في حملة تجسس إلكتروني متطورة، كشفت شركة “سيمانتيك” (Symantec) أن مجموعة “Lotus Panda” المرتبطة بالصين نفذت سلسلة من الهجمات السيبرانية استهدفت عدة مؤسسات حكومية واستراتيجية في دولة غير مسماة بجنوب شرق آسيا، وذلك في الفترة الممتدة من أغسطس 2024 إلى فبراير 2025. وتُعد هذه المجموعة من أبرز جهات التهديد السيبراني في المنطقة، حيث تنشط منذ أكثر من عقد وتستهدف بشكل أساسي القطاعات الحكومية والعسكرية.
أبرز الأهداف وتكتيكات الهجوم
وفقًا لتقرير صادر عن فريق Symantec Threat Hunter، فقد شملت الأهداف وزارة حكومية، وهيئة مراقبة الحركة الجوية، وشركة اتصالات، وشركة إنشاءات. كما تم رصد هجمات على وكالة أنباء في دولة مجاورة وشركة شحن جوي في بلد آخر ضمن المنطقة ذاتها.
وتنوعت أدوات الهجوم المستخدمة لتشمل:
-
برمجيات تحميل خبيثة (Loaders) مخصصة.
-
برامج سرقة بيانات الاعتماد (Credential Stealers).
-
أداة اتصال عكسي عبر SSH.
-
استغلال أدوات شرعية من برامج أمنية مثل “tmdbglog.exe” من Trend Micro و”bds.exe” من Bitdefender لتحميل مكتبات DLL خبيثة (Sideloading).
خلفية المجموعة وعملياتها السابقة
تُعرف مجموعة “Lotus Panda” بأسماء عديدة مثل Billbug وBronze Elgin وLotus Blossom وSpring Dragon وThrip. ويُعتقد أنها نشطة منذ عام 2009، وبرزت للمرة الأولى عندما ربطتها شركة Palo Alto Networks بحملة تصيد موجه استغلت ثغرة في Microsoft Office (CVE-2012-0158) لنشر باب خلفي يُعرف باسم Elise.
لاحقًا، استغلت المجموعة ثغرات أخرى مثل (CVE-2014-6332) في نظام Microsoft Windows عبر مرفقات بريد إلكتروني ملغّمة، واستهدفت موظفًا بوزارة الخارجية الفرنسية في تايوان.
وفي ديسمبر 2024، كشفت Broadcom عن حملة جديدة شنتها المجموعة ضد أهداف رفيعة المستوى في جنوب شرق آسيا. كما أكدت Cisco Talos مؤخرًا تورط Lotus Panda في هجمات ضد قطاعات حكومية وصناعية وإعلامية في الفلبين وفيتنام وهونغ كونغ وتايوان.
أدوات جديدة وقدرات خطيرة
في أحدث موجة من الهجمات، تم استخدام نسخة مُحدَّثة من أداة Sagerunex الخاصة بـ Lotus Panda، والتي تستطيع جمع معلومات مفصلة عن الأجهزة المستهدفة، وتشفيرها، ثم إرسالها إلى خوادم خارجية يتحكم فيها المهاجمون.
كما استخدمت المجموعة أداة SSH عكسية، وأدوات متقدمة لسرقة بيانات الاعتماد المخزنة في متصفح Google Chrome، أبرزها:
-
ChromeKatz
-
CredentialKatz
إضافة إلى ذلك، لجأ المهاجمون إلى أدوات شرعية مثل:
-
Zrok: أداة مشاركة من نظير إلى نظير (P2P) لتوفير وصول عن بُعد.
-
datechanger.exe: لتغيير الطوابع الزمنية للملفات وتضليل فرق تحليل الحوادث.
مخاطر أمنية وتحذيرات
يشير الخبراء إلى أن استخدام أدوات شرعية وتقنيات تحميل DLL خبيثة يجعل اكتشاف هذه الهجمات أكثر صعوبة، خاصةً في بيئات تعتمد بشكل كبير على برامج الحماية التجارية. كما أن استهداف جهات حكومية وشركات بنى تحتية يُبرز مدى تطور قدرات Lotus Panda، مما يُشكل تهديدًا مباشرًا لاستقرار الأمن السيبراني في منطقة آسيا والمحيط الهادئ.
