كشفت شركة Bitdefender عن حملة تجسس سيبراني معقدة استهدفت شركة نفط وغاز أذربيجانية بين ديسمبر 2025 وفبراير 2026، ونُسبت بدرجة ثقة متوسطة إلى عالية إلى مجموعة القرصنة الصينية المعروفة باسم FamousSparrow، والتي ترتبط تكتيكياً بمجموعات أخرى مثل Earth Estries وSalt Typhoon.
ثلاث موجات من الاختراقات عبر نفس الثغرة
الهجوم تميز بتكراره عبر ثلاث موجات متتالية، مستغلاً نفس نقطة الدخول الضعيفة في خادم Microsoft Exchange رغم محاولات الإصلاح. ففي 25 ديسمبر 2025 نُشر باب خلفي من نوع Deed RAT، ثم في أواخر يناير وأوائل فبراير 2026 جرى استخدام باب خلفي آخر هو TernDoor، قبل أن يعود المهاجمون في أواخر فبراير بنسخة معدلة من Deed RAT. ويُعتقد أن الوصول الأولي تحقق عبر سلسلة ثغرات ProxyNotShell.
تقنيات متقدمة لتجاوز الدفاعات
بعد الحصول على الوصول، حاول المهاجمون نشر web shells لضمان موطئ قدم دائم، ثم استخدموا تقنية متطورة لتحميل مكتبات DLL خبيثة عبر برنامج شرعي مثل LogMeIn Hamachi، ما سمح لهم بتشغيل الحمولة الرئيسية دون إثارة الشبهات. هذه الطريقة تجاوزت الأساليب التقليدية عبر إنشاء آلية تشغيل ثنائية المراحل، مما عزز قدرات التهرب من الدفاعات. كما نفذ المهاجمون حركة جانبية داخل الشبكة لتوسيع نطاق السيطرة وضمان استمرار الوصول حتى في حال اكتشاف جزء من النشاط.
السياق الجيوسياسي للهجوم
أهمية هذا الاستهداف تتجاوز البعد التقني. فدور أذربيجان في أمن الطاقة الأوروبي تعاظم بعد انتهاء اتفاقية عبور الغاز الروسي عبر أوكرانيا عام 2024، وأحداث اضطراب مضيق هرمز عام 2026. هذا يجعل البنية التحتية الأذربيجانية هدفاً استراتيجياً لمجموعات التجسس المرتبطة بالصين، الساعية إلى تعزيز نفوذها في قطاع الطاقة العالمي.
موجة ثالثة وتطور البرمجيات الخبيثة
في الهجوم الثالث أواخر فبراير، حاول المهاجمون نشر نسخة معدلة من Deed RAT باستخدام نطاق للتحكم والسيطرة هو “sentinelonepro[.]com”، ما يعكس جهوداً مستمرة لتطوير ترسانتهم البرمجية وتكييفها مع بيئات مختلفة. هذا السلوك يوضح أن العملية ليست اختراقاً معزولاً، بل حملة مستمرة ومرنة تسعى إلى إعادة الوصول وتوسيعه في كل مرة.
