مجموعة TA4922 المرتبطة بالصين توسّع هجماتها بالتصيّد الإلكتروني إلى أوروبا وجنوب أفريقيا

مجموعة TA4922 المرتبطة بالصين توسّع هجماتها بالتصيّد الإلكتروني إلى أوروبا وجنوب أفريقيا
مجموعة TA4922 المرتبطة بالصين توسّع هجماتها بالتصيّد الإلكتروني إلى أوروبا وجنوب أفريقيا
شارك هذا الخبر

أعلنت شركة Proofpoint للأمن السيبراني عن رصد توسع جديد لمجموعة تهديد سيبراني مرتبطة بالصين تُعرف باسم TA4922، حيث بدأت باستهداف منظمات في المملكة المتحدة وألمانيا وإيطاليا وجنوب أفريقيا. هذه المجموعة، التي كانت تركز سابقًا على شرق آسيا، تعتمد على ترسانة متطورة من البرمجيات الخبيثة تشمل أدوات معروفة مثل ValleyRAT (المعروف أيضًا باسم Winos 4.0) وAtlas RAT، إضافة إلى أدوات جديدة غير موثقة سابقًا مثل RomulusLoader وSilentRunLoader.

تُقيّم Proofpoint أن المجموعة ذات دوافع مالية بالدرجة الأولى، إذ تسعى للحصول على وصول عن بُعد إلى بيئات الضحايا لتحقيق مكاسب مثل سرقة البيانات، الاحتيال، إعادة بيع الوصول، أو الحفاظ على وجود مستمر داخل الأنظمة.

أساليب الهجوم والتكتيكات الجديدة

اعتمدت TA4922 في الأشهر الأخيرة على حملات تصيّد إلكتروني تستغل موضوعات الموارد البشرية والأعمال، بهدف سرقة بيانات الاعتماد أو نشر برمجيات خبيثة. ومن أبرز التحولات في تكتيكاتها محاولة نقل المحادثات من البريد الإلكتروني إلى قنوات خارجية مثل LINE وواتساب وMicrosoft Teams، لتجاوز أنظمة الحماية المؤسسية.

تفاصيل بعض الحملات الأخيرة:

  • 6 مارس 2026: استخدام طُعوم متعلقة بالموارد البشرية لاستهداف منظمات يابانية ونشر Atlas RAT عبر تقنية DLL side-loading.
  • 23 مارس 2026: استخدام طُعوم مؤسسية لتسليم RomulusLoader المبني بلغة C عبر DLL side-loading.
  • 30 مارس 2026: استهداف منظمات في المملكة المتحدة باستخدام طُعوم مرتبطة بالسلطات الضريبية لنشر SilentRunLoader المبني بلغة Python، والذي سرق بيانات حساسة من متصفح Chrome.
  • 2 أبريل 2026: هجمات على منظمات في المملكة المتحدة وألمانيا باستخدام طُعوم موارد بشرية لتسليم Atlas RAT.
  • 10 أبريل 2026: هجمات على منظمات في جنوب شرق آسيا والمملكة المتحدة باستخدام طُعوم متعلقة بالمزايا والامتثال لنشر SilentRunLoader وسرقة بيانات Chrome.
  • منتصف أبريل 2026: هجمات على منظمات في اليابان وألمانيا باستخدام طُعوم ضريبية وتجارية لنشر RomulusLoader، الذي استُخدم لاحقًا لتثبيت أدوات مثل AnyDesk وSyncFuture.
دلالات أمنية ومخاطر مستقبلية

رغم أن المجموعة تبدو ذات دوافع مالية، إلا أن قدرات البرمجيات التي تستخدمها تشمل إمكانيات مراقبة وتجسس، ما يفتح الباب أمام احتمال بيع هذه القدرات أو استخدامها من قبل جهات استخباراتية. هذا التوسع الجغرافي يعكس قدرة المهاجمين على توسيع نطاق عملياتهم بسرعة لتشمل أهدافًا جديدة في أي وقت.

تؤكد Proofpoint أن هذه الحملات تُظهر مدى تعقيد التهديدات السيبرانية الحديثة، وأن المؤسسات في مختلف المناطق يجب أن تكون على وعي دائم بالتهديدات الناشئة، حتى لو لم تكن ضمن نطاق الاستهداف التقليدي.

وسوم
محمد طاهر
محمد طاهر
المقالات: 1618

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة