كشفت تقارير أمنية حديثة أن مجموعتي التهديد APT36 (المعروفة أيضاً باسم Transparent Tribe) وSideCopy شنتا حملات متزامنة ضد مؤسسات الدفاع والجهات الحكومية في الهند. هذه الحملات اعتمدت على برمجيات خبيثة مثل Geta RAT وAres RAT وDeskRAT، وهي أدوات وصول عن بُعد قادرة على سرقة البيانات الحساسة وضمان استمرار السيطرة على الأجهزة المصابة سواء كانت تعمل بنظام Windows أو Linux.
أساليب الدخول الأولي
الآلية الأساسية للهجمات تمثلت في رسائل تصيّد عبر البريد الإلكتروني تحتوي على مرفقات خبيثة أو روابط تنزيل تقود إلى بنية تحتية يسيطر عليها المهاجمون. هذه الملفات قد تكون اختصارات LNK، ملفات ELF، أو إضافات PowerPoint، وتعمل على إطلاق عملية متعددة المراحل تنتهي بزرع البرمجيات الخبيثة.
إحدى سلاسل الهجوم تبدأ بملف LNK يستدعي أداة mshta.exe لتشغيل ملف HTA يحتوي على جافاسكريبت لفك تشفير حمولة DLL، ثم يعرض ملف PDF وهمي بينما يتصل بخادم تحكم وسيطرة (C2).
قدرات برمجيات RAT
- Geta RAT: يجمع معلومات النظام، يلتقط كلمات المرور، يدير العمليات، يسرق بيانات من الأجهزة المتصلة عبر USB، ويستطيع تنفيذ أوامر شل عشوائية.
- Ares RAT: نسخة موجهة لنظام Linux، تُسقط عبر سكربت شل وتتيح تشغيل أوامر بايثون وسرقة بيانات حساسة.
- DeskRAT: يُسلم عبر إضافات PowerPoint خبيثة، ويؤسس اتصالاً بخادم خارجي لجلب البرمجية وتنفيذ أوامر المهاجمين.
هذه الأدوات مجتمعة توفر للمهاجمين وصولاً طويل الأمد، استمرارية، وقدرة على التكيف مع بيئات مختلفة.
أهداف استراتيجية للهجمات
بحسب شركة Aryaka، فإن هذه الحملات لا تعيد اختراع التجسس السيبراني، بل تعمل على تحسينه وتطويره عبر تغطية متعددة المنصات، تقنيات مقيمة في الذاكرة، وتجارب في وسائل تسليم جديدة. الأهداف الرئيسية تشمل:
- مؤسسات الدفاع الهندية.
- جهات حكومية مرتبطة بالسياسات والأبحاث.
- البنية التحتية الحيوية والقطاعات الاستراتيجية.
استخدام وثائق رسمية مزيفة ووسائل إغراء مرتبطة بالدفاع يعكس تركيزاً واضحاً على استهداف بيئات حساسة وموثوقة، ما يجعل هذه الحملات جزءاً من مشهد تجسس متطور ومستمر.
