كشفت تقارير أمنية حديثة عن حملة تجسس مستمرة ومنسوبة إلى مجموعة تهديد مرتبطة بالصين تُعرف باسم Red Menshen، والتي تُعرف أيضًا بأسماء أخرى مثل Earth Bluecrow و DecisiveArchitect و Red Dev 18.
منذ عام 2021، استهدفت هذه المجموعة مزوّدي خدمات الاتصالات في الشرق الأوسط وآسيا، بهدف التغلغل داخل الشبكات الحكومية والاحتفاظ بوجود طويل الأمد يصعب كشفه.
BPFDoor: باب خلفي خفي داخل النواة
أحد أبرز أدوات المجموعة هو باب خلفي لنظام Linux يُعرف باسم BPFDoor، يوصف بأنه من أكثر الآليات التخفيّة التي واجهتها فرق الأمن في شبكات الاتصالات.
على عكس البرمجيات الخبيثة التقليدية، لا يفتح BPFDoor منافذ استماع ولا يُظهر قنوات اتصال واضحة مع خوادم التحكم. بل يستغل وظيفة Berkeley Packet Filter (BPF) لفحص حركة المرور مباشرة داخل النواة، وينشط فقط عند تلقي “حزمة سحرية” مصممة خصيصًا، ليُطلق جلسة تحكم عن بُعد.
بهذا الأسلوب، يصبح الباب الخلفي بمثابة “خلية نائمة رقمية” داخل النظام التشغيلي نفسه.
سلسلة الهجوم وأدوات إضافية
تبدأ الهجمات باستهداف البنى التحتية المكشوفة على الإنترنت مثل أجهزة VPN، الجدران النارية، ومنصات الويب المرتبطة بـ Ivanti و Cisco و Juniper Networks و Fortinet و VMware و Palo Alto Networks و Apache Struts.
بعد الحصول على موطئ قدم، تُنشر أطر عمل مثل CrossC2 لتسهيل الأنشطة بعد الاستغلال، إضافة إلى أدوات مثل Sliver و TinyShell ومسجلات ضغطات المفاتيح وأدوات كسر كلمات المرور، ما يسمح بسرقة بيانات الاعتماد والتحرك الجانبي داخل الشبكة.
قدرات متقدمة للتجسس على بروتوكولات الاتصالات
تتجاوز BPFDoor مجرد كونه بابًا خلفيًا، إذ أظهرت بعض العينات دعمًا لبروتوكول SCTP المستخدم في شبكات الاتصالات، ما يمنح المهاجمين القدرة على مراقبة بروتوكولات أصلية، متابعة سلوك المشتركين، وحتى تعقب الأفراد المستهدفين.
كما تم اكتشاف نسخة جديدة غير موثقة سابقًا من BPFDoor، تضمنت تحسينات للتخفي مثل إخفاء الحزمة السحرية داخل حركة مرور HTTPS الشرعية، مع آلية تحليل جديدة تبحث عن سلسلة “9999” في موقع ثابت داخل الطلب لتفعيل الباب الخلفي.
إضافة إلى ذلك، ظهرت آلية اتصال خفيفة عبر بروتوكول ICMP للتواصل بين الأجهزة المصابة.
بيئة الاتصالات: أرض خصبة للتخفي
أوضحت شركة Rapid7 أن هذه التطورات تعكس تحولًا في أساليب الخصوم، حيث أصبحوا يزرعون البرمجيات الخبيثة في أعماق البنية التحتية، مستهدفين أنوية أنظمة التشغيل والمنصات الأساسية بدلًا من الاعتماد على برمجيات المستخدم.
بيئات الاتصالات، التي تجمع بين أنظمة معدنية، طبقات افتراضية، أجهزة عالية الأداء، ومكونات شبكات الجيل الرابع والخامس، تُعد مثالية لوجود طويل الأمد منخفض الضوضاء. من خلال الاندماج في الخدمات الشرعية وحاويات التشغيل، يمكن لهذه البرمجيات الإفلات من أنظمة المراقبة التقليدية والبقاء غير مكتشفة لفترات طويلة.
