استغلال التوترات الجيوسياسية في هجوم سيبراني متقدم يستهدف منطقة الخليج

رصد فريق ThreatLabz التابع لشركة Zscaler، في الأول من مارس 2026، نشاطاً سيبرانياً جديداً نُسب إلى جهة تهديد مرتبطة بالصين، استهدف دولاً في منطقة الخليج العربي. وقد تزامن هذا النشاط مع الساعات الأربع والعشرين الأولى من تجدد الصراع في منطقة الشرق الأوسط، ما يعكس سرعة استجابة المهاجمين للمتغيرات الجيوسياسية.

اعتمدت الحملة على استغلال الأحداث الجارية عبر استخدام ملف إغراء باللغة العربية يتناول موضوع الضربات الصاروخية، وذلك لتحفيز الضحايا على فتح المحتوى الخبيث. وانتهت سلسلة الهجوم بزرع نسخة من الباب الخلفي PlugX، وهي برمجية خبيثة تمنح المهاجم قدرة التحكم الكامل عن بُعد في الجهاز المصاب.

وتشير التقديرات الفنية المرجحة إلى ارتباط هذا النشاط بجهة صينية، مع احتمالية متوسطة بأن يكون الهجوم من تنفيذ مجموعة Mustang Panda المعروفة بنشاطها المكثف في هذا المجال.

الهندسة التقنية لسلسلة العدوى المعقدة

بُنيت هذه العملية على سلسلة تنفيذ متعددة المراحل، بدأت بملف مضغوط بصيغة ZIP يحتوي على ملف اختصار ويندوز (LNK)، ثم انتقلت إلى ملف مساعدة (CHM) خبيث، ومنه إلى مُحمّل shellcode عالي الإخفاء؛ وهو شفرة برمجية صغيرة تُستخدم كمنطلق لتنفيذ الأوامر الخبيثة، وصولاً في النهاية إلى زرع برمجية PlugX داخل الأنظمة المصابة.

ولإعاقة عمليات الهندسة العكسية، استخدمت العينة تقنيات تعقيد برمجي متطورة تشمل تسطيح تدفق التحكم (CFF) والحسابات المنطقية البوليانية المختلطة (MBA). كما دعمت البرمجية الاتصال بخوادم القيادة والتحكم عبر بروتوكول HTTPS، مع توظيف خاصية DNS-over-HTTPS لحل أسماء النطاقات وتشفير استعلامات العناوين لضمان السرية.

أظهر التحليل الفني للتسلسل التقني أن ملف الاختصار الأول حمل اسم photo_2026-03-01_01-20-48.pdf.lnk، وكان يستدعي أداة cURL لتنزيل ملف CHM الخبيث من خادم يتحكم به المهاجم، ثم استخدم الأداة الشرعية hh.exe مع خيار decompile لاستخراج محتوياته. وبفك هذا المحتوى، ظهرت ثلاثة عناصر رئيسية:

• ملف اختصار ثانٍ باسم 0.lnk.
• ملف PDF تمويهي (Decoy).
• ملف جرى التعامل معه كأرشيف TAR يضم المكونات الخبيثة اللاحقة.

تضمن الملف الطعم صوراً لضربات صاروخية، حيث ترجمت Zscaler النص العربي الموجود داخله إلى عبارة تشير إلى ضربات صاروخية إيرانية على قاعدة أميركية في البحرين. ويعكس هذا التوقيت الدقيق قدرة المهاجم على مواءمة الطُعم الاجتماعي بسرعة فائقة مع التطورات السياسية والعسكرية المتسارعة في المنطقة.

آليات الاستمرارية والتحكم داخل الأنظمة

نفذ ملف الاختصار 0.lnk في المرحلة التالية 3 عمليات متتابعة؛ بدأت بإعادة تسمية ملف الطعم، ثم استخراج محتوى أرشيف TAR داخل مجلد AppData، وصولاً إلى تشغيل الملف التنفيذي ShellFolder.exe مع وسيط محدد. أدى هذا الإجراء إلى تفعيل تقنية تحميل DLL الجانبي، حيث قام الملف التنفيذي بتحميل مكتبة خبيثة باسم ShellFolderDepend.dll تعمل بوضع 32-بت.

