كشفت تقارير أمنية حديثة عن حملة سيبرانية تقودها مجموعة القرصنة الصينية المعروفة باسم Silver Fox، استهدفت مؤسسات في الهند وروسيا عبر رسائل تصيّد إلكتروني تحمل طابعاً ضريبياً، مستخدمة برمجية خبيثة جديدة أُطلق عليها اسم ABCDoor. هذه الحملة تمثل امتداداً لعمليات المجموعة التي تجمع بين النشاط الربحي واسع النطاق والأنشطة التجسسية عالية الدقة.
أسلوب التصيّد الضريبي وتوزيع البرمجيات
بدأت الحملة في ديسمبر 2025 برسائل بريد إلكتروني مزيفة تحاكي مراسلات رسمية من مصلحة الضرائب الهندية، ثم تكررت لاحقاً ضد كيانات روسية. تضمنت الرسائل ملفات مضغوطة (ZIP أو RAR) تحمل أسماء مرتبطة بمخالفات ضريبية، لكنها في الواقع تحتوي على محمل خبيث مكتوب بلغة Rust، قادر على تنزيل وتشغيل برمجية ValleyRAT المعروفة. وقد رُصد أكثر من 1600 رسالة تصيّد خلال الفترة بين يناير وفبراير، استهدفت قطاعات صناعية واستشارية وتجزئة ونقل.
ظهور برمجية ABCDoor ودورها في الهجوم
اللافت في هذه الحملة هو نشر إضافة جديدة لبرمجية ValleyRAT تعمل كمحمل لبرمجية خلفية غير موثقة سابقاً باسم ABCDoor، المكتوبة بلغة بايثون. هذه البرمجية ظهرت في ترسانة المجموعة منذ ديسمبر 2024، ودخلت حيز الاستخدام الفعلي في أوائل 2025. تقوم ABCDoor بالاتصال بخوادم خارجية عبر بروتوكول HTTPS، وتنفذ مجموعة واسعة من المهام تشمل جمع البيانات (مثل لقطات الشاشة)، التحكم عن بُعد في الفأرة ولوحة المفاتيح، إدارة العمليات والملفات، وسرقة محتويات الحافظة (Clipboard).
تقنيات متقدمة للتخفي والاستمرارية
اعتمدت المجموعة نسخة معدلة من إطار RustSL مفتوح المصدر لتجاوز أنظمة الحماية، مع إضافة آليات جغرافية لتقييد الاستهداف (Geofencing) تشمل دولاً مثل الهند وروسيا وإندونيسيا وجنوب أفريقيا وكمبوديا. كما استخدمت تقنية جديدة تُعرف باسم Phantom Persistence، تقوم على اعتراض إشارة إيقاف تشغيل النظام وإعادة تشغيله تحت غطاء تحديث مزيف، ما يضمن تشغيل البرمجية الخبيثة عند بدء تشغيل النظام. هذه الأساليب تجعل رصد الهجمات أكثر صعوبة، إذ تعتمد على استدعاءات نظام طبيعية يصعب تمييزها عن السلوك المشروع للتطبيقات.
توسع العمليات وأبعادها الاستراتيجية
تشير تقارير أمنية إلى أن المجموعة وسّعت نطاق عملياتها منذ 2024، حيث انتقلت من استهداف الصين إلى تايوان واليابان، ثم إلى الهند وروسيا وإندونيسيا وجنوب أفريقيا. وتؤكد شركة S2W أن “Silver Fox” تعمل وفق نموذج مزدوج يجمع بين أنشطة تجارية واسعة النطاق وأنشطة تجسسية موجهة، مع اعتمادها على تقنيات تصيّد مخصصة بعناية تتماشى مع القضايا الموسمية والبيئة العملية للضحايا. هذا التوسع يعكس قدرة المجموعة على التكيف مع السياقات المحلية وتوظيف أساليب متقدمة لتحقيق أهدافها، ما يجعلها واحدة من أبرز التهديدات السيبرانية العابرة للحدود في المرحلة الراهنة.
