كشفت فرق التهديدات السيبرانية عن تكتيكات مجموعة قرصنة صينية تُعرف باسم UnsolicitedBooker، استهدفت منظمة دولية لم يُكشف عن اسمها في المملكة العربية السعودية باستخدام باب خلفي جديد يُطلق عليه اسم MarsSnake، لم يتم توثيقه من قبل.
وقالت شركة الأمن السيبراني ESET، التي رصدت لأول مرة عمليات التسلل التابعة لهذه المجموعة في مارس 2023 ثم كررتها مجددًا بعد عام، إن الهجمات اعتمدت على رسائل تصيد موجه تحتوي على تذاكر طيران مزيفة كطُعم لاختراق أهداف محددة.
وأضافت الشركة في أحدث تقرير لها عن نشاط التهديدات المتقدمة (APT) خلال الفترة من أكتوبر 2024 إلى مارس 2025:
“ترسل UnsolicitedBooker رسائل بريد إلكتروني موجهة، غالبًا ما تحتوي على تذاكر طيران وهمية كوسيلة إغراء، وتستهدف جهات حكومية في آسيا وأفريقيا والشرق الأوسط.”
تكتيكات الهجوم: أبواب خلفية وتصيد موجه
يُعرف عن هذه المجموعة استخدامها المتكرر لأبواب خلفية مثل Chinoxy، وDeedRAT، وPoison Ivy، وBeRAT، وهي أدوات تُستخدم على نطاق واسع من قِبل فرق اختراق صينية.
وتشير التقييمات إلى وجود تقاطع بين مجموعة UnsolicitedBooker ومجموعة تُعرف باسم Space Pirates، بالإضافة إلى مجموعة أخرى لم تُنسب بعد لأي جهة، لكنها استخدمت بابًا خلفيًا يُدعى Zardoor في هجوم استهدف منظمة إسلامية غير ربحية في السعودية.
وقد تم رصد أحدث حملة اختراق في يناير 2025، حيث أُرسلت رسالة تصيّد إلكتروني عبر البريد الإلكتروني تزعم أنها من الخطوط الجوية السعودية، تتعلق بحجز رحلة جوية موجهة إلى نفس الجهة المستهدفة في السعودية.
حمولة خبيثة عبر مستند Word
وفقًا لتفاصيل ESET:
“احتوت الرسالة على مستند Microsoft Word مرفق، يتضمن محتوى مضللًا عبارة عن تذكرة طيران معدّلة، مبنية على ملف PDF كان متاحًا على موقع Academia الخاص بمشاركة البحوث الأكاديمية.”
وبمجرد فتح مستند Word، يتم تفعيل ماكرو VBA يقوم بفك تشفير وكتابة ملف تنفيذي باسم smssdrvhost.exe على نظام الضحية، ليعمل كـ”لودر” لتحميل الباب الخلفي MarsSnake، والذي بدوره يُنشئ قناة اتصال مع خادم بعيد بعنوان contact.decenttoy[.]top.
وذكرت ESET أن “محاولات الاختراق المتعددة في الأعوام 2023 و2024 و2025 تُظهر اهتمامًا شديدًا من جانب مجموعة UnsolicitedBooker بهذا الهدف تحديدًا”.
تهديدات صينية متزامنة: APT31 وDigitalRecyclers
جاء هذا الكشف في وقت استهدفت فيه مجموعة تهديد صينية أخرى تُعرف باسم PerplexedGoblin (المعروفة أيضًا باسم APT31) كيانًا حكوميًا في وسط أوروبا في ديسمبر 2024، مستخدمة بابًا خلفيًا للتجسس يُدعى NanoSlate.
كما كشفت ESET عن مواصلة مجموعة DigitalRecyclers هجماتها على مؤسسات حكومية تابعة للاتحاد الأوروبي، مستغلة شبكة تشغيل تُعرف باسم KMA VPN ORB لإخفاء حركة المرور، وناشرة أبوابًا خلفية متعددة مثل RClient وHydroRShell وGiftBox.
وقد تم اكتشاف DigitalRecyclers لأول مرة عام 2021، لكن يُعتقد أنها نشطة منذ عام 2018 على الأقل.
وقالت ESET:
“يُرجح أن تكون DigitalRecyclers مرتبطة بمجموعتي Ke3chang وBackdoorDiplomacy، وتُصنف ضمن فئة APT15. تستخدم المجموعة زرعًا خبيثًا يُعرف باسم RClient، وهو نسخة من أداة Project KMA لسرقة البيانات. وفي سبتمبر 2023، قدمت بابًا خلفيًا جديدًا باسم HydroRShell يستخدم بروتوكولات Google Protobuf وMbed TLS في اتصالاته مع خوادم القيادة والسيطرة (C2).”
