كشفت شركة Proofpoint للأمن السيبراني عن حملة تجسس إلكتروني نفذتها مجموعة تهديد صينية تُعرف باسم TA415، استهدفت مؤسسات حكومية أميركية، مراكز أبحاث، ومنظمات أكاديمية من خلال هجمات تصيّد موجّه انتحلت فيها هويات بارزة مرتبطة بعلاقات الولايات المتحدة والصين.
تكتيكات التصيّد وأهداف الحملة
بحسب التحليل، تظاهرت المجموعة بأنها تمثل رئيس لجنة الكونغرس الخاصة بالتنافس الاستراتيجي مع الحزب الشيوعي الصيني، وكذلك مجلس الأعمال الأميركي-الصيني، لاستهداف أفراد متخصصين في قضايا التجارة والسياسات الاقتصادية. وجرى رصد النشاط خلال شهري يوليو وأغسطس 2025، في محاولة لجمع معلومات استخباراتية وسط المحادثات التجارية الجارية بين واشنطن وبكين.
سلسلة العدوى والأدوات المستخدمة
اعتمدت الحملة على رسائل بريد إلكتروني أرسلت من عنوان “uschina@zohomail[.]com”، متخفية عبر خدمة Cloudflare WARP VPN، وتضمنت روابط لملفات مضغوطة محمية بكلمة مرور على خدمات مشاركة سحابية مثل Zoho WorkDrive وDropbox.
احتوت الملفات على اختصار (LNK) يُنفّذ سكربت باتش خفي يشغّل Python loader يُعرف باسم WhirlCoil، إلى جانب عرض ملف PDF خداعي للضحايا. هذا اللودر ينشئ مهام مجدولة تعمل بامتيازات النظام، ليؤسس وصولًا مستمرًا عبر Visual Studio Code Remote Tunnels، جامعًا بيانات النظام ومحتويات مجلدات المستخدم وإرسالها مشفّرة بـ Base64 إلى خدمات تسجيل مجانية مثل requestrepo[.]com.
استغلال VS Code Remote Tunnels
أوضحت Proofpoint أن المهاجمين يستخدمون رمز التحقق المرسل للوصول عن بُعد إلى أنظمة الضحايا وتنفيذ أوامر عبر واجهة VS Code المدمجة. ويُذكر أن هذا الأسلوب ظهر أول مرة في سبتمبر 2024 مستهدفًا قطاعات الطيران والتأمين والصناعات الكيميائية، مع تعديلات طفيفة منذ ذلك الحين.
ويرى خبراء الأمن أن استمرار استغلال هذه الخاصية يعود لصعوبة رصدها ما لم تكن هناك مراقبة مخصّصة، الأمر الذي يزيد من خطورتها في الحملات الموجهة منخفضة الحجم ولكن عالية الدقة مثل تلك التي شُنّت في صيف 2025.
