مجموعات تجسس تابعة للصين كتستهدف حكومات وصحفيين ونشطاء: شنو خاص المحترفين د الـ IT فالمغرب يعرفو
China-Linked Hackers Target Asian Governments, NATO State, Journalists, and Activists
مجموعات تجسس تابعة للصين كتستهدف حكومات وصحفيين ونشطاء: شنو خاص المحترفين د الـ IT فالمغرب يعرفو
فعالم التجسس الإلكتروني اللي كيطور بسرعة، بانت مؤخراً حملات معقدة بزاف مرتبطة بمجموعات جاية من جيهة الصين. هاد العمليات، اللي رصداتهم شركات كبار بحال Trend Micro، و Google Threat Intelligence Group (GTIG)، و Proofpoint، كيشكلو خطر حقيقي على البنية التحتية للحكومات، قطاع الدفاع، والمجتمع المدني.
الخلاصة (TL;DR)
كاينين حملات تجسس جديدة كديرهم مجموعات بحال SHADOW-EARTH-053 و GLITTER CARP. هاد الناس كيستغلو ثغرات N-day (ثغرات معروفة ولكن مزال ماتصلحاتش) فـ Microsoft Exchange و IIS باش يدخلو لأنظمة الحكومات والدفاع فالعالم كامل. كيخدمو بأدوات واعرة بحال ShadowPad backdoor و Godzilla web shells باش يبقاو مأنسطاليين فالسيرفورات ويسرقو البيانات. فجهة خرى، كاينين مجموعات كتستهدف الصحفيين والنشطاء عن طريق phishing مطور و abuse لـ OAuth tokens.
الصعود ديال SHADOW-EARTH-053
الباحثين فـ Trend Micro اكتشفو مجموعة جديدة سماوها SHADOW-EARTH-053. وخا هاد المجموعة خدامة من لخر ديال 2024، ولكن فـ 2025 وسعات النشاط ديالها بشكل كبير.
هاد المجموعة كتركز بزاف على قطاعات الحكومة والدفاع فجنوب وشرق آسيا، بحال باكستان، طايلاند، ماليزيا، الهند، تايوان، وغيرها. ولكن اللي كيهمنا هو أن هاد الحملة وصلات حتى لأوروبا، وبالضبط لـ بولونيا، اللي هي عضو فـ NATO.
كاين واحد التشابه تقني كبير بين هاد المجموعة ومجموعات خرين معروفين بحال Earth Alux و REF7707. الملاحظ هو أن نص الضحايا ديال هاد المجموعة كانو ديجا تعرضو لاختراق من طرف مجموعة خرى سميتها SHADOW-EARTH-054، وخا مكاينش دليل بلي كاين تنسيق مباشر بيناتهم.
التحليل التقني: كيفاش كيدوز الهجوم؟
بالنسبة للـ sysadmins والناس ديال الـ security فالمغرب، مهم بزاف نفهمو منين كيدخلو (entry vectors). هاد المهاجمين كيعتمدو على ثغرات "N-day"، يعني ثغرات اللي ديجا عندها patch وموصوف الحل ديالها، ولكن الشركة الضحية مزال ما دارت لا mise à jour لا والو.
- الدخول لولاني (Initial Access): كيدخلو غالباً عن طريق ثغرات فـ Microsoft Exchange servers (بحال ProxyLogon) و تطبيقات الـ Internet Information Services (IIS) اللي مفتوحين على برا.
- الاستمرارية (Persistence): فاش كيدخلو، كيخدمو بـ Godzilla web shell.
- ملاحظة تقنية: الـ web shell هو سكريبت خبيث كيتحط فالسيرفور كيخلي المهاجم يتحكم فيه عن بعد من وسط Browser.
- أنطسالي ديال Backdoor: كيخدمو بطريقة DLL side-loading (فين كيتحط DLL خبيث فبلاصت واحد صحيح باش يخدمو البرنامج بلا ما يعيق به الـ Anti-virus)، وكيأنسطاليو ShadowPad backdoor.
