رصد مركز «Trellix للأبحاث المتقدمة» هجوماً سيبرانياً موجهاً نحو وزارة خارجية أوروبية، منسوباً إلى مجموعة التهديد المتقدمة المعروفة باسم DoNot Team، والمعروفة أيضاً بعدة تسميات أخرى مثل APT-C-35 وMint Tempest وOrigami Elephant. وتشير التقارير إلى أن هذه المجموعة، النشطة منذ عام 2016، تواصل توسيع نشاطها ليشمل أهدافاً دبلوماسية في أوروبا، بعد أن ركّزت سابقاً على جنوب آسيا.
وفقاً للخبراء، تعتمد المجموعة في هجماتها على برمجيات خبيثة مصمّمة خصيصاً لنظام Windows، من بينها بوابات خلفية مثل YTY وGEdit، وغالباً ما تُسلَّم هذه البرمجيات عبر رسائل تصيد موجهة تحتوي على مستندات ضارة أو روابط إلكترونية خادعة.
تبدأ سلسلة الهجوم برسائل بريد إلكتروني تُرسل من حساب Gmail، وتنتحل صفة مسؤولين في الدفاع، وتتضمن عناوين تشير إلى زيارات دبلوماسية حساسة مثل زيارة ملحق دفاع إيطالي إلى دكا، بنغلاديش. وتُظهر الرسائل عناية دقيقة بالتفاصيل اللغوية، ما يعزز من مصداقيتها الظاهرية.
ويتم عبر هذه الرسائل توزيع أرشيف RAR يحتوي على ملف تنفيذي خبيث مموه على هيئة مستند PDF. وبمجرد فتحه، يتم تنصيب برمجية LoptikMod، وهي أداة تجسس نادرة الاستخدام خارج هذه المجموعة، وتتمتع بقدرات متقدمة على الاتصال بخوادم خارجية لجمع معلومات النظام، وتنفيذ أوامر إضافية، وتحميل وحدات جديدة، وتهريب البيانات.
وللحد من الرصد والتحليل، تعتمد البرمجية على تقنيات متقدمة لإخفاء وجودها، تشمل التمويه النصي (ASCII Obfuscation) وأساليب مضادة للأنظمة الافتراضية (Anti-VM)، كما تضمن تشغيل نسخة واحدة فقط على الجهاز المصاب لتفادي التداخل أو كشفها.
وذكر الباحثون أن الخادم المُستخدم للتحكم والسيطرة (C2) بات حالياً غير نشط، ما قد يشير إلى تعليق الحملة مؤقتاً أو انتقال البنية التحتية للمجموعة إلى خوادم أخرى. لكن غياب الاتصال لا يسمح حالياً بتحديد طبيعة الأوامر التي تُرسل إلى الأجهزة المخترقة أو نوعية البيانات التي يتم تهريبها.
وأكّد التقرير أن عمليات DoNot APT تتسم بالمراقبة المستمرة وسرقة المعلومات والحفاظ على وجود طويل الأمد داخل الأنظمة المستهدفة، مما يشير إلى أهداف تجسسية واضحة. وإذا كان تركيزها في السابق منصبّاً على جنوب آسيا، فإن هذا الاستهداف الجديد لسفارات جنوب آسيوية في أوروبا يسلّط الضوء على تحوّل استراتيجي نحو متابعة الاتصالات والمصالح الدبلوماسية الأوروبية.
