كشفت شركة Cisco Talos عن حملة تجسس سيبراني جديدة مرتبطة بالصين، استهدفت قطاعات البنية التحتية الحيوية في أميركا الشمالية منذ العام الماضي، عبر استغلال ثغرة “يوم الصفر” في منصة Sitecore. المجموعة، التي تحمل الاسم الرمزي UAT-8837، وُصفت بأنها جهة تهديد متقدمة (APT) ذات صلة بالصين، مع وجود تشابه تكتيكي مع حملات أخرى من المنطقة.
طبيعة الهجمات وأهدافها
بحسب Cisco Talos، فإن المجموعة تركز بشكل أساسي على الحصول على وصول أولي إلى المؤسسات عالية القيمة، سواء عبر استغلال خوادم ضعيفة أو استخدام بيانات اعتماد مسروقة. بعد ذلك، تعتمد المجموعة على أدوات مفتوحة المصدر لجمع معلومات حساسة مثل بيانات الدخول، إعدادات الأمان، ومعلومات Active Directory، مما يتيح لها إنشاء قنوات وصول متعددة إلى الشبكات المستهدفة.
الهجوم الأخير استغل ثغرة خطيرة في Sitecore تحمل الرمز CVE-2025-53690 بتقييم خطورة 9.0، وهو ما منح المهاجمين قدرة على التسلل الأولي. وقد أصدرت Sitecore إصلاحات لهذه الثغرة في سبتمبر 2025، لكن المجموعة استغلتها قبل التحديثات.
أدوات وتقنيات ما بعد الاختراق
بعد الحصول على موطئ قدم داخل الشبكات، نفذت المجموعة خطوات تصعيدية، منها تعطيل ميزة RestrictedAdmin في بروتوكول RDP، وفتح واجهة cmd.exe لتنفيذ أوامر مباشرة على الأجهزة المصابة. كما حمّلت عدة أدوات متقدمة، أبرزها:
- GoTokenTheft: لسرقة رموز الوصول.
- EarthWorm: لإنشاء نفق عكسي عبر SOCKS.
- DWAgent: لتأمين وصول دائم واستطلاع Active Directory.
- SharpHound: لجمع معلومات Active Directory.
- Impacket: لتنفيذ أوامر بصلاحيات مرتفعة.
- GoExec: أداة بلغة Go لتنفيذ أوامر على نقاط أخرى بالشبكة.
- Rubeus: أداة بلغة C# للتعامل مع بروتوكول Kerberos واستغلاله.
- Certipy: أداة لاكتشاف واستغلال Active Directory.
وأشار الباحثون إلى أن المجموعة قامت في إحدى المؤسسات المستهدفة بتهريب مكتبات DLL مرتبطة بمنتجات الشركة الضحية، ما يثير احتمال استخدامها لاحقاً في هجمات سلسلة توريد أو لإيجاد ثغرات جديدة عبر الهندسة العكسية.
ارتباطات مع حملات أخرى وتحذيرات دولية
التحقيقات أظهرت تشابهات بين هذه الحملة وحملة أخرى وثّقتها شركة Mandiant في سبتمبر 2025، ما يعزز فرضية امتلاك المجموعة قدرات متقدمة للوصول إلى ثغرات يوم الصفر. كما يأتي الكشف بعد أسبوع من نسبة Talos لمجموعة صينية أخرى، UAT-7290، إلى هجمات تجسس ضد كيانات في جنوب آسيا وأوروبا الشرقية باستخدام برمجيات خبيثة مثل RushDrop وDriveSwitch وSilentRaid.
في السياق ذاته، أصدرت وكالات أمنية واستخباراتية من دول غربية، بينها الولايات المتحدة والمملكة المتحدة وألمانيا وأستراليا، تحذيرات متزامنة من تصاعد الهجمات على بيئات التكنولوجيا التشغيلية (OT). وأكدت هذه الوكالات أن البنى التحتية الوطنية الحرجة باتت هدفاً مباشراً لجهات مدعومة من دول، إضافة إلى تعرضها لهجمات انتهازية من مجموعات هاكرز غير حكومية.
توصيات لتعزيز أمن البنية التحتية
التوجيهات الدولية شددت على ضرورة:
- تقليل انكشاف الأنظمة التشغيلية على الإنترنت.
- توحيد وإدارة الاتصالات الشبكية بشكل مركزي وآمن.
- استخدام بروتوكولات اتصال مشفرة وآمنة.
- تعزيز حدود أنظمة OT ومراقبة جميع الاتصالات وتسجيلها.
- التخلص من الأصول القديمة التي قد تزيد من مخاطر الاختراق.
