تهديد التنين الفضي الصيني: تجسس إلكتروني على الحكومات في أوروبا وجنوب شرق آسيا

تقوم مجموعة تهديد صينية، تُعرف باسم “التنين الفضي”، والتي تُعتبر فرعًا آخر من APT41، بتنفيذ حملة تجسس إلكتروني تستهدف الحكومات عبر هجمات تصيد إلكتروني تؤدي في النهاية إلى اختطاف خدمات النظام لأغراض القيادة والتحكم (C2) والاستمرار، مما يمنح أنشطة المجموعة غطاءً شرعيًا.

تعمل مجموعة التنين الفضي، التي تتعقبها الباحثون في شركة Check Point Software، منذ منتصف عام 2024 على الأقل، وفقًا لتقرير نُشر يوم الثلاثاء. الهدف الرئيسي لها هو الكيانات الحكومية في جنوب شرق آسيا وأوروبا، حيث تُعتبر التجسس الإلكتروني هدفها النهائي، كما أفاد الباحثون.

تستخدم مجموعة التنين الفضي بشكل أساسي الخوادم والخدمات الموجودة لتنفيذ أنشطتها الخبيثة، وفقًا لـ Check Point. تحصل المجموعة على وصولها الأولي من خلال استغلال الخوادم العامة المتاحة على الإنترنت وإرسال رسائل تصيد تحتوي على مرفقات خبيثة. للحفاظ على الاستمرارية، تقوم المجموعة باختطاف خدمات Windows الشرعية، مما يسمح للبرمجيات الخبيثة التي تُسلمها بالاندماج في النشاط النظامي العادي.

3 سلاسل عدوى التنين الفضي

تستخدم مجموعة التنين الفضي عادةً واحدة من ثلاث سلاسل عدوى للحصول على وصول أولي إلى شبكة مستهدفة، وفقًا لـ Check Point. تُظهر السلسلتان الأوليان، اختطاف AppDomain وService DLL، تداخلًا واضحًا في العمليات، وفقًا للتقرير.

“يتم تسليمها عبر أرشيفات مضغوطة، مما يشير إلى استخدامها في سيناريوهات ما بعد الاستغلال،” وفقًا للتقرير. “في عدة حالات، تم نشر هذه السلاسل بعد اختراق خوادم معرضة للانكشاف العام.”

علاوة على ذلك، تعتمد كلتا السلسلتين على تسليم أرشيف RAR يحتوي على نص تثبيت يُحتمل أن يتم تنفيذه من قبل المهاجمين، “مما يشير إلى آلية تسليم مشتركة،” وفقًا لـ Check Point.

تتمثل الاستراتيجية الثالثة للوصول الأولي في حملة تصيد تحتوي على ملف LNK خبيث كمرفق، وهي تقنية مرتبطة بالتنين الفضي بناءً على استخدام محملات مشابهة، والتي يُطلق عليها الباحثون مجتمعة “BamboLoader.”

في حالة موثقة واحدة، أرسل المهاجمون طُعم تصيد إلى الكيانات الحكومية في أوزبكستان تتظاهر بمراسلات رسمية وتحتوي على مرفقات LNK مسلحة.

أدوات الاختراق المخصصة

تشمل البرمجيات الخبيثة التي تسلمها مجموعة التنين الفضي إشارات Cobalt Strike للحصول على موطئ قدم مبكر على الأجهزة المخترقة، ثم أداة نفق DNS للقيادة والتحكم في محاولة لتفادي بعض آليات الكشف على مستوى الشبكة، وفقًا لـ Check Point.

تتضمن هجماتها الأخيرة أيضًا تسليم باب خلفي مخصص جديد يُطلق عليه GearDoor، والذي يختبئ خلف Google Drive كقناة C2 “لتمكين الاتصال السري والمهام عبر خدمة سحابية موثوقة،” وفقًا لـ Check Point.

تمتلك المجموعة أيضًا أداتين مخصصتين رئيسيتين في ترسانتها: SSHcmd وSilverScreen. SSHcmd هي أداة سطر أوامر مصممة لتسهيل الوصول عن بُعد والحركة الجانبية داخل شبكة مخترقة. بينما SilverScreen هي أداة مراقبة مصممة خصيصًا لالتقاط لقطات شاشة دورية لنشاط المستخدم، مما يسمح للمهاجمين بمراقبة البيانات الحساسة في الوقت الحقيقي.

ظهور تهديد إلكتروني صيني قوي

كشفت Check Point عن روابط التنين الفضي بـ APT41 من خلال “تشابهات قوية في الحرفية” في كيفية استخدامه لـ BamboLoader ونصوص التثبيت بعد الاستغلال التي تتماشى مع تكتيكات APT، وفقًا للتقرير.

يُعتبر APT41 (المعروف أيضًا باسم Double Dragon وBarium وWinnti وWicked Spider وWicked Panda) مجموعة تهديد مستمرة تم تتبعها من قبل الباحثين في مجال الأمن منذ عام 2012 على الأقل، وهي معروفة بشكل خاص بالتجسس الذي تقوم به نيابة عن الحكومة الصينية. حتى أن المجموعة قامت بانتحال شخصية أحد المشرعين الأمريكيين في أنشطتها الخبيثة خلال المفاوضات التجارية الحرجة بين الولايات المتحدة والصين العام الماضي. كما عُرف عن أعضاء APT41 القيام بأنشطة مدفوعة ماليًا.

من المحتمل أن تتبع مجموعة التنين الفضي مسار تجسس استراتيجي بدلاً من السعي لتحقيق مكاسب مالية، لكنها تشكل خطرًا فريدًا بسبب استخدامها لموارد النظام الشرعية لإخفاء أنشطتها، وفقًا لـ Check Point.

يجب على المؤسسات، وخاصة تلك في القطاع العام، إعطاء الأولوية لتحديث الأنظمة المتصلة بالإنترنت لتجنب استغلال الثغرات المعروفة كجزء من دفاعها ضد المجموعة. كما ينبغي عليها مراقبة التعديلات غير المصرح بها على تكوينات خدمات Windows والانتباه إلى مؤشرات الاختراق (IoCs) التي شاركتها Check Point في التقرير.