مجموعة TA4922 الصينية توسع هجماتها لتشمل بريطانيا وألمانيا

توسع نشاط مجموعة TA4922 الصينية ليشمل هجمات إلكترونية في بريطانيا وألمانيا، مستهدفة سرقة البيانات والوصول للمؤسسات عبر برمجيات خبيثة متطورة.

ما هي مجموعة TA4922 وكيف تنفذ هجماتها؟

تعد مجموعة TA4922 من أخطر الجهات الفاعلة في مجال التهديدات الإلكترونية، حيث رصد خبراء تيكبامين تحولاً كبيراً في استراتيجياتها مؤخراً. بعد أن كان تركيز المجموعة منصباً بشكل أساسي على دول شرق آسيا، وسعت نطاق عملياتها لتشمل دولاً أوروبية كبرى مثل المملكة المتحدة وألمانيا وإيطاليا، بالإضافة إلى جنوب أفريقيا، مما يشير إلى طموحات جغرافية أوسع.

تتميز هذه المجموعة بوتيرة عمليات سريعة للغاية، حيث تعتمد على تطوير مستمر لترسانتها من البرمجيات الخبيثة. ويرى المحللون أن TA4922 تشترك في بعض الخصائص التقنية مع مجموعة أخرى تُعرف باسم Silver Fox، إلا أن نشاطها يركز بشكل أكبر على الأهداف الإجرامية المالية بدلاً من التجسس التقليدي فقط.

ما هي أنواع البرمجيات الخبيثة المستخدمة في الهجمات؟

تستخدم المجموعة مزيجاً من البرمجيات المعروفة والأدوات الجديدة التي تم اكتشافها مؤخراً، ووفقاً لما تابعه موقع تيكبامين، تشمل هذه الترسانة ما يلي:

• برمجية ValleyRAT: المعروفة أيضاً باسم Winos 4.0، وهي أداة وصول عن بُعد قوية.
• برمجية Atlas RAT: وتُسمى أحياناً AtlasCross RAT، وتستخدم للتحكم في الأجهزة المخترقة.
• أداة RomulusLoader: وهي برمجية تحميل غير موثقة سابقاً تُسهل زرع الملفات الضارة.
• برمجية SilentRunLoader: أداة متطورة تستخدم لضمان استمرار الوصول إلى بيئة الضحية.

دوافع المجموعة وأهدافها النهائية

تشير التحليلات التقنية إلى أن الدافع الرئيسي وراء هذه الهجمات هو مالي بحت. تسعى المجموعة للحصول على وصول دائم إلى شبكات الشركات والمنظمات بهدف:

• سرقة البيانات الحساسة وبيعها في السوق السوداء.
• تنفيذ عمليات احتيال مالي واسعة النطاق.
• إعادة بيع حقوق الوصول إلى مجموعات إجرامية أخرى.
• التجسس الصناعي أو المراقبة التي قد تُباع لاحقاً لجهات مهتمة.

كيف تستخدم المجموعة تطبيقات واتساب وتيمز للاختراق؟

من أبرز التحولات في تكتيكات TA4922 هو الانتقال من رسائل البريد الإلكتروني التقليدية إلى قنوات اتصال خارجية أو ما يُعرف بـ "خارج النطاق". بدلاً من الاعتماد الكلي على الروابط في الإيميل، يحاول المهاجمون نقل المحادثة إلى تطبيقات مشهورة مثل:

• تطبيق واتساب (WhatsApp).
• تطبيق لاين (LINE).
• منصة مايكروسوفت تيمز (Microsoft Teams).

هذا الأسلوب يسمح للمهاجمين بتجاوز ضوابط الأمن الرقمي الصارمة التي تفرضها الشركات على البريد الإلكتروني الرسمي، مما يسهل عليهم إرسال ملفات خبيثة أو روابط تصيد تبدو وكأنها محادثات عمل طبيعية مع أقسام الموارد البشرية أو الشركاء التجاريين.

لماذا تستهدف هذه الهجمات المؤسسات الكبرى حالياً؟

تعتمد المجموعة في حملاتها الأخيرة على طعوم تتعلق بالموارد البشرية وموضوعات الأعمال، وهو ما يجعل الموظفين أكثر عرضة للوقوع في فخ التصيد الاحتيالي. من خلال انتحال صفات رسمية، يتم إقناع الضحايا بتحميل ملفات تبدو كأنها وثائق عمل، لكنها في الحقيقة تحتوي على برمجيات التحميل مثل RomulusLoader و SilentRunLoader.

إن القدرة على التوسع السريع وتغيير التكتيكات تجعل من TA4922 تهديداً عالمياً لا يقتصر على منطقة جغرافية واحدة. فالمؤسسات في بريطانيا وألمانيا تواجه الآن تحدياً جديداً يتمثل في هجمات صينية المنشأ ذات طابع إجرامي مالي، وهو ما يتطلب تحديثاً مستمراً لأنظمة الدفاع الرقمي وتوعية الموظفين بمخاطر التواصل عبر التطبيقات غير الرسمية في بيئة العمل.

كيف تحمي مؤسستك من تهديدات الأمن الرقمي المتزايدة؟

لحماية البيانات والأنظمة من هجمات مجموعات مثل TA4922، ينصح خبراء الأمن الرقمي باتباع الخطوات التالية:

• تفعيل المصادقة الثنائية (2FA) لجميع حسابات الوصول عن بُعد.
• مراقبة أي نشاط غير معتاد على منصات التواصل مثل مايكروسوفت تيمز وواتساب داخل بيئة العمل.
• تدريب الموظفين على كشف أساليب التصيد الاحتيالي المتطورة.
• استخدام حلول أمنية متقدمة قادرة على اكتشاف البرمجيات الخبيثة غير المعروفة (Zero-day).

في الختام، يظهر نشاط TA4922 أن التهديدات الإلكترونية لم تعد تعترف بالحدود، وأن المجموعات التي كانت تركز على مناطق معينة يمكنها الآن استهداف أي مؤسسة في أي مكان في العالم وبسرعة فائقة، مما يضع عبئاً أكبر على فرق تقنية المعلومات لضمان أعلى مستويات الأمن الرقمي.