“سيلفر دراجون” يضرب في صمت: حملة تجسس صينية متطورة تستهدف حكومات آسيا وأوروبا

تحقيق معمق يكشف تفاصيل مجموعة التجسس الإلكتروني المرتبطة بـAPT41: من استغلال الخوادم إلى اختراق Google Drive كقناة اتصال سرية

عواصم عالمية – “أخبار تك”

في اكتشاف يسلط الضوء على التطور المستمر لحرب التجسس الإلكتروني الخفية، كشف باحثو شركة الأمن السيبراني العالمية تشيك بوينت ريسيرش (Check Point Research) عن تفاصيل حملة تجسس إلكتروني متطورة أطلقوا عليها اسم “Silver Dragon” (التنين الفضي)، والتي تستهدف منذ منتصف عام 2024 منظمات حكومية حساسة في منطقة جنوب شرق آسيا وأجزاء من أوروبا. وتُظهر الحملة مستوى غير مسبوق من التعقيد التقني، حيث تجمع بين استغلال الثغرات في الخوادم العامة، وهجمات التصيد الموجّه، وبرمجيات خبيثة مخصصة، وبنية تحتية للقيادة والتحكم (C2) تستخدم خدمات سحابية موثوقة مثل Google Drive لتمويه نشاطها .

يقيم باحثو تشيك بوينت بثقة عالية أن المجموعة مرتبطة بالصين وتعمل تحت مظلة مجموعة APT41 سيئة السمعة، المعروفة بدمجها بين أنشطة التجسس الإلكتروني والعمليات ذات الدوافع المالية .

في هذا التقرير، نرصد بالتفصيل آليات عمل هذه المجموعة، وأساليبها التقنية، ودلالات نشاطها على مستقبل الأمن السيبراني العالمي.

من هي “Silver Dragon”؟ – أيقونة جديدة في عالم APT

الاسم والتصنيف

Silver Dragon هو الاسم الرمزي الذي أطلقته تشيك بوينت ريسيرش على مجموعة تهديد متقدمة (APT) لم تكن معروفة سابقاً، تم رصد نشاطها منذ منتصف عام 2024. تُظهر المجموعة مستوى عالياً من الاحترافية والتنظيم، وتستهدف بشكل أساسي كيانات حكومية في قطاعات حساسة مثل الرعاية الصحية والاتصالات والتكنولوجيا .

الارتباط بـAPT41: الأدلة والتقنيات المشتركة

يرى الباحثون أن Silver Dragon تعمل على الأرجح تحت مظلة APT41، وهي مجموعة تجسس صينية معروفة نشطة منذ عام 2012 على الأقل. الأدلة على هذا الارتباط تشمل :

• تقنيات وأدوات مشتركة: استخدام نفس أساليب الاختراق والبرمجيات الخبيثة.
• أنماط تشغيلية متطابقة: أوقات النشاط، البنية التحتية، وطرق التهرب متوافقة مع بصمة APT41.
• تنوع الأهداف: APT41 معروفة بمزجها بين التجسس الإلكتروني لصالح الدولة والأنشطة ذات الدوافع المالية، وهو نمط يظهر أيضاً في عمليات Silver Dragon.

سلسلة العدوى – كيف تخترق “Silver Dragon” الأنظمة الحكومية؟

طرق الوصول الأولي (Initial Access)

تستخدم المجموعة ثلاث طرق رئيسية لاختراق الأنظمة المستهدفة :

1. استغلال الثغرات في الخوادم العامة (Public-facing Servers)

الطريقة الأولى تعتمد على مسح الإنترنت بحثاً عن خوادم حكومية تحتوي على ثغرات أمنية غير مصححة، واستغلالها للوصول الأولي. هذا يشير إلى أن المجموعة تمتلك قدرات متقدمة في فحص البنية التحتية وتحديد نقاط الضعف .

2. رسائل التصيد الموجّه (Spear-Phishing)

الطريقة الثانية والأكثر انتشاراً هي إرسال رسائل بريد إلكتروني مستهدفة تحتوي على مرفقات ضارة. يتم تصميم هذه الرسائل بعناية لتبدو وكأنها قادمة من مصادر موثوقة، وغالباً ما تستخدم مواضيع جذابة أو عاجلة لإغراء الضحايا بفتح المرفقات .

