Chinese Hackers Deploy MarsSnake Backdoor in Multi-Year Attack on Saudi Organization

نظرة عامة

كشف باحثو التهديدات عن تكتيكات مجموعة تهديد مدعومة من الصين تُعرف باسم UnsolicitedBooker، والتي استهدفت منظمة دولية لم يُكشف عن اسمها في المملكة العربية السعودية بواسطة باب خلفي غير موثق سابقًا يُدعى MarsSnake.

تفاصيل الهجوم

اكتشفت شركة ESET الهجمات لأول مرة في مارس 2023، ثم مرة أخرى بعد عام. حيث استُخدمت رسائل spear-phishing تحتوي على تذاكر طيران كطُعم لاختراق الضحايا.

"UnsolicitedBooker ترسل رسائل تصيد موجه، غالبًا ما تحتوي على تذكرة طيران كغطاء، وتستهدف منظمات حكومية في آسيا وأفريقيا والشرق الأوسط."

يتميز الهجوم باستخدام أبواب خلفية مثل: Chinoxy, DeedRAT, Poison Ivy, BeRAT والتي تُستخدم على نطاق واسع من قبل مجموعات قرصنة صينية.

ارتباطات واختراقات سابقة

مجموعة UnsolicitedBooker تشترك في بعض الخصائص مع مجموعة تُعرف باسم Space Pirates، وكذلك مع مجموعة مجهولة نفذت هجومًا ضد منظمة إسلامية غير ربحية في السعودية باستخدام باب خلفي يُدعى Zardoor.

الحملة الأخيرة

في يناير 2025، أرسلت المجموعة رسالة تصيّد تزعم أنها من الخطوط السعودية حول حجز طيران، مع مستند Word مرفق يحتوي على تذكرة طيران مزيفة.

عند فتح المستند، يتم تنفيذ ماكرو VBA يقوم بكتابة ملف تنفيذي على النظام باسم smssdrvhost.exe، والذي يعمل كـ Loader للباب الخلفي MarsSnake ويتواصل مع الخادم contact.decenttoy[.]top.

اهتمام مستمر بالهدف

أكدت ESET أن تعدد المحاولات لاختراق نفس المنظمة بين عامي 2023 و2025 يدل على اهتمام كبير من المجموعة بهذا الهدف تحديدًا.

تهديدات صينية أخرى

في ديسمبر 2024، استهدفت مجموعة صينية أخرى تُعرف باسم PerplexedGoblin (المعروفة أيضًا باسم APT31) جهة حكومية في أوروبا الوسطى باستخدام باب خلفي يُدعى NanoSlate.

هجمات DigitalRecyclers

رصدت ESET أيضًا استمرار هجمات مجموعة DigitalRecyclers على كيانات حكومية في الاتحاد الأوروبي باستخدام شبكة KMA VPN ORB لإخفاء حركتها ونشرها لأبواب خلفية مثل RClient, HydroRShell, GiftBox.

المجموعة نشطة منذ عام 2018، وتُعد مرتبطة بمجموعات مثل Ke3chang وBackdoorDiplomacy. وتستعمل HydroRShell بروتوكول Google Protobuf وMbed TLS في الاتصالات مع الخوادم.