كشفت أحدث التقارير الأمنية عن نشاط مكثف لمجموعة قرصنة صينية جديدة، تستغل ثغرة أمنية حرجة في برنامج الضغط الشهير WinRAR لاستهداف وكالات حكومية وجهات إنفاذ القانون في جنوب شرق آسيا خلال عام 2025.
من هي مجموعة Amaranth-Dragon وما علاقتها بالصين؟
تقوم جهات البحث الأمني بتتبع مجموعة أنشطة غير موثقة سابقاً تحت اسم Amaranth-Dragon. وتشير التحليلات التي تابعها فريق تيكبامين إلى أن هذه المجموعة تشترك في روابط وثيقة مع نظام APT 41 البيئي المعروف.
تركز هذه الحملة بشكل أساسي على التجسس الجيوسياسي، حيث يتم توقيت الهجمات بعناية لتتزامن مع أحداث سياسية حساسة أو قرارات حكومية رسمية، مما يزيد بشكل كبير من احتمالية تفاعل الضحايا مع المحتوى الخبيث.
ما هي الدول المستهدفة في هذه الحملة؟
أشار التقرير الأمني إلى أن الهجمات كانت "ضيقة النطاق" ومركزة للغاية لضمان جمع المعلومات الاستخباراتية على المدى الطويل. وشملت قائمة الدول المستهدفة في آسيا ما يلي:
- كمبوديا
- تايلاند
- لاوس
- إندونيسيا
- سنغافورة
- الفلبين
كيف يتم استغلال ثغرة WinRAR في الهجمات؟
تعتمد سلاسل الهجوم التي ينفذها القراصنة على استغلال الثغرة الأمنية CVE-2025-8088، وهي ثغرة تم تصحيحها الآن في برنامج RARLAB WinRAR.
تسمح هذه الثغرة بتنفيذ تعليمات برمجية عشوائية بمجرد فتح أرشيفات معدة خصيصاً من قبل الضحايا. والمثير للقلق هو سرعة استغلال هذه الثغرة، حيث تم رصد الهجمات بعد ثمانية أيام فقط من الكشف العام عنها في أغسطس، مما يدل على الجاهزية العالية للمهاجمين.
ما هي آلية الاختراق والبرمجيات الخبيثة المستخدمة؟
وفقاً لما رصده تيكبامين في التقرير التقني، يتم توزيع ملف RAR خبيث يستغل الثغرة لتثبيت برمجيات ضارة والحفاظ على الوصول المستمر للجهاز المخترق. وتتميز العملية بالتالي:
- استخدام رسائل تصيد موجه (Spear-phishing) مصممة بعناية فائقة.
- استخدام عناوين ومواضيع تتعلق بالتطورات السياسية والاقتصادية أو العسكرية.
- استضافة الملفات على منصات سحابية معروفة مثل Dropbox لتقليل الشكوك وتجاوز الدفاعات التقليدية.
تحميل البرمجيات الخبيثة (Amaranth Loader)
يحتوي الأرشيف المضغوط على عدة ملفات، بما في ذلك ملف DLL ضار يسمى Amaranth Loader. يتم إطلاق هذا المحمل عن طريق تقنية "DLL side-loading"، وهو تكتيك تقني مفضل منذ فترة طويلة لدى مجموعات التهديد الصينية.
يشترك هذا المحمل في أوجه تشابه برمجية مع أدوات اختراق أخرى معروفة مثل DodgeBox و DUSTPAN، مما يؤكد النضج التقني لهذه المجموعة وقدرتها على التخفي داخل الأنظمة الحساسة.
