مجموعة UAT-8302 الصينية تهدد أمن الحكومات ببرمجيات خبيثة

كشفت تقارير أمنية عن نشاط مكثف لمجموعة UAT-8302 الصينية التي تستهدف الحكومات عالمياً باستخدام برمجيات خبيثة متطورة، مما يعزز مخاوف الأمن الرقمي في عام 2026.

تشهد الساحة الدولية تصاعداً ملحوظاً في الهجمات السيبرانية المنظمة، حيث تم رصد مجموعة تهديد متقدمة (APT) مرتبطة بالصين تُعرف باسم UAT-8302. هذه المجموعة استهدفت بشكل مباشر كيانات حكومية في أمريكا الجنوبية منذ أواخر عام 2024، ووسعت نطاق عملياتها لتشمل وكالات حكومية في جنوب شرق أوروبا خلال عام 2025.

ما هي مجموعة UAT-8302 الصينية وكيف تهدد الأمن الرقمي؟

تعتبر UAT-8302 من المجموعات ذات القدرات التقنية العالية، حيث تعتمد في هجماتها على نشر عائلات مخصصة من البرمجيات الخبيثة. ووفقاً لما تابعه تيكبامين، فإن هذه الأدوات تم رصدها سابقاً لدى مجموعات صينية أخرى، مما يشير إلى وجود تعاون وثيق أو تبادل للموارد بين قراصنة النخبة المرتبطين بالصين.

أبرز البرمجيات الخبيثة المستخدمة في الهجمات

• NetDraft: باب خلفي متطور يعتمد على تقنية .NET، ويُعرف أيضاً باسم NosyDoor.
• CloudSorcerer: نسخة حديثة (3.0) مخصصة للتجسس وسرقة البيانات الحساسة من البيئات السحابية.
• VShell: أداة قوية تستخدم لتنفيذ الأوامر عن بُعد والتحكم الكامل في الأجهزة المخترقة.
• SNOWRUST: برمجية خبيثة مكتوبة بلغة Rust تُستخدم لتحميل ملفات إضافية وتنفيذها خفية.

يرى خبراء الأمن أن استخدام لغة Rust في تطوير البرمجيات الخبيثة مثل SNOWRUST يعكس توجهاً جديداً لتصعيب مهمة برامج مكافحة الفيروسات في اكتشاف هذه التهديدات، نظراً لقدرة هذه اللغة على التعامل المباشر مع الذاكرة وتوفير أداء عالٍ مع حماية من التتبع التقليدي.

كيف تتم عمليات التجسس السيبراني على المؤسسات الحكومية؟

لا تزال طرق الوصول الأولية التي تستخدمها المجموعة محل دراسة، لكن يُعتقد أنها تعتمد على استغلال الثغرات الصفرية (Zero-day) في تطبيقات الويب الشائعة. وبمجرد نجاح المهاجمين في وضع قدم لهم داخل الشبكة، يبدأ سيناريو الهجوم المتسلسل الذي يشمل:

• إجراء عمليات استطلاع واسعة النطاق لرسم خريطة كاملة للشبكة الداخلية.
• استخدام أدوات مفتوحة المصدر مثل "gogo" لإجراء مسح تلقائي للثغرات والخدمات المتاحة.
• التحرك العرضي (Lateral Movement) عبر البيئة التقنية للوصول إلى الخوادم الأكثر أهمية.
• تثبيت وسائل وصول بديلة باستخدام أدوات Proxy وVPN مثل Stowaway لضمان استمرارية التواجد حتى بعد اكتشاف الهجوم الأولي.

لماذا يتعاون القراصنة الصينيون في تبادل البرمجيات؟

يشير تقرير تيكبامين إلى أن الارتباط الوثيق بين الأدوات التي تستخدمها UAT-8302 ومجموعات أخرى مثل LongNosedGoblin وEarth Alux يوضح استراتيجية "العمل الجماعي" التي تنتهجها هذه الأطراف. هذا التعاون لا يسهل فقط تنفيذ الهجمات، بل يعقد أيضاً جهود الإسناد الجنائي الرقمي، حيث يصبح من الصعب تحديد المجموعة المسؤولة بدقة عند تشابه الأدوات المستخدمة.

في الختام، تؤكد هذه النتائج على ضرورة تحديث بروتوكولات الأمن الرقمي داخل المؤسسات الحكومية، والتركيز على سد ثغرات تطبيقات الويب التي تعد البوابة المفضلة لهجمات الـ APT الصينية، لضمان حماية البيانات السيادية من محاولات التجسس المستمرة.