أفاد تقرير حديث صادر عن Cisco Talos أن مجموعة تهديد مرتبطة بالصين تُعرف باسم UAT-7290 تنفذ منذ عام 2022 هجمات تجسسية مركزة ضد كيانات في جنوب آسيا وأوروبا الجنوبية الشرقية.
تعتمد هذه المجموعة على استطلاع تقني واسع النطاق للبنية التحتية للمؤسسات المستهدفة قبل الشروع في الهجوم، ما يتيح لها نشر عائلات برمجيات خبيثة متقدمة مثل RushDrop وDriveSwitch وSilentRaid.
بنية ORB ودور مزدوج في العمليات
الباحثون أوضحوا أن المجموعة لا تكتفي بالتجسس العميق داخل شبكات المؤسسات، بل تقوم أيضاً بإنشاء بنية تحتية تُعرف باسم Operational Relay Box (ORB).
هذه البنية يمكن أن تُستخدم لاحقاً من قبل مجموعات أخرى مرتبطة بالصين، ما يبرز الدور المزدوج لـ UAT-7290 كمجموعة تجسس وأيضاً كمجموعة وصول أولي توفر نقاط انطلاق لهجمات لاحقة.
أدوات الهجوم والبرمجيات الخبيثة
تتنوع أدوات وتقنيات المجموعة بشكل كبير، حيث تجمع بين برمجيات مفتوحة المصدر وأدوات مخصصة واستغلال ثغرات “يوم واحد” في منتجات الشبكات الطرفية.
من أبرز البرمجيات التي تستخدمها:
- RushDrop (ChronosRAT): أداة إسقاط تبدأ سلسلة العدوى.
- DriveSwitch: برمجية وسيطة تُستخدم لتنفيذ SilentRaid.
- SilentRaid (MystRodX): غرسة مبنية بلغة C++ تمنح وصولاً دائماً للنظام المصاب، وتتيح فتح قنوات اتصال خارجية، تشغيل أوامر عن بُعد، إعداد تحويل المنافذ، وإدارة الملفات.
تحليلات سابقة من QiAnXin XLab صنفت MystRodX كنسخة من ChronosRAT، وهو ملف ELF معياري قادر على تنفيذ الشيفرات، إدارة الملفات، تسجيل ضغطات المفاتيح، تحويل المنافذ، التقاط صور للشاشة، وإنشاء بروكسيات. كما أن Palo Alto Networks Unit 42 تتبع المجموعة تحت اسم CL-STA-0969.
برمجية Bulbature وتحويل الأجهزة الطرفية
إلى جانب هذه الأدوات، تستخدم المجموعة باباً خلفياً يُعرف باسم Bulbature، قادر على تحويل الأجهزة الطرفية المصابة إلى عقد ORB. وقد تم توثيقه لأول مرة من قبل شركة Sekoia في أكتوبر 2024.
هذا الأسلوب يعزز قدرة المجموعة على بناء شبكة معقدة من العقد الوسيطة، ما يسهل عمليات التخفي والتمويه أثناء الهجمات.
روابط مع مجموعات صينية أخرى
تؤكد شركات الأمن السيبراني أن UAT-7290 تشترك في تكتيكات وبنية تحتية مع مجموعات صينية بارزة مثل Stone Panda وRedFoxtrot (Nomad Panda)، ما يعزز فرضية التعاون أو التداخل بين هذه الكيانات.
وتشير الأدلة إلى أن المجموعة تعتمد على استغلالات منشورة علناً (PoC) بدلاً من تطوير ثغراتها الخاصة، إضافة إلى استخدام هجمات Brute Force على بروتوكول SSH لاستهداف الأجهزة الطرفية المكشوفة.
