راست، ومارقون، وإشارات حمراء: داخل موجة التجسس السيبراني الفوضوية لـ«ليمينغ المهمل»

مجموعة APT الهندية «ليمينغ المهمل» تصعّد هجماتها على الدفاع والبنية التحتية في جنوب آسيا، وتمزج تقنيات جديدة بأخطاء قديمة.

بينما تغلي التوترات الجيوسياسية في أنحاء جنوب آسيا على نار هادئة، صعّدت مجموعة تجسس سيبراني غامضة تُعرف باسم «ليمينغ المهمل» حربها الرقمية بصمت. وباسمٍ يوحي بعكس ما تقوم به، انتقل هذا التجمع المرتبط بالهند من أدوات اختراق جاهزة إلى أسلحة سيبرانية مصممة خصيصًا، مستهدفًا جهات نووية ودفاعية وبنى تحتية حرجة في باكستان وبنغلادش وما وراءهما. لكن حتى مع تطور ترسانتهم، تترك هفواتهم التشغيلية أثرًا يراقبه المدافعون السيبرانيون عن كثب.

حقائق سريعة

وسّع «ليمينغ المهمل» نطاقات القيادة والتحكم لديه من 13 إلى ما لا يقل عن 112 خلال عام واحد.
تستخدم المجموعة الآن أدوات اختراق مخصصة مكتوبة بلغة Rust، وهي لغة مفضلة لما توفره من تخفٍ وتعقيد.
تشمل الأهداف الأساسية هيئات تنظيم نووية وشركات دفاع وبنى تحتية حرجة في باكستان وبنغلادش.
تعتمد أساليب الهجوم على رسائل تصيّد تحمل طُعمًا من ملفات PDF وExcel، وتُنزل مسجلات ضغطات المفاتيح وبرمجيات سرقة البيانات.
رغم التكتيكات الجديدة، عثر الباحثون على أدلة مفتوحة على خوادمهم، ما كشف بنية المهاجمين التحتية.

شهد العام الماضي تحوّل «ليمينغ المهمل» من جهة تهديد غير متطورة نسبيًا إلى قوة يُحسب لها حساب. ووفقًا لشركتي Arctic Fox وArctic Wolf، وهما من أبرز شركات أبحاث الأمن السيبراني، تخلّت المجموعة عن أدوات «الريد تيمينغ» العامة مثل Cobalt Strike لصالح برمجيات خبيثة مفصّلة ومكتوبة بلغة Rust - وهي خطوة تعقّد كلاً من الرصد والتحليل.

ويوازي قفزتهم التقنية ازدهارٌ في البنية التحتية: إذ باتت شبكة القيادة والتحكم (C2) الخاصة بـ«ليمينغ المهمل» تمتد عبر أكثر من مئة نطاق، يستضيف كثيرٌ منها على منصة Workers عديمة الخوادم التابعة لـCloudflare. يمنح هذا النهج السحابي المهاجمين قدرًا من إخفاء الهوية والمرونة، ما يتيح لهم دفع حمولات جديدة والتحول بسرعة إذا كُشف أمرهم.

ومع ذلك، ورغم كل ابتكارهم، لا تزال الفوضوية المميزة لـ«ليمينغ المهمل» حاضرة. فقد اكتشف الباحثون أدلة مفتوحة على بعض خوادم C2، وهو خطأ مبتدئ منح المدافعين لمحة عن عملياتهم. يقول إسماعيل فالينزويلا، نائب رئيس استخبارات التهديدات في Arctic Wolf: «إنهم يواصلون كونهم ليمينغ المهمل»، مشيرًا إلى أن أمن العمليات ما يزال كعب أخيل لديهم.

يعتمد دليلهم التشغيلي المثقل بالتصيّد على ملفات PDF مفخخة وملفات Excel مفعّلة بالماكرو لاستدراج الأهداف - وغالبًا ما تكون منظمات ذات نظافة سيبرانية ضعيفة أو تستخدم برمجيات مقرصنة. وبمجرد الدخول، تسرق البرمجيات الخبيثة المبنية على Rust بيانات الاعتماد وتراقب ضغطات المفاتيح، ممهدةً الطريق لتجسس أعمق.

لا يعمل «ليمينغ المهمل» وحده. فالتداخل في النشاط مع مجموعات APT هندية أخرى - مثل Outrider Tiger وFishing Elephant - يوحي إما بتنسيق أو بموارد مشتركة، رغم أن بعض المجموعات تظل متميزة في استهدافها وتكتيكاتها. ويؤكد خبراء كاسبرسكي ضرورة تتبع كل جهة على حدة، إذ تختلف دوافعها وضحاياها.

ومع تصاعد الاستعراضات العسكرية والاشتباكات على أرض الواقع بين الهند وباكستان ودول الجوار، لا يزداد خط المواجهة السيبراني إلا سخونة. إن تطبيع مثل هذه الحملات الرقمية يعني أن أخطاء اليوم هي دروس الغد - للمهاجمين والمدافعين على حد سواء.

إن قصة «ليمينغ المهمل» تذكير صارخ: في عالم التجسس السيبراني عالي المخاطر، لا تستطيع حتى أكثر الأدوات تقدمًا تعويض الأخطاء التشغيلية الأساسية. ومع تخمّر التوترات الإقليمية، ستعتمد المرحلة التالية من سباق التسلح السيبراني ليس على الابتكار فحسب، بل على الانضباط - والقدرة على التعلم من فوضوية المرء نفسه.

WIKICROOK

APT (التهديد المتقدم المستمر): التهديد المتقدم المستمر (APT) هو هجوم سيبراني طويل الأمد وموجّه تنفذه مجموعات ماهرة، غالبًا بدعم دول، بهدف سرقة البيانات أو تعطيل العمليات.
أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا عبر خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
التصيّد: التصيّد جريمة سيبرانية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين كي يكشفوا بيانات حساسة أو ينقروا روابط خبيثة.
Rust: Rust لغة برمجة حديثة تركز على الأمان والسرعة، وتساعد المطورين على تجنب الأخطاء الشائعة وكتابة شيفرة آمنة وموثوقة.
عمّال عديمو الخوادم: العمّال عديمو الخوادم خدمات سحابية تشغّل الشيفرة دون خوادم، ما يتيح تطبيقات قابلة للتوسع لكنه يوفر أيضًا للمهاجمين إخفاء الهوية وبنية تحتية مرنة.