مجموعة NightEagle تستغل ثغرة في Microsoft Exchange لاستهداف قطاعات عسكرية وتقنية في الصين

كشف باحثو الأمن السيبراني عن مجموعة تهديد غير موثقة سابقًا تُدعى NightEagle (المعروفة أيضًا باسم APT-Q-95) قامت باستغلال ثغرة في خوادم Microsoft Exchange ضمن سلسلة هجمات من نوع يوم الصفر، استهدفت جهات حكومية وعسكرية وتقنية داخل الصين.

وبحسب فريق RedDrip التابع لشركة QiAnXin الصينية للأمن السيبراني، فإن المجموعة تنشط منذ عام 2023، وتبدّل بنيتها التحتية للشبكة بوتيرة سريعة جدًا، وهو ما تم عرضه خلال مؤتمر CYDES 2025، المعرض والمؤتمر الوطني الماليزي للأمن والدفاع السيبراني الذي عُقد في الفترة من 1 إلى 3 يوليو 2025.

وقالت الشركة المبلغة:

“يبدو أن هذه المجموعة تعمل بسرعة النسر وتشن عملياتها ليلًا داخل الصين” — وهو ما ألهم تسمية المجموعة بـ NightEagle.

أهداف الهجمات

استهدفت الهجمات كيانات عاملة في قطاعات حساسة تشمل:

التكنولوجيا المتقدمة
صناعة الرقائق الإلكترونية
تكنولوجيا الكم
الذكاء الاصطناعي
المجال العسكري

وكان الهدف الأساسي للمجموعة هو جمع المعلومات الاستخباراتية.

أداة “Chisel” المعدّلة

بدأ تحقيق شركة QiAnXin بعد اكتشاف نسخة معدّلة من أداة Chisel المبنية بلغة Go، والمستخدمة في اختراق الشبكات الداخلية، على أحد أجهزة عملائها. كانت الأداة مهيّأة لتبدأ تلقائيًا كل أربع ساعات ضمن مهمة مجدولة.

وأوضح التقرير:

“قام المهاجم بتعديل الكود المصدري لأداة Chisel مفتوحة المصدر، وزرع معلمات التنفيذ داخلها، واستخدم اسم مستخدم وكلمة مرور محددين، وأنشأ اتصالاً عبر بروتوكول SOCKS إلى المنفذ 443 من خادم التحكم C&C، ووجهه إلى منفذ داخلي بهدف اختراق الشبكة الداخلية.”

زرع التروجان عبر Microsoft Exchange

ووفقًا للتحليل، فإن البرمجية الخبيثة (التروجان) تُسلّم عبر محمّل مبني على منصة .NET، يُزرع داخل خدمة IIS المرتبطة بـ Microsoft Exchange. وتبيّن وجود ثغرة يوم صفر مكّنت المهاجمين من استخراج قيمة machineKey والوصول غير المصرح به إلى خادم Exchange.

وأضاف التقرير:

“استغل المهاجم المفتاح لفك تسلسل بيانات الخادم (deserialization)، ما أتاح له زرع التروجان في أي خادم يطابق إصدار Exchange، وقراءة بيانات البريد الإلكتروني لأي مستخدم عن بُعد.”