شنت مجموعة قراصنة TA416 المرتبطة بالصين حملات هجمات إلكترونية واسعة النطاق استهدفت حكومات ومنظمات دبلوماسية في أوروبا باستخدام برمجيات خبيثة متطورة وموجهة.
وبعد فترة من الهدوء النسبي استمرت لنحو عامين، عادت هذه المجموعة لتكثيف نشاطها السيبراني في منتصف عام 2025. وتركزت الهجمات بشكل أساسي على البعثات الدبلوماسية التابعة للاتحاد الأوروبي وحلف شمال الأطلسي (الناتو) في دول أوروبية مختلفة.
كيف تنفذ مجموعة قراصنة TA416 هجماتها الإلكترونية؟
تعتمد المجموعة المهاجمة على تكتيكات متطورة ومتغيرة باستمرار لضمان نجاح اختراقاتها وتجاوز الأنظمة الأمنية. ويشمل ذلك استخدام تقنيات معقدة لخداع الضحايا وسرقة البيانات الحساسة.
أبرز الأساليب والتقنيات المستخدمة في هذه الهجمات تشمل:
- استغلال ثغرات وتوجيهات OAuth الخبيثة لتجاوز بروتوكولات المصادقة.
- توزيع برمجيات PlugX الخبيثة المخصصة للتحكم عن بعد بالأنظمة.
- استخدام ملفات مشاريع C# برمجية لتنفيذ الأكواد الضارة بصمت.
- إساءة استخدام صفحات التحقق الأمنية من Cloudflare Turnstile للتمويه.
استغلال تطبيقات Microsoft Entra ID
كشفت التحقيقات الأخيرة أن الهجمات التي نُفذت في أواخر عام 2025 اعتمدت بشكل كبير على استغلال تطبيقات سحابية تابعة لجهات خارجية داخل بيئة Microsoft Entra ID. وقد مكنهم ذلك من تنفيذ عمليات توجيه خبيثة تقود الضحايا إلى تحميل أرشفة ضارة.
وتتم هذه العملية عادةً من خلال رسائل تصيد احتيالي عبر حسابات بريد إلكتروني مجانية. وتُصمم هذه الرسائل بعناية فائقة لتبدو وكأنها مرسلة من جهات حكومية موثوقة، مما يزيد من احتمالية تفاعل الضحية مع الروابط.
ما هي أبرز أهداف الهجمات السيبرانية الأخيرة؟
إلى جانب تركيزها المكثف على القارة الأوروبية، وسعت المجموعة نطاق عملياتها لتشمل أهدافاً حيوية أخرى. ووفقاً للتحليلات التي يتابعها فريق تيكبامين، فقد تم رصد حملات واسعة تستهدف كيانات حكومية ودبلوماسية في منطقة الشرق الأوسط.
وتزامنت هذه التحركات مع تصاعد التوترات الإقليمية في أواخر فبراير 2026. ويُرجح الخبراء أن الهدف الأساسي من هذه الهجمات هو جمع المعلومات الاستخباراتية الاستراتيجية المتعلقة بالصراعات الدائرة.
تقنيات التتبع وجمع المعلومات الدقيقة
تلجأ المجموعة إلى استخدام تقنية "حشرات الويب" (Web Bugs) أو بكسلات التتبع ضمن رسائل التصيد الاحتيالي. وتعمل هذه التقنية الدقيقة والخفية على جمع معلومات حساسة عن الضحايا بمجرد فتح الرسالة.
أهم البيانات التي يتم جمعها عبر هذه التقنية الخبيثة:
- عنوان بروتوكول الإنترنت (IP) الخاص بالضحية المستهدفة.
- معلومات دقيقة حول نوع المتصفح ونظام التشغيل المستخدم.
- تسجيل وقت وتاريخ فتح الرسالة بدقة لتقييم فعالية الهجوم.
ما علاقة هذه الهجمات بمجموعة Mustang Panda؟
تشير التحليلات التقنية العميقة إلى وجود تقاطعات تاريخية وفنية وثيقة بين نشاط TA416 ومجموعة اختراق صينية أخرى تُعرف باسم Mustang Panda. وتشترك المجموعتان في استخدام تكتيكات متشابهة للتهرب من برامج الحماية المتقدمة.
ومن أهم هذه التقنيات المشتركة أسلوب التحميل الجانبي لملفات DLL. يسمح هذا التكتيك بتشغيل البرمجيات الخبيثة بشكل خفي ومستتر داخل الأنظمة والبرامج الموثوقة دون إثارة الشكوك.
وتُعرف هذه المجموعات المترابطة في أوساط الأمن السيبراني بأسماء متعددة تعكس مدى تشعب عملياتها. من أبرز هذه الأسماء الحركية Earth Preta و Stately Taurus، بالإضافة إلى Twill Typhoon و HoneyMyte.
وتقوم هذه المجموعات بتخزين ملفاتها الضارة في خدمات سحابية شرعية لضمان عدم اكتشافها من قبل أنظمة المراقبة، وتشمل هذه المنصات:
- خدمات التخزين السحابي الخاصة بمنصة Microsoft Azure Blob.
- منصة Google Drive المخصصة لمشاركة وتخزين الملفات.
- خوادم وتطبيقات SharePoint التابعة لمؤسسات تم اختراقها مسبقاً.
في النهاية، تؤكد هذه التطورات الخطيرة على ضرورة تعزيز الإجراءات الأمنية في المؤسسات الحكومية والخاصة. ويوصي خبراء الأمن السيبراني في منصة تيكبامين بضرورة تحديث سياسات الحماية ومراقبة نشاط تطبيقات الطرف الثالث لتجنب الوقوع ضحية لهذه الهجمات المتقدمة والمستمرة.
