أفاد باحثو Cisco Talos أن قطاعي الاتصالات والتصنيع في آسيا الوسطى والجنوبية باتا هدفاً لحملة مستمرة توزّع نسخة جديدة من برمجية PlugX (المعروفة أيضاً بـ Korplug أو SOGU). النسخة المطوّرة تشترك في خصائصها مع برمجيات RainyDay وTurian، إذ تستغل التطبيقات الشرعية لآلية DLL side-loading، وتستخدم خوارزمية XOR-RC4-RtlDecompressBuffer لتشفير وفك تشفير الحمولة، إلى جانب إعادة استخدام مفاتيح RC4.
ورغم شهرة PlugX كأداة وصول عن بُعد (RAT) وظّفتها مجموعات قرصنة صينية عدّة، فإنها ارتبطت بشكل خاص بمجموعة Mustang Panda المعروفة بأسماء متعددة مثل Bronze President وCamaro Dragon وEarth Preta.
ارتباط محتمل بين Lotus Panda وBackdoorDiplomacy
أوضح الباحثون أن إعدادات PlugX الجديدة تشبه بشكل لافت تلك الخاصة ببرمجية RainyDay المرتبطة بمجموعة Lotus Panda (المعروفة أيضاً بـ Naikon APT). وتتشابه أنماط الضحايا – خصوصاً استهداف شركات الاتصالات – مع مجموعة BackdoorDiplomacy، ما يشير إلى احتمال أن تكون المجموعتان كياناً واحداً أو أنهما تحصلان على أدواتهما من مزوّد مشترك.
في إحدى الحوادث، استُهدفت شركة اتصالات في كازاخستان، وهي دولة سبق أن تعرّضت لهجمات BackdoorDiplomacy. وتعتمد سلاسل الهجوم على استغلال تطبيق شرعي يدعى Mobile Popup Application لتحميل DLL خبيث يقوم بتشغيل حمولات PlugX وRainyDay وTurian في الذاكرة، مع تضمين مكوّن إضافي لتسجيل المفاتيح (keylogger).
برمجية Bookworm في عمليات Mustang Panda
بالتوازي، كشفت Palo Alto Networks Unit 42 تفاصيل حول برمجية Bookworm، التي تستخدمها مجموعة Mustang Panda منذ عام 2015 للسيطرة الكاملة على الأجهزة المخترقة. يتميز Bookworm بقدرات واسعة تشمل تنفيذ أوامر عشوائية، رفع وتنزيل الملفات، استخراج البيانات، والحفاظ على وصول دائم.
ووفقاً للتقرير، استهدفت الهجمات الأخيرة دولاً مرتبطة برابطة آسيان (ASEAN) عبر حملات توزّع Bookworm باستخدام مواقع شبيهة بالشرعية أو بنية تحتية مخترقة لأغراض C2، وذلك لتمويه حركة المرور الشبكية.
تقنيات متطورة ومعمارية وحدات مرنة
مثل PlugX، يعتمد Bookworm على تقنية DLL side-loading، فيما اعتمدت النسخ الأحدث منه أسلوباً مبتكراً يقوم على تغليف الشيفرة الخبيثة كسلاسل UUID وفك تشفيرها للتنفيذ. يتميز Bookworm بمعمارية وحدات معيارية (modular) تسمح بتحميل وظائف إضافية مباشرة من خادم التحكم، مما يعقّد من عمليات التحليل الثابت.
ويرى الباحثون أن استمرار تطوير Bookworm ونشره بالتوازي مع عمليات أخرى لـ Mustang Panda يعكس التزاماً طويل الأمد من المجموعة في الحفاظ على مكانته كأداة رئيسية في ترسانتها الرقمية.
