Netcrook Logo
👤 WHITEHAWK
🗓️ 24 Nov 2025   🌍 North America

المتنصت الصامت: كيف أفلت BadAudio من الاكتشاف لمدة ثلاث سنوات

قامت مجموعة التجسس الإلكتروني الصينية APT24 بتشغيل عملية برمجيات خبيثة متخفية لسنوات، مستهدفة صناعات عالمية بينما فشلت أدوات الأمان في ملاحظتها.

حقائق سريعة

  • عملت برمجية BadAudio الخبيثة دون أن تُكتشف من أواخر 2022 حتى أواخر 2025، مستهدفة منظمات أمريكية وتايوانية.
  • تتخصص مجموعة APT24، المعروفة أيضاً باسم Pitty Tiger، في سرقة الملكية الفكرية والبيانات التجارية الحساسة.
  • استخدم المهاجمون هجمات تصيد متقدمة، واختراقات في سلسلة التوريد، وتلاعبوا بمكتبات JavaScript الشهيرة.
  • BadAudio مشفرة بشكل كبير وتفادت معظم حلول مكافحة الفيروسات، حيث تم التعرف على عدد قليل فقط من العينات.
  • تم اختراق أكثر من 1000 نطاق عبر مكتبة واحدة مصابة من شركة تسويق تايوانية.

الشبح في الآلة

تخيل لصاً يتسلل عبر الجدران دون أن يُرى، يسرق الأسرار بهدوء من غرف مغلقة لسنوات قبل أن يدرك أحد ذلك. هذه هي قصة BadAudio، الشبح الرقمي الذي طارد الصناعات العالمية بتوجيه من مجموعة التجسس الإلكتروني الصينية APT24. لمدة تقارب ثلاث سنوات، عملت هذه البرمجية الخبيثة بدقة جراحية، تسرق معلومات ثمينة بينما تبقى شبه غير مرئية لأفضل أنظمة الأمان في العالم.

تشريح تهديد خفي

وفقاً لمجموعة استخبارات التهديدات في جوجل، بدأت حملة APT24 في أواخر 2022، مستهدفة وكالات حكومية، وقطاع الصحة، والاتصالات، والهندسة، والتعدين، والمنظمات غير الربحية في الولايات المتحدة وتايوان. مهمة المجموعة: سرقة الملكية الفكرية - مخططات، أبحاث، وأسرار تجارية تغذي التفوق الصناعي.

استخدم المهاجمون مزيجاً من التقنيات للتسلل. أطلقوا رسائل تصيد موجهة - طُعم شخصي مصمم لجذب الضحايا للنقر على روابط خبيثة. وفي خدعة مبتكرة، انتحلت بعض الرسائل هوية منظمات إنقاذ حيوانات، مع بكسلات تتبع مخفية لمعرفة من استجاب للطُعم. لكن التصيد كان مجرد البداية.

كما اخترقت APT24 مواقع إلكترونية شرعية، وحقنت شيفرات JavaScript خبيثة تستهدف فقط مستخدمي ويندوز. كان يُعرض على الزوار نوافذ منبثقة مقنعة تحثهم على تحديث برامجهم - خدعة تؤدي فعلياً إلى تنزيل BadAudio. وفي اختراق كبير، تسلل القراصنة إلى شركة تسويق تايوانية توزع مكتبة JavaScript مستخدمة على نطاق واسع. من خلال تسميم حلقة واحدة فقط في سلسلة التوريد، أصابوا أكثر من 1000 نطاق عميل، في تأثير دومينو يذكر بهجوم SolarWinds الشهير عام 2020.

لماذا كان من الصعب اكتشاف BadAudio

تكمن عبقرية BadAudio الحقيقية في تمويهه. شيفرته مقسمة إلى كتل تشبه الأحجية، يتحكم بها "موزع" مركزي، مما يجعل من الصعب على الماسحات الآلية والمحللين البشريين تجميعها. تعمل البرمجية كأداة تنزيل: تجمع معلومات أساسية عن النظام، تشفرها وترسلها إلى القاعدة. ثم تقوم بهدوء بتنزيل وتشغيل حمولات خبيثة إضافية، غالباً باستخدام برامج شرعية كغطاء.

تركت أدوات مكافحة الفيروسات في الظلام. من بين ثمانية عينات معروفة من BadAudio، تم التعرف على اثنتين فقط من قبل أكثر من 25 منتج أمني. أما البقية فقد أفلتت تقريباً من جميع وسائل الكشف - مما يثبت أن حتى المؤسسات المحصنة جيداً يمكن أن تتعرض لهجمات متقدمة دون أن تدري.

تداعيات عالمية والطريق إلى الأمام

مع تزايد ترابط سلاسل التوريد وازدياد دهاء البرمجيات الخبيثة، يمثل اكتشاف BadAudio جرس إنذار. مدى الهجوم - الذي شمل الحكومة والأعمال والمنظمات غير الربحية - يظهر أنه لا يوجد قطاع محصن. ومع استخدام المهاجمين لخدمات سحابية موثوقة وبرمجيات شرعية كغطاء، يصبح الخط الفاصل بين الآمن وغير الآمن أكثر غموضاً.

قصة BadAudio ليست مجرد فضول تقني. إنها تذكير صارخ بأنه في عالم التجسس الإلكتروني، غالباً ما تكون التهديدات الأكثر خطورة هي تلك التي لا نراها - إلا بعد فوات الأوان.

BadAudio APT24 Cyber-espionage
WHITEHAWK WHITEHAWK
Cyber Intelligence Strategist
← Back to news