نُسبت حملة تصيّد جديدة تستهدف شركات الدفاع التركية إلى جماعة التهديد المعروفة باسم Patchwork، بهدف جمع معلومات استراتيجية حساسة.
وذكرت شركة Arctic Wolf Labs في تقرير فني صدر هذا الأسبوع، أن “الحملة تنفذ سلسلة تنفيذ من خمس مراحل تُسلَّم عبر ملفات اختصار خبيثة (LNK) مموهة في شكل دعوات لحضور مؤتمرات موجهة للمهتمين بأنظمة المركبات غير المأهولة”.
ويُعتقد أن الحملة ذات دوافع جيوسياسية، إذ تزامنت مع تعزيز التعاون الدفاعي بين باكستان وتركيا، بالإضافة إلى المناوشات العسكرية الأخيرة بين الهند وباكستان. كما استهدفت الحملة مصنعاً غير مُسمى لإنتاج أنظمة الصواريخ الموجهة بدقة.
نشاط استخباراتي من جهة هندية مدعومة
جماعة Patchwork، المعروفة أيضاً بأسماء APT-C-09 وAPT-Q-36 وChinastrats وDropping Elephant وOperation Hangover وQuilted Tiger وZinc Emerson، تُعتبر جهة تهديد مدعومة من الدولة الهندية. وتنشط منذ عام 2009 على الأقل، ولها سجل طويل في استهداف كيانات في الصين وباكستان ودول جنوب آسيا.
قبل عام تمامًا، وثّقت مجموعة Knownsec 404 استهداف الجماعة لجهات على صلة بمملكة بوتان، عبر تسليم إطار Brute Ratel C4 ونسخة محدّثة من بابٍ خلفي يُعرف باسم PGoShell.
ومنذ مطلع عام 2025، نُسبت إلى الجماعة حملات متعددة استهدفت جامعات صينية، استخدمت فيها طُعماً مرتبطاً بشبكات الطاقة لتسليم محمّل بُني بلغة Rust، يقوم بفك تشفير وتنفيذ حصان طروادة مكتوب بلغة C# يُدعى Protego، بهدف جمع طيف واسع من المعلومات من الأنظمة المصابة.
وفي مايو 2025، كشفت شركة QiAnXin الصينية للأمن السيبراني عن تداخل في البنية التحتية بين جماعة Patchwork وفريق DoNot المعروف أيضاً بـ APT-Q-38 أو Bellyworm، ما يشير إلى وجود صلات تشغيلية محتملة بين الكيانين.
آلية الهجوم وتنفيذ الحمولة الخبيثة
يشير استهداف تركيا إلى توسع واضح في نطاق عمليات Patchwork، حيث تبدأ سلسلة العدوى بملف اختصار (LNK) يُوزَّع عبر رسائل تصيّد. يعمل هذا الملف على تنفيذ أوامر PowerShell لجلب حمولة إضافية من خادم خارجي يُدعى “expouav[.]org”، وهو نطاق تم إنشاؤه في 25 يونيو 2025، ويستضيف ملف PDF مموّهًا كمؤتمر دولي حول أنظمة المركبات غير المأهولة، مأخوذ من موقع waset[.]org الشرعي.
أوضحت Arctic Wolf أن “الوثيقة المموهة تُستخدم كخدعة بصرية لتشتيت انتباه المستخدم، في حين تعمل بقية سلسلة التنفيذ بصمت في الخلفية”.
ويأتي هذا الاستهداف في وقت تقود فيه تركيا 65% من صادرات المركبات الجوية غير المأهولة على مستوى العالم، وتُطوّر تقنيات حرجة تتعلق بالصواريخ الفرط صوتية، إلى جانب تعزيزها للتعاون الدفاعي مع باكستان في ظل تصاعد التوتر مع الهند.
حمولات DLL واستطلاع متقدم للنظام
تشمل الحمولات التي يتم تنزيلها مكتبة DLL خبيثة يجري تشغيلها باستخدام تقنية التحميل الجانبي (DLL side-loading) عبر مهمة مجدولة، مما يؤدي في نهاية المطاف إلى تنفيذ تعليمات برمجية تستهدف الاستطلاع المتعمق للجهاز المصاب، مثل التقاط لقطات الشاشة وإرسال البيانات إلى الخادم المتحكم.
وقالت الشركة إن “هذا يمثل تطورًا كبيرًا في قدرات الجهة المهاجمة، حيث انتقلت من ملفات DLL بتنسيق x64 التي رُصدت في نوفمبر 2024، إلى ملفات تنفيذية PE بتنسيق x86 ذات هياكل أوامر محسّنة”.
وأضافت أن “جماعة Dropping Elephant تُظهر استثمارًا عملياتيًا متواصلًا وتطورًا معماريًا من خلال التحول من تنسيقات DLL إلى PE، وتنفيذ بروتوكولات تحكم واتصال محسّنة تُحاكي مواقع إلكترونية شرعية”.
