أن مجموعة أوسع من الجهات ذات الصلة بالصين استغلت الثغرة، ومن بينها Salt Typhoon (المعروفة أيضاً بـ Glowworm) التي استُخدمت لنشر أدوات مثل Zingdoor, ShadowPad, وKrustyLoader ضد الكيان المتصل بالاتصالات وبعض الأجهزة الحكومية الأفريقية.
سلاسل الهجوم والتقنيات المصاحبة
في عمليات استهداف بعض الهيئات، حصل الاختراق الأولي عبر استغلال ثغرات أخرى غير محددة، تلا ذلك إساءة استخدام خوادم SQL وخوادم Apache HTTP التي تشغّل Adobe ColdFusion لتسليم الحمولات الخبيثة عبر تقنيات DLL side-loading. كما لاحظ الباحثون تنفيذ استغلال لـ CVE-2021-36942 (PetitPotam) في حالات معينة لتصعيد الامتيازات واختراق النطاق، إلى جانب استخدام أدوات جاهزة وتقنيات العيش على النظام (Living-off-the-Land) للمسح، وتنزيل الملفات، وسرقة بيانات الاعتماد.
الدوافع والتوصيات الفنية
تشير الأدلة إلى أن الهدف الرئيسي للمهاجمين هو سرقة بيانات الاعتماد وإقامة وصول دائم وخفي داخل شبكات الضحايا، ما يرجّح أن الغرض الأساسي هو التجسس الإلكتروني. ورغم وجود تداخل في الضحايا والأدوات مع نشاطات منسوبة سابقًا إلى Glowworm، تؤكد Symantec أن الدلائل غير كافية لتحديد جهة واحدة مسؤولة بصورة قاطعة، لكن كل المؤشرات توجه نحو جهات فاعلة ذات قاعدة عمل ناطقة بالصينية.
توصيات فنية عاجلة للمؤسسات: تحديث خوادم SharePoint فورًا إلى التصحيحات الصادرة، تقييد وتعزيز إعدادات الوصول إلى قواعد بيانات SQL، فحص وجود عمليات DLL غير مُصرح بها، مراقبة محاولات استغلال PetitPotam وأنماط الحركة الجانبية، وتطبيق عملية كشف واستجابة للحوادث تركز على حماية بيانات الاعتماد وعزل الأنظمة المعرضة للإنترنت.
