موستانج باندا صعّدت هجماتها ضد الهند عبر استغلال Zoho WorkDrive كقناة تحكم خفية، مع برمجيات جديدة استهدفت جهات حكومية وقطاع الطاقة.
كيف استخدمت موستانج باندا خدمة Zoho WorkDrive في الهجوم؟
تكشف الحملة الجديدة عن أسلوب أكثر تعقيداً في التخفي، إذ حوّلت المجموعة خدمة التخزين السحابي Zoho WorkDrive إلى قناة لإرسال الأوامر وسحب البيانات المسروقة. هذا النوع من النشاط يبدو داخل الشبكات كأنه حركة سحابية عادية، ما يصعّب رصده بسرعة.
وبحسب المعطيات المتاحة، استهدفت العمليات شبكات حكومية هندية، بما في ذلك أجهزة مرتبطة بموظفين إداريين كبار. كما طالت الحملة أهدافاً في قطاع الطاقة الكهرومائية، وهو ما يعكس اهتماماً استخباراتياً يتجاوز مجرد الاختراق المالي أو التخريب المؤقت.
ما هي أدوات التجسس الجديدة التي ظهرت في الحملة؟
اعتمدت الهجمات على ملفات ZIP خبيثة تحتوي على DLL مخفي، ويُرجح أنها وصلت عبر رسائل تصيد موجه بعناية. اللافت أن الطُعم المستخدم كان متوافقاً مع طبيعة الأهداف، مثل مقترحات تعاون في الطاقة الكهرومائية ومذكرات تفاهم بين مؤسسات هندية وتايوانية.
أبرز المؤشرات الفنية في العملية
- استخدام ملفات ZIP كوسيلة أولية للإصابة.
- إخفاء ملف DLL الخبيث داخل الأرشيف.
- استغلال خدمة Zoho WorkDrive للتواصل مع خوادم التحكم.
- استخدام سلسلة sideloading مرتبطة ببرنامج Solid PDF Creator.
- وجود تشابه برمجي مع عائلة Toneshell المعروفة.
كما ظهرت ثلاثة أدوات جديدة في هذه الحملة، إلى جانب بنية تحتية متكررة وأخطاء برمجية مميزة ساعدت الباحثين على الربط بين العينات. ومن بين هذه العلامات خطأ كتابي متكرر في اسم RunOnece، وهو تفصيل صغير لكنه مهم جداً في عمليات الإسناد التقني.
لماذا تُعد حملة موستانج باندا خطيرة على الهند؟
تكمن الخطورة في طبيعة الأهداف نفسها. فالهجمات لا تركز على مؤسسة واحدة، بل تستهدف ملفات حساسة تتعلق بالطاقة والبنية التحتية والعلاقات الدفاعية، وهي مجالات تهم أي جهة تسعى إلى جمع معلومات استراتيجية طويلة المدى.
اللافت أيضاً أن إجراءات الإخفاء لم تكن محكمة بالكامل، إذ وُجدت رموز مدمجة داخل البرمجيات ومعرّفات نصية واضحة وبنية تحتية معاد استخدامها. هذه الثغرات التشغيلية سهلت تتبع النشاط، خاصة أن الاتصالات النشطة سُجلت بين 12 يونيو و22 يونيو 2026.
كيف يمكن رصد هجوم موستانج باندا وإيقافه؟
لا يوجد تحديث أمني واحد قادر على حل المشكلة، لأن جوهر الهجوم يعتمد على التصيد واستغلال الخدمات السحابية الموثوقة. لذلك، تحتاج المؤسسات إلى الجمع بين التوعية، ومراقبة السلوك، وتحليل حركة الشبكة على مستوى أعمق.
أهم العلامات التي يجب مراقبتها
- مفاتيح Run الخاصة بالاستمرارية داخل النظام.
- مهمة مجدولة باسم SolidPDFPcl2Bmp.
- النطاق couldinstallup[.]com ضمن اتصالات الشبكة.
- ظهور User-Agent خاص بـ Zoho في عمليات ليست متصفحاً.
- أي برنامج طرفي يتصل بواجهات سحابية بلا مبرر وظيفي.
وترى تيكبامين أن الجهات الحكومية ومؤسسات الطاقة مطالبة برفع مستوى التدقيق في الرسائل المرتبطة بصفقات عابرة للحدود. وفي النهاية، يبقى رصد موستانج باندا مبكراً وفهم إساءة استخدام Zoho WorkDrive عاملاً حاسماً لتقليل الخسائر ومنع تسرب البيانات الحساسة.