نسبت فرق أمنية تُابعة لشركتي Broadcom (Symantec وCarbon Black) نشاطًا خبيثًا إلى فاعل تهديد مرتبط بالصين استهدف منظمة أمريكية غير ربحية تعمل على التأثير في سياسات الولايات المتحدة بشأن قضايا دولية. هدفت الحملة إلى إقامة وجود دائم وطويل الأمد داخل شبكة المؤسسة، بعدما مكّن المهاجمون من الوصول إلى بيئتها لعدة أسابيع في أبريل 2025.
مسح وتهيئة سلاسل استغلال قديمة
بدأت الحملة بعمليات مسح واسعة في 5 أبريل 2025، مستغلةً سلسلة من الثغرات المعروفة منذ سنوات، بينها CVE-2022-26134 (Atlassian) وCVE-2021-44228 (Apache Log4j) وCVE-2017-9805 (Apache Struts) وCVE-2017-17562 (GoAhead Web Server). لم تُسجَّل خطوات لاحقة إلا في 16 أبريل، حين نفّذ المهاجمون أوامر curl لاختبار اتصال الإنترنت، ثم استُخدمت أداة netstat لجمع معلومات التهيئة الشبكية، تلاها إنشاء مُهمة مجدولة لتثبيت وجود دائم.
آليات الإصرار والتحميل الجانبي للـDLL
صُمِّمت المهمة المجدولة لتشغّل ثنائيًا مشروعًا شرعيًا من مايكروسوفت (msbuild.exe) لتنفيذ حمولة غير معروفة، وكذلك لإنشاء مهمة أخرى تعمل كل 60 دقيقة بصلاحية SYSTEM عالية. وقد كانت قادرة لاحقًا على تحميل وحقن شيفرات غير معروفة داخل csc.exe، مما أتاح إقامة اتصال مع خادم قيادة وتحكّم بعنوان 38.180.83[.]166. لاحقًا، لوحظ استخدام محمّل مخصص لفكّ حزم وتنفيذ حمولة يُرجّح أنها تندرج ضمن أحصنة الوصول البعيد (RAT) في الذاكرة.
كما استُخدمت مكوّنات شرعية لمكافحة الفيروسات (مثل vetysafe.exe من Vipre) لعملية DLL sideloading عبر ملف ضار (sbamres.dll) — طريقة سبق وأن رُصدت في هجمات منسوبة إلى مجموعات صينية مثل Space Pirates وKelp (Salt Typhoon).
أدوات وتقنيات لاحقة واستهداف ضباط النطاق
سجّلت التحليلات وجود أدوات إضافية ضمن الشبكة المستهدفة، من بينها Dcsync وImjpuexc، مع دلائل تُظهر هدف المهاجمين في الوصول إلى متحكّمات المجال (Domain Controllers) لتوسيع النفوذ عبر شبكات الضحية. لم تُظهر السجلات أي نشاط إضافي بعد 16 أبريل 2025، لكن المحققين خلصوا إلى أن السلوك يعكس نية واضحة لتأسيس وجود خفي ومُستدام داخل البيئة.
أشارت Broadcom إلى أن مشاركة الأدوات بين مجموعات التهديد الصينية تُصعّب نسب الحوادث إلى جهة واحدة محددة، خصوصًا مع تبادل مكوّنات مثل الـDLLs والحمولات المشتركة بين فروع عدة مجموعات.
نشاطات صينية موازية وأساليب AitM وIIS المعيّب
تقارير أخرى، بينها تقارير من ESET وفرق استخباراتية متعددة، رصدت سلسلة حملات صينية استهدفت قطاعات وجغرافيات متنوعة خلال منتصف 2025، من بينها:
-
حملة Speccom استهدفت قطاع الطاقة في آسيا الوسطى باستخدام BLOODALCHEMY وbackdoors مخصّصة.
-
حملة DigitalRecyclers استهدفت مؤسسات أوروبية مستخدمة أساليب ثبات غير تقليدية مثل استغلال أداة Magnifier لرفع الصلاحيات إلى SYSTEM.
-
عمليات FamousSparrow والتي استغلت ثغرات ProxyLogon لاستهداف هيئات حكومية في أمريكا اللاتينية ونشر باب خلفي باسم SparrowDoor.
-
حملة SinisterEye (LuoYu / Cascade Panda) نفّذت هجمات منتصف الرجل على سلاسل تحديثات برمجيات لتوزيع WinDealer وSpyDealer.
-
حملة PlushDaemon التي تستخدم تقنية تسميةها الباحثون EdgeStepper لاختطاف تحديثات البرامج عبر إعادة توجيه استعلامات DNS داخل الشبكة إلى خوادم مهاجمين، ما مكّن من نشر باب خلفي باسم SlowStepper.
فضلاً عن ذلك، لاحظ الباحثون ارتفاعًا في استهداف خوادم IIS المعيّبة التي تُعرَّض لمفاتيح ASP.NET مكشوفة، حيث تُستغل هذه المفاتيح لتثبيت باب خلفي يُدعى TOLLBOOTH (HijackServer) يوفر قدرات إخفاء عبر SEO وواجهة شل ويب قابلة للتنفيذ عن بُعد. أفادت تحليلات Elastic Security Labs وHarfangLab أن مئات الخوادم حول العالم — مع تركيز في الهند والولايات المتحدة — أُصيبت بهذه الحملة المسماة REF3927.
هذه الهجمات ترافقت مع محاولات لإسقاط Godzilla web shell، وتنفيذ أداة GotoHTTP للوصول عن بُعد، واستخدام Mimikatz لالتقاط بيانات الاعتماد، ونشر HIDDENDRIVER، وهو نسخة معدّلة من rootkit مفتوح المصدر Hidden، لإخفاء آثار الحمولات الخبيثة.
