في تطور لافت في مشهد التجسس السيبراني العالمي، كشفت شركة Symantec المملوكة لـ Broadcom عن حملة اختراق معقدة نفذتها مجموعة تهديد صينية تُعرف باسم Jewelbug، استهدفت مزود خدمات تكنولوجيا معلومات روسي على مدى خمسة أشهر كاملة بين يناير ومايو 2025، في مؤشر على توسع نطاق عمليات المجموعة خارج آسيا وأمريكا اللاتينية لتشمل روسيا أيضًا.
تجسس صيني رغم العلاقات الدبلوماسية مع موسكو
أوضحت Symantec أن Jewelbug، التي تتقاطع مع مجموعات أخرى مثل CL-STA-0049 (بحسب Unit 42 من Palo Alto Networks) وEarth Alux (من Trend Micro) وREF7707 (من Elastic Security Labs)، تمكنت من الوصول إلى مستودعات الأكواد وأنظمة بناء البرمجيات الخاصة بالشركة الروسية، ما منحها إمكانية تنفيذ هجمات على سلسلة التوريد (supply chain attacks) ضد عملاء الشركة داخل روسيا.
كما تبين أن المهاجمين قاموا بتهريب البيانات نحو سحابة Yandex Cloud الروسية، في محاولة للتنكر ضمن البيئة المحلية وتقليل الاشتباه.
أدوات متقدمة واستخدام ذكي لبرامج موثوقة
اعتمدت Jewelbug في هجومها على نسخة مُعاد تسميتها من أداة تصحيح الأخطاء “cdb.exe” التابعة لمايكروسوفت، لتشغيل الشيفرات الضارة وتجاوز سياسات السماح بالتطبيقات. كما قامت المجموعة بتفريغ بيانات الاعتماد، وإنشاء مهام مجدولة للحفاظ على الوصول الدائم، ومحاولة إخفاء آثار النشاط عبر حذف سجلات أحداث ويندوز.
استهدفت المجموعة مزودي خدمات تكنولوجيا المعلومات بشكل خاص، نظرًا لقدرتهم على الوصول إلى أنظمة العديد من العملاء، مما يتيح للمهاجمين الانتشار إلى أهداف متعددة دفعة واحدة من خلال تحديثات برمجية خبيثة.
روابط مع هجمات في أمريكا الجنوبية وآسيا
ربطت التحقيقات أيضًا Jewelbug باختراق كبير استهدف منظمة حكومية في أمريكا الجنوبية في يوليو 2025، حيث استخدم المهاجمون بابًا خلفيًا جديدًا غير موثق سابقًا يعتمد على Microsoft Graph API وOneDrive كقنوات اتصال وتحكم (C2). هذا الأسلوب يسمح لهم بالتخفي داخل حركة المرور الشرعية للشبكة وتقليل الأدلة الجنائية، مما يُطيل مدة بقاءهم دون اكتشاف.
أما في آسيا، فقد شنت المجموعة هجمات على شركة تكنولوجيا في تايوان وأخرى في جنوب آسيا بين أكتوبر ونوفمبر 2024، باستخدام تقنيات تحميل المكتبات الجانبية (DLL side-loading) لتوزيع أدوات خبيثة مثل ShadowPad، وهي أداة تُستخدم حصريًا من قبل مجموعات اختراق صينية.
بنية هجوم متكاملة وتخفي متقن
كشفت Symantec أن المجموعة استخدمت مجموعة واسعة من الأدوات المتقدمة، منها:
-
KillAV لتعطيل برامج الحماية.
-
EchoDrv لاستغلال ثغرة في برنامج مكافحة الغش ECHOAC ضمن هجوم “BYOVD” (جلب برنامج تشغيل ضعيف).
-
أدوات مثل Mimikatz وLSASS لاستخراج كلمات المرور.
-
أدوات تصعيد صلاحيات مثل Sweet Potato وCoerced Potato وPrintNotifyPotato.
-
أداة EarthWorm لإنشاء أنفاق SOCKS لتسهيل التواصل المخفي داخل الشبكة.
تخفٍّ سحابيّ ومشهد تهديد متصاعد
أكدت Symantec أن Jewelbug تعتمد بشكل متزايد على الخدمات السحابية والأدوات المشروعة لتجنب الكشف والبقاء داخل الشبكات المستهدفة لفترات طويلة. ويأتي هذا الكشف بالتزامن مع تحذير جهاز الأمن القومي التايواني من تصاعد الهجمات الصينية التي تستهدف مؤسسات حكومية، في إطار ما وصفه بـ “جيش الدعاية الإلكترونية الصيني” الذي يسعى لبث الشكوك والمعلومات المضللة عبر وسائل التواصل الاجتماعي.
