كشفت شركة IBM X-Force للأمن السيبراني عن حملة تجسس إلكترونية جديدة تقودها مجموعة التهديد الصينية المعروفة باسم Mustang Panda، تستهدف هذه المرة المجتمع التبتي عبر سلسلة من هجمات التصيّد الاحتيالي الموجّهة.
لُغم سيبراني في هيئة وثيقة تبتيّة
اعتمدت الهجمات على طُعوم هندسة اجتماعية تتعلق بقضايا شائكة حول التبت، مثل المؤتمر التاسع للبرلمانيين من أجل التبت (WPCT)، وسياسة الصين التعليمية في إقليم التبت ذاتي الحكم (TAR)، وكتاب جديد نشره الدالاي لاما الرابع عشر.
وأوضحت IBM أن الحملة بدأت أوائل يونيو الجاري، واستُخدمت خلالها برمجية خبيثة تعرف باسم PUBLOAD، وهي أداة تحميل مرتبطة سابقًا بمجموعة Mustang Panda. وقد أطلقت الشركة على هذه الحملة اسم Hive0154.
توزّع الهجمات عبر أرشيفات خبيثة تحتوي على ملفات Microsoft Word غير ضارة ظاهريًا، بالإضافة إلى صور ومقالات من مواقع تبتيّة، لكنها تخفي داخلها ملفًا تنفيذيًا (.exe) يُمَوَّه على هيئة مستند.
سلاسل العدوى: من Claimloader إلى PUBLOAD ثم إلى Pubshell
بمجرد تشغيل الملف التنفيذي، يبدأ بتنفيذ تقنية تحميل المكتبات الجانبية (DLL Side-Loading)، حيث يتم تحميل DLL خبيثة تُعرف باسم Claimloader، تقوم بدورها بتنزيل برمجية PUBLOAD، وهي أداة تحميل تتصل بخادم خارجي للحصول على حمولة لاحقة تُسمى Pubshell.
ووفقًا لتحليل الباحثين غولو موهر وجوشوا تشونغ، تُعد Pubshell بابًا خلفيًا خفيفًا (Lite Backdoor) يُمكّن الجهات المهاجمة من الوصول الفوري إلى الجهاز عبر قنوات اتصال عكسية (Reverse Shell).
تباينات التسمية بين الشركات
تجدر الإشارة إلى أن هناك اختلافًا في المصطلحات بين شركات الأمن السيبراني؛ حيث تطلق IBM على المرحلة التمهيدية اسم Claimloader، بينما تطلق على أداة التحميل الأولية اسم PUBLOAD، في حين تصنف Trend Micro كلا المرحلتين تحت اسم واحد هو PUBLOAD، وتستخدم شركة TeamT5 اسم NoFive لكلا المكونين.
توسّع الحملة وتنوّع الأسلحة
الحملة الجديدة تأتي امتدادًا لنشاط سابق من مجموعة Hive0154، والتي استهدفت خلال الفترة ما بين أواخر 2024 ومطلع 2025 جهات حكومية وعسكرية ودبلوماسية في كل من الولايات المتحدة، الفلبين، باكستان، وتايوان، باستخدام أرشيفات ZIP أو RAR يتم تحميلها من روابط Google Drive.
تم في هذه الحملات استخدام برمجيات مثل TONESHELL في 2024، وPUBLOAD في 2025. وتتشابه TONESHELL وPubshell من حيث وظيفة إنشاء قناة Reverse Shell، لكن تختلفان تقنيًا في بعض خصائص التنفيذ.
وأشار الباحثون إلى أن “Pubshell تشبه نسخة خفيفة من TONESHELL، لكنها أقل تطورًا من الناحية البرمجية، رغم وجود تشابه في الشيفرة المصدرية”.
انتشار العدوى عبر USB في تايوان
الهجمات التي استهدفت تايوان اتسمت باستخدام دودة USB خبيثة تُعرف باسم HIUPAN (أو MISTCLOAK أو U2DiskWatch)، حيث يتم استخدامها لنشر برمجية Claimloader وPUBLOAD عبر أجهزة USB.
وخلص التقرير إلى أن Hive0154 تمثل تهديدًا عالي الاحتراف، نظرًا لتعدد فرقها الفرعية، وسرعة تطوير أدواتها الخبيثة، وقدرتها على الانتشار بوسائل متنوعة، خاصة عبر الوسائط القابلة للإزالة مثل USB.
خلاصة: تهديد مستمر من الشرق
قال الباحثون:
“تظل مجموعة Hive0154 تهديدًا متطورًا ومتجددًا، مع تركيز واضح على مؤسسات الشرق الآسيوي في القطاعين العام والخاص. تنوع أدواتهم، وسرعة تطويرهم، واستخدامهم لدودة USB لتوزيع البرمجيات الخبيثة، كلها مؤشرات على درجة عالية من الاحترافية والمرونة”.
