أعلنت مجموعة تحليل التهديدات في Google (Google Threat Intelligence Group) بالتعاون مع Mandiant وشركاء أمنيين، تنفيذ عملية تقنية واسعة استهدفت تفكيك البنية التحتية لحملة تجسس سيبراني عالمية نسبت إلى جهة يشتبه بارتباطها بالصين تُعرف باسم UNC2814.
وكشفت الوثائق التقنية عن تأثر 53 ضحية في 42 دولة عبر 4 قارات، مع رصد مؤشرات إصابة في 20 دولة إضافية، ما وضع هذه الحملة ضمن أوسع العمليات التي جرى التعامل معها مؤخراً. تركز الاستهداف بشكل أساسي على قطاع الاتصالات والجهات الحكومية، حيث اعتمد المهاجمون تكتيكات متطورة للتخفي عبر استغلال الخدمات السحابية الشرعية كمسارات لإرسال الأوامر والتحكم في الأنظمة المخترقة.
شملت عملية التعطيل التي اكتملت في الأسبوع الأخير من فبراير 2026 إنهاء كافة مشاريع Google Cloud التي سيطر عليها المهاجمون، وقطع صلاحيات الوصول إلى واجهة برمجة تطبيقات Google Sheets API التي استخدمت كقناة اتصال سرية.
وبالتوازي مع هذه الإجراءات، جرى نشر مؤشرات الاختراق المرتبطة بهذه الجهة النشطة منذ عام 2023. وأوضحت التقارير أن الهجوم لم يعتمد على ثغرات أمنية في منتجات Google، بل ارتكز على إساءة استخدام الوظائف الطبيعية للخدمات لإخفاء النشاط الخبيث ضمن حركة البيانات المعتادة للمؤسسات، وهو تحول منهجي في أساليب المجموعات المتقدمة لتجاوز أنظمة الرصد التقليدية.
تشريح البرمجية وآلية استغلال القنوات السحابية
تمثل البرمجية الخبيثة GRIDTIDE الركيزة التقنية لهذه الحملة، وهي عبارة عن باب خلفي مكتوب بلغة C، يمنح القدرة على تنفيذ أوامر برمجية ورفع الملفات وتنزيلها من الأجهزة المصابة. تكمن خطورة هذه البرمجية في استخدامها مستندات Google Sheets كمنصة لتبادل الأوامر والبيانات، حيث تظهر حركة الشبكة وكأنها نشاط يومي طبيعي لموظفي المؤسسة.
وتتطلب البرمجية مفتاحاً تشفيرياً خاصاً لفك إعدادات الوصول إلى الحسابات السحابية المرتبطة بجدول البيانات المستخدم في العملية، مما يضمن للمهاجمين سرية عالية في إدارة الجلسات المخترقة.
عند تفعيل GRIDTIDE على الجهاز المستهدف، تجمع بيانات تعريفية دقيقة تشمل اسم المستخدم وتفاصيل نظام التشغيل وعناوين الشبكة المحلية، وتخزنها في خلايا محددة داخل جدول البيانات. ويتبع المهاجمون بروتوكولاً دقيقاً في إرسال التعليمات عبر تقسيمها إلى أجزاء تشمل نوع الأمر ومعرفه، مع تخصيص خلايا معينة لاستقبال المخرجات أو رفع الملفات.
كما تعتمد البرمجية نمط انتظار متدرج يتضمن فترات سكون عشوائية لتقليل الضوضاء الرقمية وتجنب إثارة رادارات الحماية، بالإضافة إلى استخدام ترميز خاص للبيانات لضمان عبورها عبر الروابط الإلكترونية دون عوائق تقنية.
الثبات الرقمي وتكتيكات العيش على موارد النظام
كشفت التحقيقات التي أجرتها فرق الاستجابة في Google SecOps عن استخدام المهاجمين لأسلوب العيش على أدوات النظام، ما يصعب عملية الكشف. تضمنت الأنشطة المرصودة حركة جانبية داخل الشبكات باستخدام بروتوكول SSH، وإنشاء خدمات نظام دائمة لضمان استمرار عمل البرمجية حتى بعد إعادة تشغيل الأجهزة.
كما رُصد استخدام جسور اتصال عبر SoftEther VPN لإنشاء قنوات مشفرة نحو الخارج، وهو نمط تكرر في عمليات سابقة نسبت لمجموعات قرصنة صينية، رغم أن هذا المعطى وحده لا يعد دليلاً نهائياً على جهة المصدر.
وفي سياق تقييم الأضرار، عثر على برمجية GRIDTIDE في أجهزة تحتوي بيانات تعريف شخصية حساسة مثل أرقام الهوية وناخبي الانتخابات، وهو ما يتماشى مع أهداف التجسس السياسي ومراقبة الأشخاص ذوي الأهمية. وبالرغم من عدم رصد عمليات تهريب ضخمة للبيانات في هذه الحملة تحديداً، إلا أن التاريخ العملياتي لهذا النوع من الاستهداف يشير إلى سوابق في سرقة سجلات المكالمات ورسائل SMS. وتؤكد هذه القضية ضرورة تشديد الرقابة على واجهات برمجة التطبيقات (APIs) الصادرة من العمليات البرمجية غير التقليدية، ومراجعة خدمات النظام والملفات المؤقتة بشكل دوري لضمان سلامة البيئات التقنية المؤسسية.
