تم الاستيلاء على خادم تحديث Sogou Zhuyin المهجور واستخدامه في حملة تجسس ضد تايوان

المايسترو نيرو - قسم التجسس السيبراني / البرامج الضارة

تم استغلال خادم تحديث مهجور مرتبط ببرنامج محرر طريقة الإدخال (IME) Sogou Zhuyin من قبل فاعلي تهديد كجزء من حملة تجسس لتوزيع عدة عائلات من البرمجيات الخبيثة، بما في ذلك C6DOOR وGTELAM، في هجمات تستهدف بشكل أساسي المستخدمين في شرق آسيا.

"استخدم المهاجمون سلاسل عدوى متقدمة، مثل اختراق تحديثات البرامج وصفحات تخزين سحابية أو تسجيل دخول وهمية، لتوزيع البرمجيات الخبيثة وجمع المعلومات الحساسة،" قال باحثو Trend Micro، نيك داي وبيير لي، في تقرير مفصل.

تم تحديد الحملة، التي رُصدت في يونيو 2025، من قبل شركة الأمن السيبراني وتم تسميتها كوديًا بـ TAOTH. تشمل أهداف النشاط بشكل رئيسي المنشقين والصحفيين والباحثين وقادة التكنولوجيا والأعمال في الصين وتايوان وهونغ كونغ واليابان وكوريا الجنوبية والمجتمعات التايوانية في الخارج. تمثل تايوان 49% من جميع الأهداف، تليها كمبوديا (11%) والولايات المتحدة (7%).

يُقال إن المهاجمين، في أكتوبر 2024، استولوا على اسم النطاق المنتهي الصلاحية ("sogouzhuyin[.]com") المرتبط بـ Sogou Zhuyin، وهي خدمة IME شرعية توقفت عن تلقي التحديثات في يونيو 2019، لتوزيع حمولات ضارة بعد شهر واحد من ذلك. ويُقدر أن مئات الضحايا تأثروا.

آلية الهجوم:

يبدأ سلسلة الهجوم عندما يقوم مستخدمون غير مدركين بتنزيل المثبت الرسمي لـ Sogou Zhuyin من الإنترنت، مثل إدخال صفحة ويكيبيديا الصينية التقليدية لـ Sogou Zhuyin، والتي تم تعديلها في مارس 2025 لتوجيه المستخدمين إلى النطاق الضار dl[.]sogouzhuyin[.]com.

بينما يكون المثبت بريئًا تمامًا، تبدأ النشاطات الضارة عند تشغيل عملية التحديث التلقائي بعد بضع ساعات من التثبيت، مما يؤدي إلى جلب ملف تكوين التحديث من عنوان URL المدمج: "srv-pc.sogouzhuyin[.]com/v1/upgrade/version".

تم تعديل هذه العملية لتحديثها لتقديم البرمجيات الخبيثة DESFY وGTELAM وC6DOOR وTOSHIS بهدف تحليل وجمع البيانات من الأهداف عالية القيمة -

• TOSHIS (تم اكتشافه لأول مرة ديسمبر 2024): برنامج تحميل مصمم لجلب حمولات المرحلة التالية (Cobalt Strike أو عميل Merlin لإطار Mythic) من خادم خارجي.
• DESFY (تم اكتشافه لأول مرة مايو 2025): برنامج تجسس يجمع أسماء الملفات من موقعين: سطح المكتب وملفات البرنامج.
• GTELAM (تم اكتشافه لأول مرة مايو 2025): برنامج تجسس آخر يجمع أسماء الملفات التي تطابق مجموعة محددة من الامتدادات (PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX)، وينقل التفاصيل إلى Google Drive.
• C6DOOR: بوابة خلفية مخصصة مبنية على Go تستخدم بروتوكولات HTTP وWebSocket للاتصال بالأوامر والتحكم، وتتلقى تعليمات لجمع معلومات النظام، وتشغيل أوامر عشوائية، وأداء عمليات الملفات، وتحميل/تنزيل الملفات، والتقاط لقطات الشاشة، وسرد العمليات الجارية، وعرض الدلائل، وحقن شفرة الـ shell في عملية مستهدفة.

التحليل الإضافي:

كشف تحليل إضافي لـ C6DOOR عن وجود أحرف صينية مبسطة مدمجة داخل العينة، مما يشير إلى أن الفاعل التهديدي وراء هذا الأداة قد يكون متقنًا للغة الصينية.

"يبدو أن المهاجم كان لا يزال في مرحلة الاستطلاع، يبحث بشكل أساسي عن أهداف ذات قيمة عالية،" قالت Trend Micro. "نتيجة لذلك، لم تُلاحظ أي أنشطة إضافية بعد الاستغلال في غالبية أنظمة الضحايا."

تشير Trend Micro إلى أن TAOTH يشترك في البنية التحتية والأدوات مع نشاطات تهديد موثقة سابقًا من قبل ITOCHU، مما يرسم صورة لفاعل تهديد مستمر يركز على الاستطلاع والتجسس وإساءة استخدام البريد الإلكتروني.

توصي الشركات بإجراء تدقيق دوري لبيئاتها لاكتشاف أي برامج منتهية الدعم وإزالتها أو استبدالها على الفور. ويُحث المستخدمون على مراجعة الأذونات التي تطلبها تطبيقات السحابة قبل منح الوصول.

آخر تحديث: 7 أكتوبر 2025