كشف باحثون في Check Point Research عنحملة تجسس سيبراني استهدفت مؤسسات داخل دولة قطر، حيث اعتمد المهاجمون على وثائق تستغل التطورات العسكرية الأخيرة في منطقة الشرق الأوسط. أفضت هذه العمليات في بعض مساراتها إلى زرع برمجية PlugX، وهي أداة اختراق معروفة بارتباطها تاريخياً بمجموعات ناطقة باللغة الصينية. تشير المعطيات الميدانية إلى انطلاق إحدى موجات هذا النشاط في الأول من مارس 2026، وهو توقيت أعقب مباشرة تصاعد حدة العمليات القتالية في المنطقة، الأمر الذي يوضح سرعة توظيف الأحداث السياسية والأمنية في تصميم طعوم تصيد موجهة.
ويعزو التقييم الأولي هذا النشاط إلى مجموعة Camaro Dragon، التي تُعرف في الأوساط الأمنية أيضاً بأسماء Mustang Panda وEarth Preta، استناداً إلى تقاطعات جوهرية في البنية التحتية ومفاتيح التهيئة المستخدمة في العينات الخبيثة، ومع ذلك يظل هذا الربط ضمن نطاق الإسناد الاستخباراتي الفني المنشور علناً في ظل غياب تأكيدات رسمية من الجهات القطرية المختصة.
وتتجسد خطورة هذا التطور في طبيعة المواد المستخدمة كفخاخ رقمية، والتي ركزت على ملفات تزعم توثيق أضرار ضربات صاروخية إيرانية أو استهداف منشآت النفط والغاز في الخليج، حيث كشف التحليل عن وجود حملتين متوازيتين بآليات تسليم وحمولات نهائية مختلفة، الأمر الذي يرجح عمل أكثر من عنقود عملياتي في آن واحد ضمن هذا السياق الجيوسياسي المعقد.
الآليات التقنية المتبعة في تنفيذ الهجمات وتوظيف البرمجيات الخبيثة
وفيما يخص التفاصيل الفنية للمسارات الهجومية، فقد اعتمدت الحملة الأولى على ملفات اختصار من نوع LNK تقوم عند تشغيلها بتنزيل مراحل لاحقة من خادم بعيد، ثم توظف تقنية اختطاف تحميل المكتبات الديناميكية (DLL Hijacking) عبر ملف تنفيذي شرعي تابع لتطبيق Baidu NetDisk.
وتسمح هذه التقنية، التي تعتمد على استغلال طريقة تحميل نظام التشغيل للملفات المساعدة لزرع كود خبيث، بتشغيل برمجية PlugX بصورة خفية تضمن تجاوز أنظمة الرصد التقليدية.
وبالتوازي مع ذلك، استخدمت الحملة الثانية أرشيفات محمية بكلمة مرور تضمنت وثائق منسوبة لجهات إسرائيلية، وانتهت بزرع أداة أولية مكتوبة بلغة Rust لم تُسجل سابقاً، وصولاً إلى إسقاط برمجية Cobalt Strike عبر ثغرة في مكونات قارئ الشاشة NVDA، مع ملاحظة استخدام أدوات ذكاء اصطناعي لتوليد بعض مواد تمويهية، وهو ما يؤكد تطور أدوات المهاجمين وسرعة إنتاجهم للمحتوى المضلل.
تحتل برمجية PlugX مكانة محورية في هذا النشاط، فهي برمجية وصول عن بعد (RAT) ذات طبيعة معيارية تتيح إضافة خصائص جديدة حسب الحاجة. تصنفها قاعدة بيانات MITRE ATT&CK كأداة تحكم استُخدمت من قبل مجموعات تهديد متعددة على مدار سنوات.
تمنح هذه البرمجية المهاجمين قدرات واسعة تشمل تنفيذ الأوامر البرمجية، وسرقة الملفات، والتقاط صور لسطح المكتب، وتسجيل مدخلات لوحة المفاتيح، فضلاً عن إدارة عمليات النظام وخدماته الأساسية.
الأبعاد الجيوسياسية وتوسع نطاق التهديدات في المنطقة
تتجاوز دلالات هذه الواقعة حدود استهداف دولة قطر لتشمل سياقاً أوسع يتعلق بزيادة التركيز على منطقة الخليج ضمن مشهد التجسس الدولي.
تشير تقارير Check Point السنوية لعام 2025 إلى توسع نشاط مجموعة Camaro Dragon سابقاً ضد مؤسسات حكومية أوروبية، وخاصة وزارات الخارجية. كما رصدت أساليب تقنية مشابهة في نهاية عام 2025 استهدفت جهات عسكرية في تركيا، وهو تسلسل يعزز القناعة بأن دول الخليج باتت تقع ضمن أولويات الاستهداف المرتبط بالتجسس المدعوم من دول، أو ضمن موجة توسع نشط لهذه المجموعات.
