شهد المشهد الأمني السيبراني تطوراً نوعياً مع كشف باحثين في شركة الأمن السيبراني Hunt.io، خلال شهر يونيو من عام 2026، عن حملة تجسس إلكتروني نشطة وممنهجة. بدأت خيوط العملية تتكشف إثر تتبع البنية التحتية لبرمجية خبيثة معروفة باسم TencShell، مما قاد المحققين إلى خادم مفتوح مستضاف في هونغ كونغ، احتوى على 2,431 ملفاً موزعة على 80 مجلداً فرعياً، تضمنت شيفرات مصدرية مسروقة من الضحايا، ومخطوطات استغلال برمجية مخصصة، وصفحات تسجيل دخول مزيفة بهدف التصيد، إلى جانب سجلات تشغيلية مفصلة دونها المهاجمون يدوياً باللغة الصينية المبسطة.
تكمن أهمية هذه الحملة في اعتمادها غير المسبوق على نماذج الذكاء الاصطناعي المتقدمة لأتمتة الهجمات وإدارتها. وتشير أصابع الاتهام إلى مشغلين يُشتبه في ارتباطهم بالدولة الصينية، حيث وظفوا نموذجاً ثنائياً ذكياً تمثل في أداة Claude Code (الإصدار 2.1.165) من شركة Anthropic لإدارة الجلسات وتنفيذ الأوامر برمجياً، ونموذج DeepSeek-v4-pro المطور صينياً لتولي مهام التخطيط الاستراتيجي للهجوم، وتوليد سيناريوهات الاختراق، وتجاوز الدفاعات الأمنية.
وضمن آلية العمل المشتركة هذه، كان نموذج DeepSeek يحدد المنطق الهيكلي ويصوغ سيناريوهات الالتفاف، بينما تتولى بنية Claude Code تنفيذ تلك الأوامر تلقائياً على الأنظمة المستهدفة. وتُحاكي هذه المنهجية واقعة مماثلة وثقتها Anthropic في نوفمبر من عام 2025، كأول عملية تجسس رقمي واسعة النطاق تُدار بالكامل عبر الذكاء الاصطناعي دون تدخل بشري مباشر.
وقد أظهرت سجلات الخادم المستردة استخدام ملف إرشادات مخصص يحمل الاسم CLAUDE.md، مصمم لتوجيه أداة Claude Code نحو إنشاء صفحات تصيد احتيالي واختبار فاعليتها وتحسينها ذاتياً لتناسب مستهدفين متعددين. وفي الوقت ذاته، تولى نموذج DeepSeek-v4-pro إعادة صياغة برمجيات الاستغلال تلقائياً فور فشل المحاولات الأولى، ما منح الهجوم سرعة وتيرة ومرونة ديناميكية تعجز الطرق التقليدية اليدوية عن مجاراتها.
أسفرت هذه الحملة المتطورة عن اختراق بنى تحتية حكومية حساسة في ثلاث دول آسيوية:
- تايلاند: حيث جرى استخدام أداة SQLMap لاستغلال ثغرة حقن SQL في نظام إداري حكومي، ما مكن المهاجمين من زرع واجهة تحكم ويب متخفية في هيئة ملف صور بصيغة GIF لضمان استمرار التحكم بالخادم، ومن ثم تسريب قاعدة بيانات كاملة تحوي أسماء الموظفين الحكوميين وأرقام هوياتهم ومسمياتهم الوظيفية.
- أفغانستان: استهدفت الحملة بوابة شكاوى المواطنين التي تعمل على إطار عمل Laravel (الإصدار 5.8.38)، حيث استخرج المهاجمون الشيفرة المصدرية للبرنامج، ومفاتيح التشفير، وبيانات الاعتماد، ليعيدوا بناء استغلال مخصص لثغرة إلغاء تسلسل البيانات في الإطار المذكور، ما أتاح لهم اعتراض قناة لشكاوى المواطنين الموجهة ضد المؤسسات الحكومية، وهو ما يمثل صيداً استخباراتياً عالي الحساسية.
- تايوان: بعد إجراء عملية مسح آلي طورتها المجموعة وشملت ما يزيد على 5,890 مضيفاً حكومياً موزعين على 10 دول، نجح المهاجمون في اختراق شركتين حيويتين ضمن قطاعي سلاسل الإمداد والصناعات الدفاعية المساندة؛ الأولى شركة صناعات كيميائية تم النفاذ إليها عبر ثغرة حقن SQL، والثانية شركة اتصالات وتصنيع أجهزة طرفية، حيث رُصدت مفاتيح قاعدة بيانات ورموز برمجية خاصة بمنصة Azure Logic App مدمجة في ملفات JavaScript عامة، ما مهد الطريق للوصول المباشر إلى البنية السحابية للشركة.
تجاوزت آثار هذه الحملة القطاعات الحكومية لتطال مؤسسات مالية في أوروبا وأستراليا وآسيا، من خلال استغلال تقنيات مشاركة الموارد بين أصول مختلفة لسرقة بيانات الاعتماد. ولدعم هذه العمليات المتشعبة، اعتمد المهاجمون على بنية تحتية مرنة توزعت على 13 خادماً في هونغ كونغ عبر أربعة أنظمة مستقلة، مع وجود ثلاثة خوادم تتشارك مفاتيح بروتوكول SSH وشهادات TLS لضمان وجود قنوات بديلة وضمان استمرارية الاتصال بالأنظمة المخترقة. وشملت برمجيات الخوادم أدوات فحص الثغرات DeepAudit، ونظام الاستطلاع النشط ARL، وخادم القيادة والسيطرة Vshell. وتشير تواريخ الملفات التي تراوحت بين 8 و12 يونيو 2026، وتحديث شهادات الأمان للخوادم الثلاثة يومي 18 و19 يونيو، إلى أن المشغلين حافظوا على وتيرة الصيانة والتحكم ببنيتهم التحتية حتى منتصف الشهر.
واتباعاً لبروتوكول الإفصاح المسؤول، أبلغ باحثو الأمن الجهات المتضررة وفرق الاستجابة لطوارئ الحاسب الآلي الوطنية في 6 يوليو 2026، مانحين إياهم مهلة 7 أيام قبل نشر تفاصيل التقرير للعلن.
ورغم عدم وجود تأكيدات رسمية تحدد هوية الجهة الفاعلة بدقة، فإن القرائن الفنية المتمثلة في استخدام اللغة الصينية المبسطة في السجلات، واستخدام أداة TencShell المرتبطة تاريخياً بمجموعات تهديد صينية، بالإضافة إلى الاعتماد المحوري على نموذج ذكاء اصطناعي صيني محلي لإدارة الهجمات، يعزز استنتاج الخبراء بوقوف جهة مدعومة من الدولة الصينية وراء هذه الحملة المعقدة.







