مجموعة UAT-7290 الصينية تخترق الاتصالات ببرمجيات لينكس

كشفت تقارير أمنية حديثة عن تصاعد نشاط مجموعة تهديد إلكتروني تُعرف باسم UAT-7290، والتي ترتبط بالصين وتنفذ عمليات تجسس دقيقة تستهدف البنية التحتية الحساسة.

تركز هذه المجموعة بشكل أساسي على قطاع الاتصالات، مستخدمة أدوات متقدمة وبرمجيات خبيثة مخصصة لأنظمة تشغيل لينكس، وفقاً لما تابعه فريق تيكبامين.

ما هي أهداف مجموعة UAT-7290؟

تنشط هذه المجموعة منذ عام 2022 على الأقل، حيث تبدأ عملياتها بإجراء استطلاع فني واسع النطاق ودقيق للمؤسسات المستهدفة قبل البدء في شن الهجمات الفعلية واختراق الشبكات.

وقد تركزت الهجمات التي شنتها المجموعة بشكل رئيسي على مزودي خدمات الاتصالات في منطقة جنوب آسيا. ومع ذلك، رصد الخبراء مؤخراً موجات اختراق جديدة توسعت لتشمل مؤسسات حيوية في جنوب شرق أوروبا.

ما هي البرمجيات الخبيثة المستخدمة في الهجمات؟

تتميز استراتيجية UAT-7290 بالتنوع الكبير، حيث تجمع بين البرمجيات مفتوحة المصدر والأدوات المخصصة لاستغلال ثغرات "يوم واحد" (One-day vulnerabilities) في منتجات الشبكات الطرفية.

وتعتمد المجموعة على نشر عائلات متعددة من البرمجيات الخبيثة، أبرزها:

• RushDrop: أداة لنشر الحمولات الخبيثة داخل الشبكة.
• DriveSwitch: برمجية متخصصة في التحكم والتلاعب بالأنظمة.
• SilentRaid: أداة للتخفي وتنفيذ الأوامر عن بعد.
• RedLeaves و ShadowPad: أدوات تستهدف أنظمة ويندوز ومعروفة بارتباطها الحصري بمجموعات القرصنة الصينية.

كيف تستخدم المجموعة عقد ORB للتجسس؟

بالإضافة إلى هجمات التجسس التي تتغلغل بعمق في البنية التحتية للضحايا، يشير تيكبامين إلى أن المجموعة تقوم بإنشاء ما يعرف بـ "عقد الترحيل التشغيلي" (ORB).

هذا التكتيك يسمح للمجموعة بلعب دور مزدوج؛ فهي تعمل كجهة فاعلة في مجال التجسس، وفي نفس الوقت كمجموعة توفر "الوصول الأولي" لمجموعات صينية أخرى لاستخدام هذه البنية التحتية في عملياتها الخبيثة.

تكتيكات اختراق أنظمة لينكس

تعتمد المجموعة بشكل كبير على حزمة برمجيات خبيثة مخصصة لأنظمة Linux، بما في ذلك:

• MystRodX: متغير من برمجية ChronosRAT قادر على تنفيذ أوامر Shell وتسجيل المفاتيح وإدارة الملفات.
• Bulbature: باب خلفي (Backdoor) مصمم لتحويل الأجهزة الطرفية المخترقة إلى عقد ORB نشطة.

تُظهر هذه التحليلات التداخل الكبير في التكتيكات والبنية التحتية بين UAT-7290 ومجموعات أخرى معروفة مثل Stone Panda وRedFoxtrot، مما يستدعي رفع مستوى الحذر في قطاع الاتصالات العالمي.