حملة تجسس تستهدف باحثين وأكاديميين في مجالات الفيزياء والهندسة

أدلة تقنية تربط حملة استهداف الجامعات الأمريكية بمجموعات تجسس متوافقة مع مصالح الصين.

حملة تجسس تستهدف باحثين وأكاديميين في مجالات الفيزياء والهندسة
ثغرات حرجة في أنظمة Roundcube تمنح مهاجمين سيبرانيين صلاحيات التحكم الكامل بالخوادم الجامعية.

رصدت شركة الأمن السيبراني Proofpoint حملة تجسس إلكتروني نشطة يعتقد أنها مرتبطة بجهات مدعومة من الصين، تستهدف منذ شهر مايو 2026 باحثين وأكاديميين في أقسام الفيزياء والهندسة بمجموعة من الجامعات الكبرى في الولايات المتحدة وكندا. وتركز هذه الهجمات، التي تتابعها الشركة تحت اسم التتبع UNK_MassTraction، على المؤسسات الأكاديمية المرتبطة بالأمن القومي أو تلك التي تجري أبحاثاً في مجالات فيزياء الجسيمات والفيزياء الفلكية، ما يشير إلى أن اختيار الضحايا تم بناء على عمليات استطلاع دقيقة ومسبقة.

ويفيد الباحثون بأن الحملة تعتمد على استغلال ثغرتين أمنيتين في خادم البريد الإلكتروني مفتوح المصدر Roundcube. تبدأ العملية باستغلال الثغرة الأولى الثغرة (CVE-2024-42009 بتقييم CVSS عند 9.3)، وهي ثغرة حقن نص برمجي عبر المواقع (XSS)، تنشط بمجرد فتح الضحية لرسالة التصيد في واجهة البريد، ما يسمح بتنفيذ برمجيات JavaScript خبيثة داخل متصفح المستخدم. تتولى هذه التعليمات البرمجية تحميل برمجية خبيثة تُعرف باسم IceCube لسرقة بيانات الاعتماد ومعلومات الجلسة، ثم يجري استغلال الثغرة الثانية (CVE-2025-49113 بتقييم CVSS عند 9.9) المتعلقة بخلل في إلغاء تسلسل البيانات لتنفيذ أوامر عن بُعد، وتثبيت باب خلفي يحمل اسم VShell أو أداة تحكم ويب تُدعى SquareShell، ما يمنح المهاجمين صلاحيات التحكم الكامل بالخادم.

ومن الجوانب البارزة في هذه الحملة توجه المهاجمين نحو اختراق خادم البريد الإلكتروني ذاته ليكون ركيزة أساسية للتوغل داخل الشبكة الداخلية للجامعة، متجاوزين بذلك الأسلوب التقليدي الذي يركز على استهداف أجهزة التوجيه وبوابات الشبكات الظاهرية الخاصة (VPN).

وأوضح غريغ ليسنيوتش، الباحث الرئيسي في Proofpoint، أن استهداف هذه الأقسام الأكاديمية يعكس تخطيطاً مسبقاً للوصول إلى النسخ الضعيفة من نظام Roundcube. وأشار إلى احتمالية وصول عدد المؤسسات المستهدفة إلى بضع عشرات من الجامعات، مضيفاً أن حجم البيانات المستولى عليها وطبيعتها لا يزالان غير مؤكدين نظراً لأن الرصد الحالي يتركز على المراحل الأولية للهجوم عبر البريد الإلكتروني، في حين لم تُعلن أسماء الجامعات المتضررة.

وتعتمد فرضية صلة الحملة بالصين على عدة أدلة تقنية، تشمل استخدام بنية تحتية افتراضية شاع استخدامها من قبل مجموعات صينية معروفة، ووجود صياغات لغوية صينية داخل رسائل البريد، فضلاً عن الاعتماد على برمجية VShell المرتبطة تاريخياً بهجمات التجسس الصينية. ومع ذلك، يفضل الباحثون تصنيف المجموعة بأنها “متوافقة على الأرجح مع المصالح الصينية” دون الجزم بارتباطها المباشر بالحكومة.

وقد اعتمد المهاجمون على رسائل تصيد اعتيادية تحاكي المراسلات الجامعية العامة لتضليل الضحايا وتقليص فرص اكتشاف الاختراق مبكراً. ومع رصد أحدث محاولات الهجوم في مطلع يونيو، تشير التقديرات إلى استمرار نشاط الحملة ووجود ضحايا آخرين لم تُكتشف إصابتهم بعد.

وبالنظر إلى أن آلية الاختراق تفعل بمجرد فتح البريد الإلكتروني، فإن التهديد يمتد ليشمل كافة مستخدمي الخوادم المصابة، ما يجعلهم منافذ محتملة للاختراق وإن اقتصر الاستهداف الأولي على أقسام معينة. وحذر الخبراء من احتمال تضرر جامعات أخرى دون علمها، مشددين على ضرورة تحديث خوادم Roundcube بشكل عاجل والتعامل معها كأصول حيوية وحرجة تتطلب الحماية الشاملة.

وتأتي هذه الأنشطة ضمن موجة متزايدة من هجمات التجسس الإلكتروني الصينية التي تستهدف قطاعات التعليم العالي والبحث العلمي، حيث وثقت تقارير سابقة استهداف مجالات طبية وعسكرية وأمنية، مما يوضح توجهاً استراتيجياً لجمع المعارف المتقدمة لخدمة الأهداف التكنولوجية.

الموثوقة والمعتمدة لدى خبراء الأمن السيبراني

تقرأ في نشرتنا التي تصلك كل أسبوع:

  • أحدث أخبار ومستجدات الأمن السيبراني محليًا وعالميًا.
  • تحليلات وتقارير دقيقة يقدمها خبراء المجال.
  • نصائح عملية لتطوير استراتيجياتك السيبرانية.
  • مراجعات شاملة لأهم الأحداث والتطورات التقنية
اذهب إلى الأعلى