- تحركات وسط الشبكة (Lateral Movement): كيخدمو بخليط ديال أدوات open-source وأدوات ديالهم:
- AnyDesk: باش يدخلو remote access.
- Mimikatz: باش يسرقو الـ credentials ويطلعو الصلاحيات (privileges).
- Sharp-SMBExec: أداة كاستوم بـ C# باش يتحركو وسط الـ network.
- Noodle RAT: فشي حالات، خدمو بنسخة Linux ديال هاد الـ Trojan باستغلال ثغرة CVE-2025-55182 فـ React2Shell.
- Tunneling: كيستعملو أدوات بحال IOX و GOST باش يتخطاو القيود ديال الـ network.
استهداف الصحفيين والنشطاء
بالموازاة مع الهجمات على البنية التحتية، كاينين مجموعات خرين بحال GLITTER CARP و SEQUIN CARP كيركزو على الأشخاص. هاد الحملات كتستهدف الاتحاد الدولي للصحفيين الاستقصائيين (ICIJ) والنشطاء اللي فلبرا. الهدف بسيط: يدخلو لجميع المراسلات ديال الضحية.
هاد الناس كيخدمو بـ phishing كيبان حقيقي بزاف:
- انتحال الشخصية: كيسيفطو ايميلات كيبانو بحال تنبيهات أمنية من شركات تكنولوجية كبار.
- AiTM Phishing Kits: أدوات متطورة باش يتخطاو الـ MFA (المصادقة بمرحلتين).
- OAuth Token Abuse: كيديرو الـ social engineering للضحية باش يعطي صلاحية لواحد التطبيق خبيث يدخل للايميل ديالو، وهادشي كيخليهم يستغناو على الـ password كاع.
- Tracking Pixels: ايميلات فيها تصاور invisible (1x1) باش يعرفو معلومات على الجهاز ويتأكدو بلي الضحية حل الايميل.
شكون هاد الناس؟
الأبحاث ديال Citizen Lab كتقول بلي كاين احتمال متوسط بلي هاد المجموعات هي شركات خاصة "Contractors" خدامين لحساب الدولة الصينية باش يحققو أهداف مخابراتية. هاد الشركات ولات كتستهدف حتى مكاتب المحاماة، الجامعات، وصناعة الـ semiconductors فتايوان.
نصائح للمحترفين فـ الـ Security
باش نحميو ريوسنا ومنظماتنا من هاد المجموعات، خاص نركزو على تدبير الثغرات:
- سبقو الـ Patching: هاد النوع ديال الهجمات كيموت فاش كيكون الـ Microsoft Exchange والـ IIS ديما updated. ديرو الـ patches لخرين بلا تعطل.
- الـ Virtual Patching: يلا مكنتوش قديرين ديرو patch دابا، خدمو بـ Web Application Firewalls (WAF) أو IPS اللي فيهم قواعد كيبلوكيو الثغرات المعروفة (CVEs).
- Identity Security: ردو البال للايميلات من سرقة الـ credentials وراقبو مزيان أي تطبيق OAuth جديد خدا صلاحيات يدخل للايميلات ديال الشركة.
- مراقبة الـ Side-Loading: خدمو بأدوات الـ EDR باش تراقبو أي DLL loading غير عادي كيديرو شي برنامج معروف ومسني (signed).
خاتمة
النشاط ديال SHADOW-EARTH-053 كيبين واحد الحقيقة فـ cybersecurity: المهاجمين ما محتاجينش ديما "Zero-Days" باش ينجحو. غير بالاعتماد على تعطل الـ patching (N-days) واللعب على بنادم بالـ phishing، قدرو يخترقو أهداف مهمة بزاف فالعالم. هادشي كيرجعنا لنفس القاعدة: الـ patch management و الـ identity protection هما خط الدفاع الأول ديالنا.
