كشفت شركة كاسبرسكي للأمن السيبراني عن حملة تجسس رقمية جديدة تقودها مجموعة القرصنة الصينية المعروفة باسم Mustang Panda، حيث اعتمدت على برنامج تشغيل غير موثق يعمل في وضع النواة (Kernel-Mode Rootkit) لتثبيت نسخة جديدة من باب خلفي يُعرف باسم TONESHELL. الهجوم الذي رُصد منتصف عام 2025 استهدف كيانات حكومية في جنوب شرق آسيا وشرقها، خاصة في ميانمار وتايلاند، ما يعكس اتساع نطاق نشاط هذه المجموعة التي ارتبط اسمها سابقاً بعمليات تجسس ضد مؤسسات دبلوماسية وأمنية في المنطقة.
تُظهر هذه التطورات أن المجموعة لا تزال تبتكر أدوات متقدمة لتجاوز أنظمة الحماية، إذ أن الروتكيت الجديد قادر على إخفاء نشاطه عن برامج مكافحة الفيروسات عبر تسجيل نفسه كسائق “minifilter” موقّع بشهادة رقمية قديمة مسروقة أو مُسرّبة، مما يمنحه شرعية زائفة أمام النظام المستهدف.
خلفيات تقنية حول الروتكيت الجديد
الملف الخبيث المعروف باسم ProjectConfiguration.sys وُقّع بشهادة رقمية صادرة عن شركة صينية متخصصة في أنظمة الصراف الآلي، كانت صالحة بين عامي 2012 و2015. هذا التفصيل يوضح أن القراصنة استغلوا شهادة منتهية الصلاحية أو مسروقة لتجاوز آليات التحقق. ويحتوي الروتكيت على شيفرات تعمل في وضع المستخدم، تُحقن في العمليات النظامية مثل svchost.exe، لتسهيل نشر الحمولة النهائية وهي باب خلفي TONESHELL.
من أبرز وظائف الروتكيت قدرته على:
- اعتراض عمليات الملفات لمنع حذف أو إعادة تسمية مكوناته.
- تعطيل محاولات إنشاء أو فتح مفاتيح في السجل (Registry) عبر روتين خاص.
- التدخل في عمل برنامج الحماية Microsoft Defender عبر تعديل قيمة “altitude” الخاصة بسائق WdFilter.sys، مما يمنع تحميله في طبقة الإدخال والإخراج.
- حماية العمليات الخبيثة من أي محاولة وصول خارجي حتى انتهاء التنفيذ.
هذه الخصائص تمنح الروتكيت قدرة عالية على التخفي، إذ يتجاوز نطاق التحميل المخصص لمكونات مكافحة الفيروسات، ما يسمح له بالتحكم في العمليات قبل أن تصل إليها أدوات الحماية الشرعية.
قدرات باب خلفي TONESHELL
بمجرد تثبيت الروتكيت، يتم حقن باب خلفي TONESHELL في النظام، وهو أداة متقدمة تتيح للمهاجمين إنشاء اتصال عكسي مع خوادم التحكم والسيطرة عبر بروتوكول TCP على المنفذ 443. هذا الاتصال يمكّنهم من تنفيذ أوامر متعددة تشمل تنزيل ملفات إضافية، رفع بيانات، إنشاء قنوات اتصال تفاعلية، وإدارة جلسات عن بُعد.
تُظهر التحليلات أن البنية التحتية للتحكم والسيطرة الخاصة بـ TONESHELL أُنشئت في سبتمبر 2024، بينما بدأت الحملة الفعلية في فبراير 2025. كما ارتبطت المجموعة في سبتمبر 2025 بهجمات ضد كيانات تايلاندية باستخدام TONESHELL إلى جانب دودة USB تُعرف باسم TONEDISK أو WispRider، والتي تستغل الأجهزة القابلة للإزالة لنشر برمجية خلفية أخرى تُسمى Yokai.
دلالات أمنية وتحليل استخباراتي
يمثل هذا التطور أول مرة يتم فيها نشر TONESHELL عبر محمل يعمل في وضع النواة، ما يمنحه قدرة أكبر على التخفي والمرونة أمام أدوات الكشف التقليدية. ويشير خبراء كاسبرسكي إلى أن تحليل الذاكرة أصبح أداة أساسية لاكتشاف هذه الإصابات، إذ أن الشيفرة الخبيثة تعمل بالكامل في الذاكرة دون ترك آثار واضحة على القرص الصلب.
كما أن اعتماد Mustang Panda على تقنيات الإخفاء المتقدمة مثل الروتينات الخاصة بالـ Registry والـ Callback، يعكس تطوراً ملحوظاً في استراتيجياتها منذ عام 2022، ويؤكد أن المجموعة تسعى إلى تعزيز قدرتها على البقاء داخل الأنظمة المستهدفة لفترات طويلة دون رصد. هذه الممارسات تجعل من الهجمات السيبرانية الصينية تحدياً متصاعداً أمام الحكومات والمؤسسات الأمنية في آسيا، وتفرض ضرورة تطوير أدوات دفاعية أكثر تقدماً لمواجهة هذا النوع من التهديدات.
