China-linked hackers just targeted Tibetans
برمجيتا PUBLOAD وPubshell في حملة تجسس إلكتروني تستهدف التبت من مجموعة Mustang Panda
خلفية الهجوم
نسبت IBM X-Force حملة تجسس إلكتروني جديدة إلى مجموعة قرصنة صينية تعرف باسم Mustang Panda، وتستهدف هذه المرة المجتمع التبتي عبر هجمات تصيّد موجهة (Spear-phishing) تستغل مواضيع ذات صلة بالتبت مثل مؤتمر البرلمانيين العالمي التاسع، وسياسات التعليم في إقليم التبت، وكتاب حديث للزعيم الروحي الدالاي لاما الرابع عشر.
تقنيات الاصطياد والتحميل
- الهجمات تبدأ بأرشيف خبيث يحتوي على ملف Microsoft Word شرعي، وصور من المؤتمر، ومقالات من مواقع تبتيّة.
- يتضمن الأرشيف ملفًا تنفيذيًا يتنكر في هيئة مستند، ويستخدم تقنية DLL side-loading لتفعيل ملف DLL خبيث يُعرف بـ Claimloader.
البرمجيات الخبيثة المستخدمة
- Claimloader: المرحلة الأولى من السلسلة الهجومية، ويعمل على تحميل البرمجية التالية.
- PUBLOAD: أداة تحميل تتصل بخادم خارجي لجلب الحمولة التالية.
- Pubshell: باب خلفي خفيف يسمح بفتح قناة اتصال عكسي (Reverse Shell) للوصول الفوري للنظام.
تشابه مع أدوات سابقة
أوضح الباحثون أن Pubshell يشبه في عمله برمجية TONESHELL، حيث يستخدم أنابيب مجهولة لإنشاء Shell عكسي. غير أن Pubshell يتطلب أوامر إضافية لإرجاع نتائج الأوامر ويعمل فقط عبر "cmd.exe".
تنوع التسميات حسب الجهات الأمنية
- تستخدم IBM مصطلحي Claimloader وPUBLOAD لوصف المرحلتين الأولى والثانية على التوالي.
- Trend Micro تعتبر كلا المرحلتين تحت اسم PUBLOAD.
- Team T5 تتبعهما مجتمعين تحت اسم NoFive.
حملات سابقة وهجمات USB
منذ أواخر 2024 وحتى أوائل 2025، استهدفت مجموعة Hive0154 (اسم IBM لمجموعة فرعية من Mustang Panda) الولايات المتحدة، والفلبين، وباكستان، وتايوان، باستخدام نفس تقنيات التصيّد وسلاسل الهجوم، مع نشر TONESHELL ثم PUBLOAD. في تايوان، لوحظ استخدام دودة USB تدعى HIUPAN (المعروفة أيضًا بـ MISTCLOAK أو U2DiskWatch) لنشر البرمجيات عبر أجهزة USB.
خاتمة
تؤكد هذه الحملة استمرار Mustang Panda في تطوير أدواتها واستهدافها لمناطق شرق آسيا عبر تقنيات متقدمة ومتعددة. المجموعة تمثل تهديدًا بارزًا بفضل تنوع أدواتها وسرعة تطويرها واعتمادها على USB لنشر البرامج الخبيثة.