كشفت تقارير حديثة أن مجموعة التهديد المستمر المتقدم (APT) المعروفة باسم “الباندا المائية” (Aquatic Panda)، والمرتبطة بالصين، نفذت حملة تجسس إلكتروني عالمية استمرت 10 أشهر في عام 2022، مستهدفة سبع جهات دولية بارزة.
الأهداف المستهدفة في حملة التجسس
استهدفت الهجمات حكومات، منظمات خيرية كاثوليكية، منظمات غير حكومية (NGOs)، ومراكز أبحاث في كل من تايوان، المجر، تركيا، تايلاند، فرنسا، والولايات المتحدة. وأطلقت شركة الأمن السيبراني ESET على هذه الحملة اسم “عملية FishMedley”.
أدوات التجسس المستخدمة
بحسب الباحث الأمني ماتيو فاو، فقد استخدم المهاجمون برمجيات خبيثة متطورة تشمل:
-
ShadowPad
-
SodaMaster
-
Spyder
وتعد هذه الأدوات شائعة الاستخدام بين مجموعات التهديد الإلكتروني المرتبطة بالصين، حيث توفر إمكانيات متقدمة لزرع البرامج الضارة والتجسس على الأنظمة المصابة.
خلفية مجموعة “الباندا المائية”
تُعرف مجموعة “الباندا المائية” أيضاً بأسماء أخرى مثل Bronze University وCharcoal Typhoon وEarth Lusca وRedHotel. وهي مجموعة تجسس إلكتروني صينية نشطت منذ عام 2019 على الأقل.
وتخضع المجموعة لإشراف Winnti Group (المعروفة أيضاً بـ APT41 أو Barium أو Bronze Atlas)، كما أنها مرتبطة بشركة i-Soon، وهي مقاول صيني وُجّهت لعدد من موظفيه تهم رسمية من وزارة العدل الأمريكية لمشاركتهم في عمليات تجسس بين 2016 و2023.
تفاصيل الهجمات وأدوات الاختراق
تميزت هجمات 2022 باستخدام 5 عائلات مختلفة من البرمجيات الخبيثة، شملت:
-
ScatterBee – محمل برمجيات خبيثة يُستخدم لتوزيع ShadowPad وSpyder وSodaMaster وRPipeCommander.
-
RPipeCommander – أداة متقدمة غير موثقة سابقًا، تعتمد على لغة C++ وتستخدم لتنفيذ أوامر عن بُعد عبر cmd.exe وجمع نتائجها.
تقنيات الاختراق والتخفي
لم يتم تحديد الوسيلة الدقيقة التي استخدمها المخترقون للوصول الأولي إلى الأنظمة، لكن يعتقد أن المجموعة استعانت بهجمات تصيد احتيالي متطورة واستغلال ثغرات معروفة. كما أشار تقرير ESET إلى أن مجموعة APT10 كانت أول من استخدم برمجية SodaMaster، لكن يبدو أن “عملية FishMedley” تشير إلى أن هذه الأداة يتم تداولها بين عدة مجموعات قرصنة صينية.
استنتاجات وتحذيرات أمنية
أكد الباحثون أن مجموعة “الباندا المائية” لا تتردد في إعادة استخدام برمجيات خبيثة معروفة، مثل ShadowPad وSodaMaster، حتى بعد الكشف عنها علنياً، ما يشير إلى تصاعد التهديدات السيبرانية العالمية القادمة من جهات مدعومة من الصين.
يؤكد هذا التطور أهمية تعزيز إجراءات الحماية السيبرانية واعتماد تقنيات الكشف عن التهديدات المتقدمة لمواجهة الهجمات المتزايدة التي تستهدف الحكومات والمنظمات الدولية.