تؤدي هذه المكتبة وظيفتين رئيسيتين:

1. إنشاء آلية استمرارية: لضمان بقاء البرمجية داخل النظام.
2. فك التشفير والتشغيل: معالجة حمولة shellcode مخزنة في ملف Shelter.ex وتشغيلها.

ولزيادة التمويه، أخفى المهاجم السلاسل النصية داخل المكتبة عبر تشفير XOR مخصص يعتمد على الفهرسة وثابت جمعي. وفي جانب الاستمرارية، تتحقق المكتبة من وجود العملية bdagent.exe الخاصة ببرنامج Bitdefender؛ وعند رصدها، تستخدم الأداة الخبيثة ملف reg.exe لإضافة قيمة تشغيل تلقائي ضمن مسار Run في سجل النظام (Windows Registry)، مما يضمن تشغيل ShellFolder.exe تلقائياً عند كل تسجيل دخول.

ينتقل التنفيذ بعد ذلك إلى مرحلة أكثر تعقيداً عبر زرع خطافين (Hooks) مباشرين داخل واجهات ويندوز البرمجية (API):

• الخطاف الأول (GetCommandLineW): يُستخدم لتزوير سطر الأوامر.
• الخطاف الثاني (CreateProcessAsUserW): يعمل على استعادة البايتات الأصلية ثم استدعاء دالة Sleep لتعليق التنفيذ مؤقتاً.

وفي الختام، تُستخدم الدالة SystemFunction033، المعروفة باسم RC4، لفك تشفير الـ shellcode، مع تخصيص ذاكرة قابلة للتنفيذ عبر VirtualAlloc ونقل التنفيذ إليها لبدء النشاط الخبيث النهائي.

التحميل الانعكاسي وقدرات التجسس الموسعة

أظهرت الحمولة النهائية أساليب إضافية متطورة للإخفاء؛ حيث تم تخريب رؤوس MZ وPE عمداً واستبدالها ببيانات ASCII عشوائية لتعطيل أدوات الفحص الذاكري، مع الاحتفاظ ببعض الحقول الأساسية لضمان استمرار عملية التحميل داخل الذاكرة.

وفي المرحلة الختامية، يتم تحميل برمجية PlugX عبر تقنية التحميل الانعكاسي؛ إذ تُخصص الذاكرة وتُعاد مواضع الأقسام وتُحل الواردات البرمجية، ليتم بعدها تمرير سياق يحتوي على إعدادات مشفرة إلى دالة DllMain. وقد استُخدمت رؤوس الصورة المخربة كوسيلة للتمويه وكحاوية لنقل الإعدادات، التي تضمنت استهداف ملفات متنوعة تشمل الوثائق والعروض التقديمية والوسائط، بالإضافة إلى عنوان خادم قيادة وتحكم يعمل عبر بروتوكول HTTPS.

وعلى صعيد الاستمرارية، أنشأت البرمجية مساراً داخل مجلد Program Files تحت اسم Display Broker، مع تسجيل خدمة رسمية المظهر باسم Microsoft Desktop Dialog Broker، ووصف مضلل يشير إلى إدارة إعدادات العرض المحلي والبعيد.

دعمت العينة قنوات اتصال متعددة تشمل TCP وHTTPS وUDP، مع توظيف خاصية DNS-over-HTTPS عبر خدمة dns.google. كما قدمت البرمجية مجموعة واسعة من الإضافات (Plugins) شملت:

• إدارة الأقراص والعمليات والخدمات وسجل النظام.
• تحليل الشبكات والتقاط الشاشة.
• توفير واجهة أوامر نصية ودعم بروتوكولات Telnet وSQL.
• تسجيل ضغطات المفاتيح (Keylogging).

وتنسب ThreatLabz هذا النشاط إلى جهة تهديد مرتبطة بالصين، استناداً إلى استخدام برمجية PlugX وتشابه الشيفرة المصدرية مع حملة DOPLUGS السابقة، فضلاً عن تطابق مفاتيح التشفير المستخدمة مع أنشطة مجموعات معروفة مثل Mustang Panda وPKPLUG.