كشفت Palo Alto Networks Unit 42 عن حملة تجسس سيبراني كبرى نسبتها إلى جهة فاعلة محسوبة على دولة تنشط من داخل آسيا. وأوضح التقرير أن المجموعة، التي أُطلق عليها الرمز التقني TGR-STA-1030، تمكنت من اختراق شبكات ما لا يقل عن 70 جهة حكومية وبنية تحتية حساسة موزعة على 37 دولة خلال عام واحد. كما رصد الخبراء عمليات استطلاع موسعة استهدفت بنى تحتية حكومية تتبع لـ 155 دولة خلال الشهرين الأخيرين من عام 2025.
ووفقاً للبيانات التي أوردتها Unit 42، ركز الاستهداف على مؤسسات ذات ثقل استخباري وسيادي، شملت أجهزة إنفاذ القانون وإدارة الحدود الوطنية، ووزارات المالية، والهيئات المعنية بالتجارة والموارد الطبيعية والدبلوماسية. وتشير المؤشرات الفنية إلى أن أهداف الحملة تتجاوز مجرد جمع المعلومات التقنية، لتصل إلى استخلاص بيانات سياسية واقتصادية حساسة.
دوافع جيوسياسية وأنماط تشغيلية
ويرجح الخبراء أن نشاط المجموعة بدأ في يناير 2024، مع رصد قرائن تربطها ببيئة عمل آسيوية؛ من بينها أنماط استخدام خدمات إقليمية، وتفضيلات لغوية في إعدادات الأنظمة، فضلاً عن تزامن فترات العمل مع توقيت (GMT+8)، وتوافق النشاط مع أحداث سياسية تهم المنطقة.
أساليب الاختراق: من التصيد إلى الثغرات المعروفة
تتبع المجموعة سلسلة دخول تبدأ برسائل بريد إلكتروني ملغومة تستهدف عناوين رسمية، وتستخدم طعوماً تتعلق بإعلانات إدارية داخل الوزارات، مثل إعادة الهيكلة. وتوجه هذه الرسائل الضحايا إلى روابط تستضيف ملفات على منصة MEGA، تنتهي بتنزيل أرشيف ZIP يحتوي على ملف تنفيذي وملحق خادع باسم (pic1.png) بحجم صفري.
ويعتمد الملف الخبيث المسمى Diaoyu Loader على آليتين لتعطيل أنظمة الفحص Sandbox قبل تفعيل نشاطه؛ إذ يشترط أن تكون دقة الشاشة 1440 أو أعلى، مع ضرورة وجود ملف الصورة الملحق في المجلد نفسه، وهو ما يؤدي إلى توقف البرنامج عن العمل بهدوء في حال فحصه بمعزل عن بيئته المستهدفة. وبعد اجتياز هذه الشروط، يتحقق من وجود برمجيات حماية مثل Kaspersky، وBitdefender، وSentinel One، وSymantec، وAvira، قبل تثبيت برمجية Cobalt Strike.
وبجانب التصيد، تدمج المجموعة أنشطة الاستطلاع باستغلال ثغرات معروفة (N-day) في منتجات Microsoft وأنظمة مؤسسية أخرى للحصول على موطئ قدم أولي، دون رصد استخدام لثغرات اليوم الصفري (Zero-day) حتى الآن.
أدوات التخفي وتقنية eBPF
لضمان البقاء داخل الشبكات المخترقة، وثق التقرير استخدام أدوات مثل Web shells (Behinder وGodzilla) لتسهيل الحركة الجانبية، بالإضافة إلى أدوات نفق الشبكة، مثل GOST وFRPS وIOX.
وبرزت في التقرير برمجية Rootkit لنظام Linux تحمل اسم ShadowGuard مبنية على تقنية eBPF. وتوصف هذه الأداة بأنها شديدة التخفي لعملها داخل مساحة النواة، ما يمكنها من إخفاء العمليات والملفات واعتراض استدعاءات النظام، وهو ما يجعل رصدها عبر أدوات الرقابة التقليدية أمراً بالغ الصعوبة.
تداعيات إقليمية وملفات اقتصادية
يربط تقرير Unit 42 بين توقيت الهجمات وأحداث اقتصادية محددة، مثل ملفات المعادن النادرة، واتفاقيات التجارة، والرسوم الجمركية. وأشار التقرير إلى أن نطاق الاختراقات شمل دولاً في آسيا وأوقيانوسيا، وورد ذكر المملكة العربية السعودية ضمن قائمة البلدان التي تقيم الشركة وقوع اختراقات في جهات تابعة لها، دون صدور إعلانات رسمية أو تفاصيل مستقلة تؤكد ذلك.
ويبدو أن التوجه العام للاستهداف في المنطقة يركز على وزارات المالية والقطاعات السيادية، ما يعكس رغبة في النفاذ طويل المدى للمراسلات والملفات التفاوضية. ويؤكد هذا المشهد ضرورة تعزيز إدارة الثغرات وتحصين البريد الإلكتروني، بالإضافة إلى مراقبة سلوك العمليات في بيئات Linux الحساسة لمواجهة تقنيات التخفي المتقدمة.
