هجمات سيبرانية

مجموعة تهديد صينية متقدمة تستهدف مزوّدي خدمات الاستضافة في تايوان

مجموعة UAT-7237 تعتمد على أدوات مفتوحة المصدر معدّلة لاختراق خوادم تايوانية عالية القيمة.

تم النشر في Aug. 19, 2025

مجموعة تهديد صينية متقدمة تستهدف مزوّدي خدمات الاستضافة في تايوان — مجموعة UAT-7237 تستهدف خوادم تايوانية باستخدام أدوات اختراق مفتوحة المصدر معدّلة، في استمرار لتصاعد الهجمات السيبرانية القادمة من الصين.

كشفت شركة Cisco Talos عن مجموعة تهديد متقدمة صينية (APT) جديدة تستهدف مزوّدي البنية التحتية للويب في تايوان، مع تركيز واضح على الحصول على وصول طويل الأمد وسرقة البيانات.

يأتي هذا التقرير في ظل تصاعد الهجمات الإلكترونية التي تستهدف البنية التحتية الحيوية في تايوان من قبل الصين، بالتزامن مع التوترات الجيوسياسية المتعلقة بوضع الجزيرة.

تفاصيل الهجوم

المجموعة، التي تُعرف باسم UAT-7237، تمكنت من اختراق مزوّد استضافة ويب تايواني. وأظهر المهاجمون اهتماماً خاصاً بالوصول إلى شبكات VPN والبنية التحتية السحابية الخاصة بالضحية.

بحسب الباحثين، قامت المجموعة بتنفيذ أنشطة خبيثة متنوعة داخل بيئة الاستضافة، شملت:

الاستطلاع (Reconnaissance)
استخراج بيانات اعتماد الدخول (Credential Extraction)
إعداد قنوات وصول خلفية (Backdoored Access)

وتعتمد المجموعة بشكل رئيسي على أدوات مفتوحة المصدر، بما في ذلك أداة SoundBill المخصصة لتحميل الشيفرات الخبيثة.

ارتباطات مع مجموعات أخرى

تشير Cisco Talos إلى أن UAT-7237 نشطة منذ عام 2022، ومن المرجح أنها فرع من مجموعة أخرى تُعرف باسم UAT-5918، والتي سبق وأن نفذت عمليات تجسسية ضد منظمات في تايوان.

ومع ذلك، يرى الباحثون أن UAT-7237 تعتبر مجموعة مستقلة نظراً لاختلاف تكتيكاتها وتقنياتها عن UAT-5918.
من أبرز الاختلافات:

اعتمادها على Cobalt Strike كأداة خلفية أساسية.
نشرها الانتقائي لقواقع الويب (Web Shells) بعد الاختراق.
استخدامها عميل SoftEther VPN لتحقيق الاستمرارية ثم الدخول عبر بروتوكول RDP.

أنشطة ما بعد الاختراق

أشار التقرير الصادر في 15 أغسطس 2025 إلى أن المجموعة، مثل غيرها من المجموعات الصينية، تبدأ هجماتها باستغلال ثغرات معروفة في خوادم غير محدثة ومكشوفة للإنترنت.

لكن بخلاف UAT-5918 التي تسارع إلى زرع قواقع الويب، تعتمد UAT-7237 على SoftEther VPN للحفاظ على وجودها على المدى الطويل، وهو ما وجدت Talos دلائل على استخدامه لأكثر من عامين في بيئة الضحية.

كما تعتمد المجموعة على أدوات مفتوحة المصدر (غالباً معدّلة) مثل:

SharpWMI و WMICmd لتنفيذ الأوامر عبر WMI.
أداة SoundBill المكتوبة بالصينية لتحميل الشيفرات من ملف باسم “ptiti.txt”. المثير أن بعض الملفات المدمجة بداخلها تعود إلى برنامج QQ الصيني.
JuicyPotato لتصعيد الامتيازات.
Mimikatz لسرقة بيانات الدخول.
Fscan لمسح الشبكات واكتشاف المنافذ المفتوحة.

بعد ذلك، تقوم المجموعة بالتحرك الجانبي (Lateral Movement) داخل الشبكة باستخدام بيانات الاعتماد المسروقة للتوسع داخل بيئة المؤسسة.

تصاعد الهجمات الصينية على تايوان

تشير الأبحاث الأمنية إلى أن الهجمات الصينية ضد تايوان تزايدت مؤخراً، سواء لأغراض التجسس أو للتحضير لإمكانية تعطيل خدمات حيوية.

في يناير 2025، أفاد مكتب الأمن القومي التايواني (NSB) بارتفاع كبير في الهجمات السيبرانية خلال عام 2024 استهدفت قطاعات مثل الاتصالات والنقل والشبكات الحكومية، وأغلبها نُسب إلى قراصنة مدعومين من الصين.

كما حذر المكتب المواطنين من تطبيقات صينية الصنع واسعة الاستخدام في تايوان، مؤكداً أنها تشكّل خطراً على الأمن السيبراني من خلال إرسال بيانات المستخدمين إلى خوادم داخل الصين.

في تقرير آخر عام 2024، كشفت شركة ESET أن مجموعة APT صينية تُعرف باسم Evasive Panda استخدمت مجموعة أدوات متطورة باسم CloudScout لسرقة بيانات سحابية من مؤسسات تايوانية.