3. أرشيفات RAR الضارة

في سيناريوهات ما بعد الاستغلال (Post-exploitation)، غالباً ما تستخدم المجموعة أرشيفات RAR مضغوطة تحتوي على نصوص Batch. هذه النصوص تقوم بتنزيل أدوات إضافية مثل MonikerLoader و BamboLoader لتثبيت البرمجية الخبيثة الأساسية .

نظام بيدو الصيني ينقذ صواريخ إيران.. كواليس الحرب الإلكترونية في الشرق الأوسط

سلسلة العدوى الرئيسية (Infection Chain)

تتبع المجموعة ثلاث سلاسل عدوى رئيسية لتثبيت أداة الاختراق الشهيرة Cobalt Strike :

• اختطاف AppDomain (AppDomain Hijacking)
• خدمة DLL (Service DLL)
• هجمات التصيد عبر ملفات LNK

في الطريقة الثالثة، ترسل المجموعة حملات تصيد تستخدم ملفات اختصار Windows (LNK) ضارة. عند فتحها، تقوم بتنفيذ أوامر PowerShell التي تجلب حمولات إضافية، بما في ذلك مستندات شرعية (Decoy Documents) لإخفاء النشاط، وملفات DLL خبيثة تقوم في النهاية بتشغيل إطار Cobalt Strike .

أدوات ما بعد الاستغلال – عندما يتحول Google Drive إلى خادم قيادة

قناة القيادة والتحكم عبر Google Drive (Google Drive C2)

الابتكار الأبرز في ترسانة Silver Dragon هو استخدامها لخدمات سحابية شرعية، خاصة Google Drive، كقناة سرية للقيادة والتحكم (C2). تقوم المجموعة بتطوير باب خلفي (Backdoor) مخصص مكتوب بإطار .NET أطلقت عليه اسم GearDoor، والذي يتواصل مع Google Drive لتبادل الأوامر والبيانات .

آلية عمل GearDoor :

1. ملفات نبض القلب (Heartbeat Files): يقوم الباب الخلفي بتحميل معلومات النظام على شكل ملفات دورية إلى Google Drive، لإعلام الخادم بأن الجهاز المخترق ما زال نشطاً.
2. استقبال الأوامر: يبحث البرنامج باستمرار عن ملفات بأسماء امتدادات محددة (Extensions) في مجلد معين على Google Drive.
3. تنفيذ المهام: عندما يتم العثور على ملف جديد، يقوم GearDoor بتحميله وتنفيذ الأوامر الموجودة فيه.
4. الإبلاغ عن النتائج: بعد تنفيذ المهمة، يتم رفع نتائج العملية مرة أخرى إلى السحابة باستخدام امتداد ملف مختلف، لتختفي بذلك كل آثار الاتصال بين الضحية وخادم القيادة التقليدي.

هذه الطريقة بارعة لأن حركة المرور إلى Google Drive تبدو شرعية تماماً لأي نظام مراقبة للشبكة، مما يجعل اكتشافها صعباً للغاية.

أدوات مساعدة أخرى

• SilverScreen: أداة لمراقبة وتسجيل الشاشة (Screen Monitoring).
• SSHcmd: أداة لتنفيذ الأوامر عن بُعد عبر بروتوكول SSH، مما يسمح للمهاجمين بالتحرك الجانبي داخل الشبكة.

تحليل تقني – نقاط القوة والمراوغة

1. الالتحام بالخدمات الشرعية (Living off the Land)

تعتمد المجموعة بشكل كبير على أدوات وخدمات شرعية موجودة أصلاً في البيئة المستهدفة، مثل PowerShell وGoogle Drive وخدمات Windows النظامية. هذا يجعل نشاطها يندمج مع حركة المرور العادية، ويصعب اكتشافه بواسطة أنظمة كشف التسلل التقليدية .

الذكاء الاصطناعي يعيد تعريف اقتصاد البرمجيات العالمي

2. بنية تحتية مرنة وقابلة للتكيف

تستخدم Silver Dragon بنية تحتية قيادية سحابية متطورة، تسمح لها بتغيير عناوين الخوادم بسرعة وتكييف قنوات الاتصال حسب الحاجة، مما يزيد من مرونة عملياتها ويصعب تعقبها .

3. استهداف قطاعات متعددة

بينما ينصب التركيز الأساسي على الكيانات الحكومية، تمتد أهداف المجموعة لتشمل قطاعات حيوية أخرى مثل الرعاية الصحية والاتصالات والتكنولوجيا، مما يعكس نطاقاً استخباراتياً واسعاً .

