يختبئ تنين الحبر الصيني في شبكات الحكومات الأوروبية

قام طاقم التجسس الصيني Ink Dragon بتوسيع أنشطته التطفلية على شبكات الحكومة الأوروبية، وذلك باستخدام خوادم مخترقة لإنشاء عقد ترحيل غير مشروعة للعمليات المستقبلية.

لقد نجحت الحملة “several dozen victims,” قال مدير مجموعة Check Point Software إيلي سمادجا السجل. ويشمل ذلك الهيئات الحكومية ومنظمات الاتصالات في جميع أنحاء أوروبا وآسيا وأفريقيا.

“While we cannot disclose the identities or specific countries of affected entities, we observed the actor beginning relay-based operations in the second half of 2025, followed by a gradual expansion in victim coverage from each relay over time,” قال سمادجا.

تبدأ هذه الهجمات بقيام Ink Dragon بفحص نقاط الضعف الأمنية، مثل خوادم Microsoft IIS وSharePoint التي تم تكوينها بشكل خاطئ، للوصول إلى بيئات الضحايا. يساعد هذا التكتيك، بدلاً من استغلال ثغرات الأيام الصفرية أو غيرها من الثغرات البارزة، المهاجمين على التخفي عن الرادار ويقلل من فرص القبض عليهم.

يقوم Ink Dragon بعد ذلك بجمع بيانات الاعتماد ويستخدم الحسابات الموجودة للتسلل إلى الأهداف، وهي تكتيكات تساعد العصابة على الاندماج مع حركة مرور الشبكة العادية.

“This stage is typically characterized by low noise and spreads through infrastructure that shares the same credentials or management patterns,” باحثو تشيك بوينت”_blank” rel=”nofollow” href=”https://blog.checkpoint.com/research/ink-dragon-expands-with-new-tools-and-a-growing-victim-network/”> قال في مدونة الثلاثاء.

بمجرد عثور Ink Dragon على حساب يتمتع بإمكانية الوصول على مستوى النطاق، يبدأ الجواسيس في العمل على إنشاء وصول طويل الأمد عبر الأنظمة عالية القيمة، وتثبيت أبواب خلفية وزرعات تخزن بيانات الاعتماد والبيانات الحساسة الأخرى.

بالإضافة إلى أهدافهم الجديدة ونشاط عقدة الترحيل، تقول Check Point إن الجواسيس السيبرانيين قاموا أيضًا بتحديث باب FinalDraft الخلفي الخاص بهم بحيث يندمج مع النشاط السحابي الشائع لـ Microsoft، مما يؤدي إلى إخفاء حركة مرور الأوامر داخل مسودات صندوق البريد.

ويتيح الإصدار الجديد أيضًا للبرامج الضارة إمكانية الوصول خلال ساعات العمل – حتى لا تجذب الانتباه غير المرغوب فيه بعد ساعات العمل – ويمكنه نقل الملفات الكبيرة بكفاءة أكبر وبأقل قدر من الضوضاء.

• تم اختراق عشرات الآلاف من أجهزة توجيه ASUS الإضافية من خلال عملية مشتبه بها ومتطورة في الصين
• تحذر Google من أن الصين وإيران تقضيان يومًا ميدانيًا مع React2Shell
• يلقي مدير الأمن في أمازون اللوم على GRU الروسية في اختراقات قطاع الطاقة التي استمرت لسنوات

بالإضافة إلى ذلك، بمجرد إنشاء وصول طويل الأمد إلى الخوادم المخترقة، تختار مجموعة الهجوم البنية التحتية للضحايا، وتنشر وحدات مخصصة قائمة على IIS على خوادم عامة لإنشاء نقاط ترحيل لحركتهم غير المشروعة.

“These servers forward commands and data between different victims, creating a communication mesh that hides the true origin of the attack traffic,” وقال تشيك بوينت ريسيرش.

كما كشف التحقيق الذي أجراه صائدو التهديدات في Ink Dragon عن نشاط خفي مماثل من قبل طاقم تجسس آخر مرتبط بالصين RudePanda، والذي “had quietly entered several of the same government networks,” لقد كتبوا.

على الرغم من أن المجموعتين غير مرتبطتين، إلا أنهما أساءتا استخدام نفس ثغرة الخادم للوصول إلى نفس بيئات تكنولوجيا المعلومات. ويوضح هذا أيضًا التكتيكات المتغيرة بين الفرق السيبرانية الأخرى التي ترعاها الحكومة، بما في ذلك ليس فقط”_blank” href=”https://www.theregister.com/2025/06/09/china_malware_flip_switch_sentinelone/”> أطقم مدعومة من بكين، ولكن أيضًا من روسيا.

وفي تنبيه أمني يوم الاثنين، دقت أمازون ناقوس الخطر بشأن نشاط مماثل لعقدة الترحيل، المستمر منذ عام 2021 على الأقل.

وأرجع عملاق السحابة هذه الحملة إلى”_blank” href=”https://www.theregister.com/2025/12/15/amazon_ongoing_gru_campaign/”> مديرية المخابرات الرئيسية الروسية (GRU)وقالت إنها استهدفت في المقام الأول مزودي الطاقة والاتصالات والتكنولوجيا في الدول الغربية، وسرقة بيانات الاعتماد واختراق الأجهزة التي تم تكوينها بشكل خاطئ والمستضافة على AWS لمنح متطفلي الكرملين إمكانية الوصول المستمر إلى الشبكات الحساسة. ®