كشفت شركة Group-IB للأمن السيبراني عن حملة تجسس جديدة تقودها مجموعة تهديد تُعرف باسم ShadowSilk، استهدفت ما يقرب من 35 منظمة حكومية وقطاعات حيوية أخرى في آسيا الوسطى ومنطقة آسيا والمحيط الهادئ. وتركّزت الهجمات بشكل رئيسي على سرقة البيانات عبر أساليب متقدمة للتسلل والاختباء.
ضحايا الهجمات والقطاعات المستهدفة
شملت الهجمات دول أوزبكستان وقيرغيزستان وميانمار وطاجيكستان وباكستان وتركمانستان، وكان معظم الضحايا من المؤسسات الحكومية، بينما امتدت الهجمات أيضاً إلى قطاعات الطاقة والصناعة والتجزئة والنقل.
وأظهرت التحليلات أن المجموعة تتألف من فريق ثنائي اللغة، حيث يعمل مطورون ناطقون بالروسية مرتبطون بشيفرات قديمة لمجموعة YoroTrooper، إلى جانب مشغلين ناطقين بالصينية يقودون عمليات الاختراق، ما يعكس طابعاً متعدد الأقاليم للهجمات.
خلفية مجموعات التهديد المرتبطة
تم توثيق أنشطة مجموعة YoroTrooper لأول مرة من قبل Cisco Talos عام 2023، حيث استهدفت منظمات حكومية وطاقوية ودولية في أوروبا منذ عام 2022، بينما تعود أنشطتها إلى عام 2021 وفق تقارير ESET.
وفي يناير 2025، كشفت مختبرات Seqrite عن هجمات سيبرانية لمجموعة Silent Lynx استهدفت منظمات في قيرغيزستان وتركمانستان، وأظهرت تقاطعات واضحة مع YoroTrooper.
وتُعد ShadowSilk تطوراً جديداً لهذه المجموعات، حيث تبنت تقنيات أكثر تطوراً في الاختراق والإخفاء.
آلية الهجوم عبر تيليغرام وتقنيات التسلل
تعتمد ShadowSilk على رسائل التصيد الاحتيالي الموجّه كبوابة أولية للهجوم، حيث يتم إسقاط ملفات أرشيف محمية بكلمة مرور تحتوي على أداة تحميل مخصصة. وتُخفي هذه الأداة حركة الاتصال بالخوادم (C2) خلف روبوتات تيليغرام لتجنب الاكتشاف، وتقوم بتنزيل برمجيات إضافية.
كما تعتمد المجموعة على تعديل سجل نظام ويندوز لضمان استمرار عمل البرمجيات الخبيثة بعد إعادة تشغيل الأجهزة.
استغلال الثغرات وأدوات الاختراق
استخدمت ShadowSilk ثغرات عامة معروفة مثل:
-
ثغرتا Drupal CVE-2018-7600 و CVE-2018-76020
-
ثغرة إضافة WP-Automatic في ووردبريس CVE-2024-27956
كما اعتمدت على مجموعة واسعة من أدوات الاختراق مثل Metasploit و Cobalt Strike و Gobuster و Dirsearch، إضافة إلى لوحات تحكم مثل JRAT و Morf Project لإدارة الأجهزة المخترقة.
أدوات ما بعد الاختراق وسرقة البيانات
بمجرد التمكن من الدخول، تنشر المجموعة أدوات مثل ANTSWORD و Behinder و Godzilla و FinalShell لتثبيت أصداف ويب، بجانب أدوات نفق مثل Chisel و Resocks للتحرك أفقياً داخل الشبكات.
كما نشرت حصان طروادة Python RAT قادر على تنفيذ أوامر وسحب البيانات عبر تيليغرام، ما يجعل الاتصالات الخبيثة تبدو كنشاط عادي. وتستعين أيضاً بسكربتات PowerShell لمسح الملفات وتجميعها في أرشيفات مضغوطة قبل إرسالها إلى خوادم خارجية.
مؤشرات على تورط ناطقين بالصينية
أشارت الأدلة الرقمية إلى أن بعض منفذي الهجمات يستخدمون اللغة الصينية، حيث رُصدت عمليات ترجمة تلقائية لمواقع حكومية في قيرغيزستان إلى الصينية، إلى جانب استخدام ماسحات ثغرات صينية المنشأ. وهو ما يؤكد مشاركة مشغلين صينيين إلى جانب العناصر الناطقة بالروسية.
استمرار نشاط ShadowSilk
أكدت Group-IB أن المجموعة ما زالت نشطة، وتم تسجيل ضحايا جدد حتى يوليو 2025، مع تركيز متزايد على القطاع الحكومي في آسيا الوسطى ومنطقة آسيا والمحيط الهادئ. ويُبرز ذلك الحاجة إلى مراقبة مستمرة للبنية التحتية الرقمية لمنع عمليات تسلل طويلة الأمد وسرقة البيانات.
