هجمات تروبيك تروبر: استغلال جيت هاب وبرنامج سومطرة بي دي إف

كشف تقرير أمني جديد عن حملة تجسس تقودها مجموعة تروبيك تروبر الصينية، تستهدف المستخدمين عبر نسخة مفخخة من قارئ الملفات الشهير سومطرة بي دي إف لنشر برمجيات خبيثة.

تستهدف هذه الحملة بشكل رئيسي الأفراد المتحدثين باللغة الصينية، حيث تسعى المجموعة إلى نشر عميل الاستغلال المعروف باسم AdaptixC2 Beacon. ووفقاً لما ذكره تيكبامين، فإن الهجوم يمهد الطريق لإساءة استخدام أنفاق مايكروسوفت فيجوال ستوديو كود (VS Code) للوصول عن بُعد إلى الأجهزة المخترقة.

من هي مجموعة تروبيك تروبر وما هي أهدافها؟

تُعرف هذه المجموعة أيضاً بأسماء أخرى مثل APT23 وEarth Centaur، وهي تنشط منذ عام 2011 على الأقل. وقد ركزت عملياتها تاريخياً على استهداف كيانات في تايوان وهونج كونج والفلبين، بالإضافة إلى رصد نشاطات حديثة تستهدف مستخدمين في كوريا الجنوبية واليابان.

تعتمد المجموعة في هجومها الجديد على أسلوب مبتكر يشمل:

• إنشاء مستمع مخصص لبرمجية AdaptixC2 Beacon.
• استخدام منصة جيت هاب كمنصة للقيادة والتحكم (C2).
• إرسال ملفات مضغوطة تحتوي على مستندات وهمية ذات طابع عسكري.

كيف يتم تنفيذ الهجوم عبر برنامج سومطرة بي دي إف؟

يبدأ الهجوم عندما يقوم الضحية بفتح أرشيف ZIP يحتوي على قارئ ملفات SumatraPDF معدل برمجياً. بمجرد التشغيل، يقوم البرنامج بعرض مستند PDF وهمي لتشتيت انتباه المستخدم، بينما يقوم في الخلفية بتحميل شيفرة برمجية مشفرة (Shellcode) من خادم خارجي.

يستخدم الهجوم أداة تحميل يطلق عليها اسم TOSHIS، وهي نسخة مطورة من برمجية Xiangoop المرتبطة تاريخياً بمجموعة تروبيك تروبر. تعمل هذه الأداة على تفعيل الهجوم متعدد المراحل ونشر عميل التجسس AdaptixC2 Beacon دون علم المستخدم.

تفاصيل برمجية AdaptixC2 وطرق التحكم

تتميز البرمجية الجديدة بقدرتها على التواصل مع البنية التحتية للمهاجمين عبر جيت هاب، حيث تتلقى المهام المطلوب تنفيذها على الجهاز المخترق. وبناءً على تقييم تيكبامين، فإن المهاجمين لا ينتقلون للمرحلة التالية إلا إذا كان الضحية يمثل قيمة استراتيجية عالية.

• الوصول عن بعد: يتم إعداد أنفاق VS Code لضمان دخول دائم للجهاز.
• التمويه: يتم تثبيت تطبيقات مفخخة أخرى لتجنب كشف النشاط المريب.
• الخوادم المستخدمة: تم رصد استخدام الخادم (158.247.193.100) لاستضافة أدوات اختراق سابقة.

تطور استراتيجيات الهجوم السيبراني

يشير التحليل التقني إلى تحول ملحوظ في أدوات المجموعة، حيث انتقلت من استخدام برمجيات عامة مثل Cobalt Strike وMythic Merlin إلى استخدام برمجية AdaptixC2 الأكثر تخصصاً. هذا التطور يعكس رغبة المهاجمين في تحسين قدرتهم على التخفي وتجاوز الأنظمة الأمنية التقليدية.

يُنصح المستخدمون دائماً بتحميل البرامج من مصادرها الرسمية وتجنب فتح الملفات المضغوطة المجهولة، خاصة تلك التي تدعي تقديم معلومات عسكرية أو سياسية حساسة، لضمان حماية بياناتهم من هذه التهديدات المتقدمة.