كشفت تقارير أمنية عن حملة تصيّد موجه جديدة نفذتها مجموعة التهديد Patchwork، واستهدفت من خلالها شركات دفاع تركية عبر ملفات LNK خبيثة مموّهة على هيئة دعوات لحضور مؤتمر حول أنظمة المركبات غير المأهولة. ويُعتقد أن الهدف الأساسي من الحملة هو جمع معلومات استراتيجية حساسة.
وبحسب تقرير تقني نشرته شركة Arctic Wolf Labs، فإن الهجوم تضمن سلسلة تنفيذ من خمس مراحل تبدأ بتشغيل ملف LNK يحتوي على أوامر PowerShell تُحمّل برمجيات خبيثة إضافية من خادم خارجي تم تسجيل نطاقه باسم “expouav[.]org” في 25 يونيو 2025. يُظهر النطاق ملف PDF مزيفاً يحاكي مؤتمراً دولياً عن أنظمة المركبات غير المأهولة، مستنسخاً محتوى من الموقع الشرعي waset[.]org، وذلك بهدف تشتيت انتباه المستخدم بينما تُنفذ البرمجيات الضارة في الخلفية.
دوافع جيوسياسية واتساع في نشاط المجموعة
تزامنت هذه الحملة مع تعزيز التعاون الدفاعي بين باكستان وتركيا، ومع وقوع اشتباكات عسكرية حديثة بين الهند وباكستان، ما يُرجّح الدافع الجيوسياسي وراء الهجوم. وقد شملت أهداف الحملة أيضاً شركة غير مُسماة تعمل في تصنيع أنظمة صواريخ موجهة بدقة.
تُعرف مجموعة Patchwork بعدة أسماء مثل APT-C-09 وDropping Elephant وQuilted Tiger وOperation Hangover، ويُعتقد أنها جهة مدعومة من دولة ومن أصل هندي. وقد نشطت منذ عام 2009 واستهدفت كيانات في الصين وباكستان ودول أخرى بجنوب آسيا.
في العام الماضي، وثّقت مجموعة Knownsec 404 الصينية حملة لـ Patchwork استهدفت كيانات على صلة ببوتهان، واستخدمت فيها إطار Brute Ratel C4 ونُسخة محدّثة من الباب الخلفي PGoShell.
ومنذ مطلع عام 2025، ارتبطت المجموعة بعدة حملات ضد جامعات صينية، استخدمت فيها ملفات وهمية تتعلق بشبكات الطاقة لنشر محمّل Rust يقوم بفك تشفير وتنفيذ تروجان مكتوب بلغة C# يُدعى Protego لجمع معلومات من أنظمة ويندوز المصابة.
أدوات وأساليب متطورة تُظهر تطوراً كبيراً في قدرات المجموعة
أفاد التقرير بأن حملة Patchwork الأخيرة تمثل نقلة نوعية في أدواتها وأساليبها، إذ انتقلت من استخدام DLL بنسخ 64-بت كما في نوفمبر 2024 إلى ملفات تنفيذية x86 مع بنية أوامر محسّنة.
ومن بين الملفات التي يتم تحميلها خلال سلسلة التنفيذ، DLL خبيث يتم تشغيله عبر أسلوب DLL Side-Loading باستخدام مهمة مجدولة. ويقوم هذا الكود بتنفيذ عمليات استطلاع مكثفة على النظام المصاب، تشمل التقاط صور للشاشة وإرسال المعلومات إلى الخادم البعيد.
ووفقاً لتقرير Arctic Wolf، فإن هذه الحملة تأتي في ظل امتلاك تركيا لنسبة 65% من سوق تصدير الطائرات المسيّرة عالمياً، وتطويرها لقدرات صاروخية فرط صوتية، بالتزامن مع تعزيز علاقاتها الدفاعية مع باكستان، وهو ما يجعلها هدفاً استراتيجياً في ظل التوترات المستمرة مع الهند.
تجدر الإشارة إلى أن تقريراً صادراً عن شركة QiAnXin الصينية في مايو 2025 كشف عن وجود تشابهات في البنية التحتية بين Patchwork وفريق DoNot (المعروف أيضاً بـ APT-Q-38)، ما يُشير إلى وجود روابط تشغيلية محتملة بين الجهتين.
