كشفت وحدة أبحاث Cisco Talos عن نشاط متطور لمجموعة تهديد متقدمة مرتبطة بالصين، تحمل الاسم UAT-8302، استهدفت منذ أواخر عام 2024 كيانات حكومية في أمريكا الجنوبية، ثم وسعت نطاق عملياتها في عام 2025 لتشمل وكالات حكومية في جنوب شرق أوروبا. هذه المجموعة تعتمد على نشر برمجيات خبيثة مخصصة، بعضها مستخدم أيضًا من قبل مجموعات قرصنة صينية أخرى، ما يعكس مستوى عالٍ من التعاون والتنسيق بين هذه الكيانات.
برمجيات خبيثة مشتركة بين مجموعات مختلفة
من أبرز الأدوات التي استخدمتها المجموعة:
- NetDraft (NosyDoor): باب خلفي مكتوب بلغة C#، يُعد نسخة مطورة من FINALDRAFT (Squidoor)، وقد ارتبط سابقًا بمجموعات مثل Ink Dragon وEarth Alux وREF7707.
- CloudSorcerer: باب خلفي ظهر في هجمات ضد كيانات روسية منذ مايو 2024.
- SNOWLIGHT ونسخته المطورة SNOWRUST: أداة تحميل أولية (stager) استُخدمت من قبل مجموعات مثل UNC5174 وUAT-6382.
- Deed RAT (Snappybee) وZingdoor: خليفة لبرمجية ShadowPad، استُخدمت في هجمات نفذتها مجموعة Earth Estries.
- Draculoader: أداة تحميل عامة للشيفرات الخبيثة، تُستخدم لنشر برمجيات مثل Crowdoor وHemiGate.
هذه الأدوات تؤكد أن UAT-8302 ليست مجموعة مستقلة تمامًا، بل تعمل ضمن شبكة مترابطة من مجموعات التهديد الصينية، حيث يتم تبادل البرمجيات والقدرات بشكل منظم.
أساليب الاختراق والتحرك داخل الشبكات
رغم أن طرق الوصول الأولي غير مؤكدة، يُرجح أن المجموعة تعتمد على استغلال ثغرات Zero-Day وN-Day في التطبيقات الشبكية. بعد اختراق الشبكة، يقوم المهاجمون بعمليات استطلاع واسعة لرسم خريطة البنية التحتية، ويستخدمون أدوات مفتوحة المصدر مثل gogo لإجراء مسح آلي، ثم ينتقلون جانبيًا عبر الأنظمة حتى يتمكنوا من نشر البرمجيات الخبيثة مثل NetDraft وCloudSorcerer وVShell.
كما لوحظ أن المجموعة تستخدم أدوات بديلة لإنشاء قنوات وصول خلفية، مثل Stowaway وSoftEther VPN، ما يمنحها قدرة على الحفاظ على وجود طويل الأمد داخل الشبكات المستهدفة.
نموذج “الخدمة كمدخل أولي”
التحقيقات الأخيرة أبرزت ظاهرة جديدة أطلقت عليها شركة Trend Micro اسم Premier Pass-as-a-Service، حيث تقوم مجموعة مثل Earth Estries بتوفير وصول أولي إلى الشبكات لمجموعة أخرى مثل Earth Naga، بهدف تسريع مراحل الاستغلال وتقليل الوقت اللازم للاستطلاع والتنقل الجانبي. هذا النموذج، الذي يُعتقد أنه بدأ منذ عام 2023، يعكس مستوى غير مسبوق من التعاون بين مجموعات التهديد الصينية، ويعقد جهود تعقبها ونسب الهجمات إليها.
