كشفت شركة Arctic Wolf للأمن السيبراني عن حملة تجسس جديدة تقف وراءها جهة تهديد صينية تُعرف باسم UNC6384، استهدفت بعثاتٍ دبلوماسية وهيئات حكومية أوروبية بين شهري سبتمبر وأكتوبر 2025، عبر استغلال ثغرة غير مُصححة في اختصارات نظام ويندوز (Windows Shortcut).
ووفقًا للتقرير التقني الصادر يوم الخميس، فقد شملت الأهداف مؤسسات دبلوماسية في هنغاريا وبلجيكا وإيطاليا وهولندا، إضافة إلى وكالات حكومية في صربيا، ضمن حملة موجهة بدقة لتعقب الدبلوماسيين الأوروبيين.
سلسلة الهجوم: من رسائل التصيّد إلى استغلال الثغرة
تبدأ سلسلة الهجوم برسائل تصيّد موجّه (Spear-phishing) تحتوي على رابط مضمَّن يقود إلى عدّة مراحل تنتهي بتسليم ملفات LNK خبيثة، تحمل طابعًا رسميًا يوحي بارتباطها باجتماعات المفوضية الأوروبية أو ورش عمل الناتو أو فعاليات دبلوماسية متعددة الأطراف.
تستغل هذه الملفات الثغرة ZDI-CAN-25373 لتنفيذ هجومٍ متعدد المراحل ينتهي بزرع برمجية التجسس PlugX عبر أسلوب DLL Side-Loading. ويُعرف هذا التروجان بعدة أسماء، منها Destroy RAT وKorplug وSOGU وTIGERPLUG.
وبحسب Google Threat Intelligence Group (GTIG)، فإن مجموعة UNC6384 تشترك تكتيكيًا وأدواتيًا مع مجموعة Mustang Panda المعروفة بهجماتها ذات الطابع الجيوسياسي، وقد رُصدت وهي تنشر نسخةً متقدمة من PlugX تُعرف باسم SOGU.SEC تعمل مباشرة في الذاكرة دون تخزينها على القرص.
الثغرة المستهدفة: من XDSpy إلى UNC6384
تحمل الثغرة اسم CVE-2025-9491 (بدرجة خطورة 7.0)، وهي خلل في معالجة ملفات الاختصار LNK يسمح بتنفيذ أوامر خفية على جهاز الضحية، وقد استُخدمت لأول مرة منذ عام 2017 من قبل جهات تهديد متعددة.
اكتُشفت الثغرة في مارس 2025 بواسطة الباحثين بيتر جيرنوس وعلي أكبر زهراوي، ثم تبين لاحقًا – وفقًا لتقرير HarfangLab – أن مجموعة تجسس تُعرف باسم XDSpy استغلتها لتوزيع برمجية خبيثة مكتوبة بلغة Go تُعرف باسم XDigo ضد هيئات حكومية في أوروبا الشرقية.
وأكدت مايكروسوفت آنذاك أن برنامج Microsoft Defender قادر على اكتشاف هذا التهديد ومنعه، وأن خاصية Smart App Control تضيف طبقة حماية إضافية بحجب الملفات الخبيثة القادمة من الإنترنت.
الآلية التقنية: تحميل خفي وتنفيذ متعدد المراحل
يُصمم ملف LNK الخبيث لتشغيل أمر PowerShell يفك شفرة محتوى أرشيف TAR، وفي الوقت نفسه يعرض ملف PDF وهمي لتشتيت المستخدم. يحتوي الأرشيف على ثلاثة ملفات:
-
أداة أصلية من Canon تُستغل لتضليل الدفاعات،
-
مكتبة خبيثة تُدعى CanonStager.dll تُحمَّل بأسلوب DLL Side-Loading،
-
حمولة مشفرة باسم cnmplog.dat تمثل برمجية PlugX نفسها.
يوفّر PlugX قدرات واسعة للوصول عن بُعد تشمل تنفيذ الأوامر، وتسجيل ضغطات المفاتيح (Keylogging)، وتحميل الملفات وتنزيلها، وضمان الاستمرارية عبر تعديل سجل ويندوز (Registry)، إضافةً إلى مهام استطلاع معمقة للنظام.
كما يتضمن التروجان طبقات حماية معقدة ضد التحليل البرمجي وتقنيات مقاومة التنقيح (Anti-Debugging) لإخفاء نشاطه عن برامج الفحص الأمني.
تطوّر الأداة وأهداف الحملة
أشارت Arctic Wolf إلى أن حجم ملف CanonStager تقلّص تدريجيًا بين سبتمبر وأكتوبر 2025 من نحو 700 كيلوبايت إلى 4 كيلوبايت فقط، ما يدل على استمرار التطوير باتجاه أداةٍ صغيرة الحجم يصعب تعقّبها جنائيًا.
كما لوحظ أن المهاجمين استخدموا في الموجة الأخيرة ملفات HTML Application (HTA) لتحميل شيفرات JavaScript خارجية تسحب الحمولة الخبيثة من نطاق تابع لخدمة CloudFront، في خطوة توحي بتحديث آلية التسليم لجعلها أكثر خفاءً وفعالية.
وترى الشركة أن تركّز الحملة على الكيانات الدبلوماسية الأوروبية المنخرطة في مجالات التعاون الدفاعي والسياسات عبر الحدود يتماشى مع مصالح الاستخبارات الاستراتيجية الصينية (PRC) الساعية لمتابعة تطورات تجانس التحالفات الأوروبية وآليات تنسيقها الدفاعي والسياسي.
