مجموعة Mustang Panda تستغل خدمة Zoho WorkDrive في هجمات ضد الحكومة الهندية

كشفت وحدة أبحاث التهديدات في Acronis عن حملتين تجسس سيبراني جديدتين تقودهما مجموعة Mustang Panda المرتبطة بالصين، استهدفتا مؤسسات حكومية هندية وقطاع الطاقة الكهرومائية. اللافت أن المهاجمين استخدموا منصة تخزين سحابية شرعية هي Zoho WorkDrive كقناة للتحكم والسيطرة، ما سمح لهم بإخفاء حركة البيانات داخل نشاط سحابي يبدو عادياً.

أدوات خبيثة جديدة

أفادت Acronis أن المجموعة نشرت ثلاث أدوات رئيسية:

  • SHARDLOADER: أداة تحميل تعتمد على تقنية DLL Side-Loading عبر ملفات تنفيذية موقعة شرعياً مثل Solid PDF Creator وCitrix Receiver.
  • MINIRECON: نسخة معدلة من باب خلفي معروف باسم Toneshell، يستخدم اتصال WebSocket عبر HTTPS للتواصل مع خوادم المهاجمين.
  • ZOHOMURK: أداة جديدة تحمل بيانات اعتماد OAuth خاصة بـ Zoho، وتستغل حساب WorkDrive خاضع لسيطرة المهاجمين لقراءة الأوامر من مجلد “Inbox” وكتابة البيانات المسروقة في مجلد “Outbox”.
أساليب الاستهداف

وصلت الحملات في صورة ملفات ZIP تحتوي على DLL خبيث مخفي، ويُرجح أنها وصلت عبر رسائل تصيّد موجّه (Spear-Phishing). تضمنت الطُعم موضوعات مرتبطة بمذكرة تفاهم بين الهند وتايوان، وأخرى حول التعاون في مشاريع الطاقة الكهرومائية، بما يتناسب مع اهتمامات الضحايا المستهدَفين.

أهداف التجسس ودلالات الانتماء

تؤكد Acronis أن الهدف كان جمع معلومات استخباراتية حول خطط الهند في مجال الطاقة الكهرومائية وعلاقاتها الدفاعية مع تايوان. وقد عززت الشركة نسبتها العالية في إسناد الهجمات إلى Mustang Panda عبر أدلة تقنية مثل:

  • إعادة استخدام سلسلة تحميل Solid PDF Creator.
  • تشابه الشيفرات مع باب Toneshell.
  • وجود خوادم تحكم ضمن نفس نطاق الشبكة المرتبط سابقاً بالمجموعة.
  • خطأ مطبعي متكرر “RunOnece” ظهر في عدة برمجيات خبيثة.
سياق أوسع للهجمات الصينية

تأتي هذه الهجمات امتداداً لحملة مستمرة ضد الهند. ففي أبريل 2026، ربطت Acronis أداة LOTUSLITE بهجمات على القطاع المصرفي الهندي والسياسات الكورية الجنوبية، أيضاً عبر خدمات سحابية شرعية. كما تعود الاهتمامات الصينية بالبنية التحتية للطاقة في الهند إلى حملة RedEcho عام 2021 التي استهدفت شبكة الكهرباء باستخدام برمجية ShadowPad.

توصيات دفاعية

لا توجد ترقيعات مباشرة لهذه الهجمات، إذ يعتمد الدفاع على رصد أساليب التسليم واستغلال الخدمات السحابية. نشرت Acronis مؤشرات اختراق تشمل:

  • مفاتيح تشغيل (Run Keys) في النظام.
  • مهمة مجدولة باسم SolidPDFPcl2Bmp.
  • نطاق التحكم couldinstallup[.]com.
  • وكلاء مستخدم Zoho يظهرون في عمليات غير مرتبطة بالمتصفح.

ينبغي على المؤسسات الحكومية وقطاع الطاقة، خصوصاً تلك المنخرطة في اتفاقيات عابرة للحدود، مراقبة الطُعم الجيوسياسية، ورصد أي عمليات تحميل جانبي من ملفات موقعة، إضافة إلى التدقيق في أي عملية تستدعي واجهات برمجة التطبيقات السحابية دون مبرر مشروع.

محمد وهبى
محمد وهبى
المقالات: 1256

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.