Netcrook Logo
👤 AGONY
🗓️ 30 Dec 2025   🌍 Asia

عملية النواة الخفية: مجموعة Mustang Panda الصينية تطلق عباءة الإخفاء للتجسس السيبراني

العنوان الفرعي: جيل جديد من البرمجيات الخبيثة المدعومة بروتكيت يمنح القراصنة الحكوميين الصينيين ميزة التخفي في استهداف حكومات آسيوية.

بدأ الأمر بهدوء، كما هو الحال مع العديد من الاختراقات الرقمية: شبكة حكومية في جنوب شرق آسيا تباطأت تحت وطأة عدو غير مرئي. لكن هذه المرة، لم يكن التهديد مجرد جولة أخرى من البرمجيات الخبيثة المألوفة. سرعان ما اكتشف محللو الأمن تطوراً متقدماً - واحداً يخفي وجوده في صميم نظام ويندوز نفسه، ليعيد كتابة قواعد لعبة القط والفأر في عالم التجسس السيبراني.

مجموعة التجسس السيبراني Mustang Panda - المعروفة أيضاً باسم HoneyMyte أو Bronze President - لها تاريخ موثق جيداً في استهداف كيانات بارزة حول العالم. إلا أن حملتها الأخيرة تمثل قفزة خطيرة في التخفي والاستمرارية. فقد اكتشف باحثو الأمن في كاسبرسكي أن الباب الخلفي المفضل لدى المجموعة، ToneShell، يتم تسليمه الآن عبر روتكيت يعمل في وضع النواة - وهي طريقة نادرة ومتقدمة تقنياً تتيح للبرمجيات الخبيثة العمل بعيداً عن أنظار معظم وسائل الحماية.

وقد تم اكتشاف هذا الروتكيت، المتخفي كسائق مصغر شرعي لويندوز باسم ProjectConfiguration.sys، على أنظمة حكومية مخترقة في آسيا. ومن خلال استغلال شهادة مسروقة من شركة Guangzhou Kingteller Technology Co., Ltd.، ضمن المهاجمون أن السائق الخبيث سيبدو موثوقاً لدى ويندوز. وبمجرد تثبيته، يتغلغل ProjectConfiguration.sys عميقاً في نظام التشغيل ويندوز، معترضاً العمليات على الملفات ويمنع أي محاولة لحذفه أو العبث به. بل ويتدخل حتى مع Microsoft Defender، مانعاً أداة الحماية من العمل، ليمنح حمولة القراصنة حرية كاملة.

ولا يتوقف الإبداع التقني عند هذا الحد. إذ يقوم الروتكيت بحقن شيفرة خفية في عمليات المستخدم، ويحافظ على قائمة فورية بالعمليات المحمية، ويرفض وصول أي شخص أو برنامج يحاول التحقق من الداخل. وحتى بعد انتهاء البرمجية الخبيثة من عملها، تمحو آثار وجودها، مما يجعل التحقيقات الجنائية بعد الحادثة تحدياً كبيراً.

ما يجعل هذه الحملة خبيثة بشكل خاص هو تطور الباب الخلفي ToneShell نفسه. إذ يتبنى الإصدار الجديد طريقة مبسطة لتحديد المضيف، ويخفي حركة اتصاله عبر رؤوس TLS مزيفة، ويدعم مجموعة من الأوامر عن بعد - من نقل الملفات إلى الوصول إلى الصدفة. هذا المزيج من التخفي على مستوى النواة والتحكم المرن يجعله تهديداً هائلاً لأي منظمة تقع في مرماه.

تحليل كاسبرسكي يوفر لمحة نادرة عن كيفية رفع القراصنة المدعومين من الدول لمستوى الأمان التشغيلي والمرونة. ومع دخول الروتكيت إلى ترسانتهم، أصبحت أدوات مكافحة الفيروسات التقليدية عاجزة. وحدها تحليلات الذاكرة المتقدمة والمراقبة المستمرة قد تكشف الإصابات قبل تسريب البيانات الحساسة.

ومع تصاعد تعقيد الحروب السيبرانية، تمثل اختراقات Mustang Panda على مستوى النواة تذكيراً صارخاً: خط المواجهة ينتقل أعمق إلى نظام التشغيل، حيث تُعاد كتابة قواعد الكشف والدفاع في الزمن الحقيقي. بالنسبة للمدافعين، إنها دعوة للغوص أعمق - وإلا فسيتم التفوق عليهم في الظلال.

ويكي كروك

  • روتكيت: الروتكيت هو برمجية خبيثة متخفية تختبئ في الجهاز، مما يسمح للمهاجمين بالتحكم السري في النظام وتجنب الاكتشاف.
  • النواة: النواة هي جوهر نظام التشغيل، تدير موارد الأجهزة والبرمجيات لضمان تشغيل النظام بكفاءة وأمان.
  • باب خلفي: الباب الخلفي هو وسيلة خفية للوصول إلى جهاز كمبيوتر أو خادم، متجاوزاً الفحوصات الأمنية المعتادة، وغالباً ما يستخدمه المهاجمون للسيطرة السرية.
  • ميني: سائق الميني-فلتر هو مكون خفيف الوزن في ويندوز يُستخدم لمراقبة أو اعتراض أو تعديل عمليات نظام الملفات لأغراض الحماية والإدارة.
  • شهادة (في البرمجيات الخبيثة): الشهادة في البرمجيات الخبيثة هي توقيع رقمي مسروق أو مزور يُستخدم لجعل البرمجيات الخبيثة تبدو شرعية وتتجاوز وسائل الحماية.
Cyber Espionage Mustang Panda Rootkit
AGONY AGONY
Elite Offensive Security Commander
← Back to news