4. أنشطة ذات دوافع مالية

بالإضافة إلى التجسس، تُظهر Silver Dragon نمطاً مشابهاً لـAPT41 في انخراطها بأنشطة قد تكون ذات دوافع مالية وتقع خارج نطاق التوجيهات الحكومية المباشرة، مما يجعل ملفها التهديدي أكثر تعقيداً .

الدلالات الجيوسياسية – “التنين الفضي” في سياق الصراع العالمي

التوافق مع النمط الصيني

كشف تقرير الأمن السيبراني 2026 الصادر عن تشيك بوينت أن الأنشطة المرتبطة بالصين (Chinese-Nexus) كانت خلال عام 2025 “عالمية بطبيعتها”، واتسمت بما يلي :

• عمليات صناعية وليست انتهازية: أي أنها مخططة بعناية ومنظمة بشكل كبير.
• البنية التحتية الطرفية كمدخل رئيسي: استهداف أجهزة الحافة (Edge devices) والخوادم العامة كنقطة دخول أولى.
• تسليح سريع للثغرات: استخدام يومي الصفر (Zero-day) والثغرات المعلنة حديثاً بسرعة كبيرة.

Silver Dragon تندرج تماماً تحت هذا النمط، مما يعزز فرضية ارتباطها بجهة حكومية صينية.

توقيت مثير للاهتمام

الكشف عن هذه المجموعة يأتي في وقت تتصاعد فيه التوترات الجيوسياسية بين القوى الكبرى، خاصة بعد الضربات العسكرية الأخيرة في الشرق الأوسط وتصاعد الخطاب حول الأمن السيبراني. وجود مجموعة بهذا المستوى من التطور تستهدف حكومات آسيا وأوروبا يعكس استمرار “الحرب الباردة السيبرانية” التي تخاض بعيداً عن الأضواء.

توصيات وحلول – كيف تحمي نفسك من “التنين الفضي”؟

بناءً على تحليل تشيك بوينت، يمكن للمؤسسات الحكومية والخاصة اتخاذ الخطوات التالية للحماية من هذا النوع من التهديدات:

1. تحديث الأنظمة باستمرار: تصحيح الثغرات الأمنية في الخوادم والتطبيقات المكشوفة على الإنترنت بشكل فوري.
2. تعزيز الوعي ضد التصيد: تدريب الموظفين على التعرف على رسائل البريد الإلكتروني المشبوهة وعدم فتح المرفقات غير الموثوقة.
3. مراقبة حركة المرور غير العادية: استخدام أنظمة كشف التسلل (IDS/IPS) لمراقبة الأنماط غير الطبيعية، خاصة الاتصالات الصادرة إلى خدمات سحابية قد تستخدم كقنوات تحكم (C2).
4. تقييد استخدام PowerShell: تطبيق سياسات تقييدية لاستخدام أوامر PowerShell البرمجية وتفعيل تسجيل الأحداث (Logging) لمراقبة أي نشاط غير اعتيادي.
5. الاستعانة بحلول أمنية متقدمة: استخدام حلول الحماية من الجيل التالي (NGAV) وEDR التي تعتمد على تحليل السلوك بدلاً من التواقيع الثابتة، لكشف الأنشطة الشاذة التي قد تمثل هجوماً.

خلاصة: جيل جديد من التهديدات السيبرانية

Silver Dragon ليست مجرد مجموعة APT عادية. إنها تمثل نموذجاً للجيل القادم من التهديدات السيبرانية التي تمتاز بـ :

• المرونة المعمارية: استخدام بنية تحتية سحابية وقنوات اتصال مبتكرة.
• التهرب المتقدم: الاعتماد على خدمات شرعية (Google Drive) لإخفاء الاتصالات.
• الاستهداف الدقيق: التركيز على كيانات حكومية محددة بدقة عالية.

في عالم أصبحت فيه الخوادم السحابية ساحات معارك، وGoogle Drive قناة تحكم، يبدو أن “التنين الفضي” قد وضع معياراً جديداً لتعقيد وهندسة عمليات التجسس الإلكتروني، محذراً المؤسسات الحكومية في جميع أنحاء العالم بأن يقظتها يجب أن تكون بمستوى تطور خصومها.

إعداد ومتابعة : “أخبار تك”