CL-STA-0969 تنشر برمجيات خبيثة في شبكات الاتصالات خلال حملة تجسس استمرت 10 أشهر
2 أغسطس 2025 | مايسترو نيرو - قسم الاستخبارات السيبرانية
استهدفت منظمات الاتصالات في جنوب شرق آسيا مجموعة تهديدات مدعومة من دولة، تُعرف باسم CL-STA-0969، بهدف التحكم عن بُعد في الشبكات المُختَرَقة.
أفادت Palo Alto Networks Unit 42 بأنها رصدت عدة حوادث في المنطقة، بما في ذلك هجوم على بنية تحتية اتصالات حرجة بين فبراير ونوفمبر 2024.
الأدوات المستخدمة
تميزت الهجمات باستخدام أدوات متعددة لتمكين الوصول عن بُعد، من بينها:
- Cordscan – لجمع بيانات الموقع من الأجهزة المحمولة
- AuthDoor – وحدة مصادقة خبيثة (PAM) تسرق بيانات الاعتماد
- GTPDOOR – برمجية مصممة خصيصًا للشبكات المجاورة لتبادل الجوال (GPRS)
- EchoBackdoor – باب خلفي يستمع لطلبات ICMP ويُرسل الأوامر عبر Echo Reply
- sgsnemu – محاكي لعقدة SGSN لتجاوز جدران الحماية
- ChronosRAT – برمجية شاملة بقدرات تنفيذ، تسجيل ضغطات، ولقطات شاشة
- NoDepDNS – باب خلفي يستمع لمنفذ 53 عبر UDP لتحليل أوامر عبر DNS
ارتباطات مع مجموعات أخرى
تتقاطع CL-STA-0969 مع مجموعة أخرى تُعرف باسم Liminal Panda (من ناحية الصين)، التي تستهدف شبكات الاتصالات في جنوب آسيا وأفريقيا منذ 2020.
كما تتشابه مع:
- LightBasin (UNC1945) – تستهدف قطاع الاتصالات منذ 2016
- UNC2891 – تستهدف بنية الصرافات الآلية (ATM)
- UNC3886 وUNC1945
استراتيجيات التخفي
استخدمت المجموعة أساليب متقدمة للبقاء تحت الرادار، منها:
- نفق البيانات عبر DNS (DNS Tunneling)
- توجيه البيانات عبر مشغلي اتصالات مُختَرَقين
- حذف سجلات المصادقة
- تعطيل SELinux
- إخفاء أسماء العمليات بأسماء تطابق البيئة المستهدفة
اتهامات متبادلة بين الصين وأمريكا
في سياق موازٍ، اتهمت CNCERT (المركز الصيني للاستجابة الطارئة) وكالات استخبارات أمريكية باستخدام ثغرة صفر-يوم في Microsoft Exchange لاختراق:
- مؤسسة عسكرية صينية كبرى في قطاعات الاتصالات والإنترنت عبر الأقمار
- جامعات عسكرية متقدمة ومعاهد بحثية وشركات تكنولوجية
وقد استمرت الهجمات من يوليو 2022 إلى نوفمبر 2024، وشملت استغلال ثغرات في أنظمة الملفات الإلكترونية.
تم التعديل في: 2 أغسطس 2025