كشفت تقارير أمنية حديثة عن حملة تجسس إلكتروني خطيرة تقودها مجموعة القراصنة الصينية المعروفة باسم Mustang Panda، حيث تستخدم تقنية متطورة لزرع باب خلفي (Backdoor) يُدعى TONESHELL في أنظمة الضحايا.
ما هي تفاصيل هجوم TONESHELL الجديد؟
بحسب البيانات التي رصدها تيكبامين، تعتمد هذه الهجمات المكتشفة في منتصف عام 2025 على استخدام برنامج تعريف (Driver) من نوع Kernel-mode rootkit لم يتم توثيقه من قبل. يهدف هذا التكتيك إلى تجاوز أنظمة الحماية التقليدية وزرع البرمجية الخبيثة داخل النظام المستهدف.
تستهدف هذه الحملة بشكل أساسي مؤسسات حكومية وهيئات حساسة في مناطق جنوب شرق وشرق آسيا، مع تركيز ملحوظ على دول مثل ميانمار وتايلاند، بهدف التجسس وسرقة البيانات الحساسة.
كيف تعمل تقنية Rootkit المستخدمة؟
تكمن خطورة هذا الهجوم في طريقة التنفيذ التقنية، حيث يستخدم المهاجمون ملف تعريف (Driver) موقعاً بشهادة رقمية مسروقة أو مسربة، مما يجعله يبدو موثوقاً أمام نظام التشغيل.
- يعمل الملف كبرنامج تشغيل مصغر (Minifilter driver).
- يقوم بحقن تروجان الباب الخلفي في عمليات النظام.
- يوفر حماية للملفات الخبيثة ويخفيها عن برامج المكافحة.
- يمنع الوصول إلى العمليات الخبيثة من قبل أي برنامج آخر.
شهادات رقمية مسروقة
أشار الخبراء إلى أن الملف الخبيث يحمل توقيعاً رقمياً يعود لشركة صينية متخصصة في أجهزة الصراف الآلي (ATMs). ورغم أن الشهادة كانت صالحة بين عامي 2012 و2015، إلا أن استخدامها يشير إلى استغلال المهاجمين لأصول رقمية قديمة لتنفيذ أهدافهم.
ما هي قدرات برمجية TONESHELL؟
تُعد TONESHELL الأداة النهائية في سلسلة الهجوم، وهي برمجية خبيثة تتمتع بقدرات متقدمة للتحكم عن بعد في الأجهزة المصابة.
تشمل أبرز قدرات هذه البرمجية ما يلي:
- إمكانية تنفيذ أوامر عن بعد (Reverse Shell).
- تحميل وتثبيت برمجيات خبيثة إضافية.
- التخفي داخل عمليات النظام المشروعة.
- استخدام وسائط التخزين الخارجية (USB) للانتشار.
وتشير التحليلات في تيكبامين إلى أن البنية التحتية للخوادم المستخدمة للتحكم في البرمجية (C2) تم إنشاؤها في أواخر عام 2024، بينما بدأت الهجمات الفعلية في الظهور بحلول فبراير 2025.
نصائح للحماية من هذه الهجمات
تعتبر الهجمات التي تستغل تعريفات النواة (Kernel Drivers) من أخطر أنواع التهديدات السيبرانية، حيث تعمل بمستوى صلاحيات عالٍ جداً داخل نظام التشغيل.
ينصح خبراء الأمن الرقمي المؤسسات بتحديث أنظمة التشغيل بشكل دوري، ومراقبة سلوك التعريفات المثبتة، واستخدام حلول أمنية متقدمة قادرة على كشف السلوكيات المشبوهة بدلاً من الاعتماد فقط على التواقيع الرقمية المعروفة.
