رصدت شركة Seqrite Labs حملة تجسس إلكتروني جديدة تحمل الاسم الرمزي Operation Dragon Weave، تستهدف مسؤولين ومواطنين في جمهورية التشيك وتايوان عبر نشر وكيل خبيث يُعرف باسم AdaptixC2.
تشمل القطاعات المستهدفة: الحكومي، البحثي، الأكاديمي، التقني، والخدمات المالية. تعتمد الحملة على رسائل تصيّد موجهة تحتوي على ملفات ZIP، والتي تبدأ سلسلة إصابة معقدة باستخدام محمل مكتوب بلغة Rust لإنزال الحمولة النهائية المسؤولة عن سرقة البيانات والتحكم عن بُعد.
سلسلة العدوى وتقنيات التنفيذ
تتضمن الحملة مسارين رئيسيين:
- المسار الأول: يبدأ عند فتح ملف اختصار (LNK) يتظاهر بأنه مستند PDF، ليقوم بتنفيذ سكربت PowerShell يستخرج ملفًا تنفيذيًا باسم RuntimeBroker_update.exe من ملف DAT وسيط ويشغله.
- المسار الثاني: يعتمد على تشغيل ملف ثنائي مباشر من الأرشيف، يعمل كـ dropper مكتوب بـ Rust لتشغيل نفس الملف التنفيذي.
في كلا الحالتين، يتم تحميل مكتبة DLL خبيثة باسم UnityPlayer.dll عبر تقنية DLL side-loading، ما يؤدي إلى نشر محمل Rust يُعرف باسم RUSTCLOAK. يقوم الأخير بفك تشفير وتشغيل الحمولة الرئيسية: وكيل AdaptixC2 المسمى AZUREVEIL، والذي يستخدم خدمة Microsoft Azure Blob Storage كقناة للتحكم والسيطرة.
خصائص AZUREVEIL وأهدافه
يتميز AZUREVEIL بآلية “dead drop” حيث لا يتواصل النظام المصاب مباشرة مع المهاجم، بل يستخدم الطرفان نفس حاوية التخزين في Azure لتبادل البيانات. يدعم الوكيل 36 أمرًا تشمل:
- عمليات الملفات (رفع، تنزيل، حذف).
- تنفيذ أوامر النظام.
- إدارة العمليات.
- إنشاء وكيل SOCKS للتحكم في الشبكة.
- تنفيذ ملفات BOF في الذاكرة.
هذه القدرات تمنح المهاجم سيطرة كاملة على الجهاز المصاب، مع قدرة على التخفي بفضل الفحص المضاد للتحليل.
هجمات موازية مرتبطة بالصين
إلى جانب Dragon Weave، رصدت Cato Networks محاولة اختراق ضد فرع هندي لشركة تصنيع عالمية عبر أداة جديدة باسم TencShell، وهي implant مكتوبة بلغة Go ومشتقة من إطار rshell مفتوح المصدر.
كما نشرت ESET تقريرًا يؤكد نشاطًا عالميًا مكثفًا لمجموعات مرتبطة بالصين بين أكتوبر 2025 ومارس 2026، منها مجموعة SteppeDriver التي استهدفت فرنسا ومنغوليا وأمريكا الجنوبية باستخدام أدوات مثل ShadowPad وCurlyDoor.
كذلك تم التعرف على مجموعة UNC5221 التي طورت مجموعة أدوات جديدة باسم PhiliKit تعمل كباب خلفي لتنفيذ أوامر وسكربتات متعددة.
أما مجموعة NegativeGlimmer فقد أظهرت تداخلًا مع TGR-STA-1030 التي اخترقت أكثر من 70 مؤسسة حكومية وبنى تحتية في 37 دولة خلال العام الماضي، بما في ذلك هجمات في بنما وكمبوديا وكوريا الجنوبية.
البعد الاستراتيجي للهجمات
تؤكد هذه الحملات أن الاهتمام الصيني يظل موجهًا نحو القطاعات الاستراتيجية، خاصة تلك المرتبطة بسياسات مثل Made in China 2025، حيث تُظهر الهجمات في كوريا الجنوبية تركيزًا على التقنيات الصناعية المتقدمة.
هذا النشاط المتصاعد يعكس استراتيجية طويلة الأمد تهدف إلى اختراق البنى التحتية الحيوية، سرقة البيانات، وتعزيز النفوذ الرقمي الصيني عالميًا.
