كشفت شركة IBM X-Force أن مجموعة تهديد سيبراني مرتبطة بالصين، تُعرف باسم Mustang Panda، قد شنت حملة تجسس إلكتروني جديدة استهدفت مجتمع التبت.
ووفقًا للتقرير، اعتمدت الهجمات على رسائل تصيّد موجهة (Spear-phishing) استغلت مواضيع حساسة تتعلق بالتبت، مثل المؤتمر التاسع للبرلمانيين حول التبت، وسياسة التعليم الصينية في منطقة التبت ذاتية الحكم، بالإضافة إلى كتاب جديد نُشر مؤخرًا للـ دالاي لاما الرابع عشر.
مراحل الهجوم
تم اكتشاف الحملة خلال شهر يونيو 2025، حيث قادت الهجمات إلى نشر برمجية خبيثة تُعرف باسم PUBLOAD، وهي أداة تنزيل ضارة تُستخدم لجلب حمولات خبيثة إضافية.
الهجوم يبدأ من خلال أرشيف ضار يحتوي على:
-
ملف Word غير ضار.
-
مقالات مأخوذة من مواقع تبتيّة.
-
صور من مؤتمر WPCT.
هذا الأرشيف يخدع الضحية لتشغيل ملف تنفيذي يُظهر نفسه كوثيقة، لكنه في الحقيقة يقوم بتحميل DLL خبيث يُدعى Claimloader، والذي يُستخدم بدوره لنشر PUBLOAD، الذي يتصل بخادم بعيد لجلب الحمولة التالية المسماة Pubshell.
وظائف البرمجيات المستخدمة
-
PUBLOAD: أداة تحميل شيفرة خبيثة من المرحلة الأولى.
-
Pubshell: باب خلفي خفيف (Backdoor) يتيح وصولًا فوريًا عبر Reverse Shell.
قال الباحثان غولو موهر وجوشوا تشونغ إن Pubshell تتيح تنفيذ أوامر على الجهاز المصاب، باستخدام نهج مشابه لبرمجية خبيثة أخرى تُدعى TONESHELL، لكنها أقل تعقيدًا.
“Pubshell لا تقوم بإرجاع نتائج الأوامر مباشرة كما تفعل TONESHELL، بل تتطلب أمرًا إضافيًا لتنفيذ ذلك، كما أنها تدعم فقط تنفيذ ‘cmd.exe’ كنظام Shell.”
اختلافات التسمية بين الشركات
-
تسمي IBM الأداة الأولى Claimloader والمحمّل الأول PUBLOAD.
-
بينما تعرفها Trend Micro مجتمعة باسم PUBLOAD.
-
وتستخدم TeamT5 اسم NoFive للاثنتين معًا.
انتشار الهجمات
تشير التحقيقات إلى أن فرعًا فرعيًا من مجموعة Hive0154 قد استهدف:
-
الولايات المتحدة
-
الفلبين
-
باكستان
-
تايوان
وذلك في أواخر 2024 وحتى أوائل 2025.
وشملت تلك الهجمات ملفات أرشيف مضغوطة يتم تحميلها عبر روابط Google Drive من رسائل تصيّد إلكتروني.
تهديدات إضافية عبر USB
استخدمت الهجمات على تايوان دودة USB تُعرف باسم HIUPAN (أو U2DiskWatch)، لنشر Claimloader وPUBLOAD بين الأجهزة من خلال أجهزة USB.
التقييم النهائي
قال الباحثون في IBM:
“تظل Hive0154 جهة تهديد ذات قدرة عالية، وتستمر في تطوير أدواتها الخبيثة بوتيرة سريعة.”
وأضافوا أن المجموعات المدعومة من الصين، مثل Hive0154، تركّز على المؤسسات العامة والخاصة في شرق آسيا، وتُعتبر من الجهات المتقدمة في هذا المجال بفضل تنوع أدواتها، واعتمادها على ديدان USB في نشر البرمجيات.
المصدر:- TheHackerNews
