صدمة: قراصنة صينيون يستغلون Google Workspace لسرقة رسائل أبحاث ودفاع

مقدمة تحليلية

كشفت مجموعة استخبارات التهديدات التابعة لـ Google (GTIG) مؤخرًا عن تفاصيل حملة تجسس إلكتروني معقدة، نُسبت بثقة عالية إلى مجموعة تعرف باسم UNC6508، المرتبطة بالصين. هذه المجموعة تمكنت من التسلل والاختباء داخل شبكات طبية وأكاديمية وعسكرية في أمريكا الشمالية لأكثر من عامين، مستهدفة سرقة رسائل بريد إلكتروني حساسة تتعلق بالأبحاث والدفاع. ما يجعل هذه الحملة فريدة ومثيرة للقلق هو أن آلية استخراج البيانات لم تعتمد على برمجيات خبيثة تقليدية على خوادم البريد، بل استغلت بشكل مبتكر قواعد Google Workspace المدمجة، محولة إياها إلى أداة تجسس صامتة وفعالة.

بدأت الحملة بالوصول الأولي إلى خوادم REDCap البحثية، وهي منصة تستخدمها المستشفيات والجامعات لإدارة قواعد بيانات الدراسات. بعد اختراق هذه الخوادم، نجح المهاجمون في الحصول على صلاحيات إدارية سمحت لهم بإعادة توجيه الرسائل التي تحتوي على كلمات مفتاحية محددة إلى حسابات بريد إلكتروني يسيطرون عليها. هذه الطريقة تسلط الضوء على تكتيك متطور يستلزم من المؤسسات إعادة تقييم شاملة لكيفية تأمين ليس فقط الأنظمة التقليدية، ولكن أيضًا الميزات المدمجة في بيئات العمل السحابية التي قد تتحول بسهولة إلى نقاط ضعف خطيرة.

التحليل التقني

تمثل هذه الحملة مزيجًا من أساليب الاختراق التقليدية والاستغلال المبتكر لميزات السحابة. كان نقطة الدخول الأولية هي خوادم REDCap (Research Electronic Data Capture)، وهي منصة ويب تُستخدم على نطاق واسع في القطاعين الصحي والأكاديمي لإدارة قواعد بيانات الأبحاث. لم تحدد Google متجه الوصول الأولي لهذه الخوادم أو ذكرت أي CVEs محددة، لكنها أشارت إلى أن المجموعة كانت تستهدف إصدارات REDCap الأقدم والأكثر عرضة للخطر.

بعد حوالي ثلاثة أشهر من الوصول الأولي، نشرت مجموعة UNC6508 برمجية خبيثة مخصصة أطلقت عليها GTIG اسم INFINITERED. هذه البرمجية الخبيثة تُغير ملفات نظام REDCap نفسها وتقوم بثلاث وظائف رئيسية:

• تهيئة عملية الترقية بحيث تقوم كل نسخة جديدة من REDCap بإعادة حقن الكود الخبيث بدلاً من مسحه.
• جمع أسماء المستخدمين وكلمات المرور من صفحة تسجيل الدخول وتخزينها مشفرة في جداول قواعد البيانات المحلية.
• العمل كباب خلفي (backdoor) يتلقى الأوامر عبر HTTP cookies ويُنفذ مع كل تحميل صفحة.

يعود أقدم تاريخ معروف للاختراق إلى سبتمبر 2023، واستمر النشاط حتى نوفمبر 2025. بمجرد الوصول إلى الخادم، نفذت UNC6508 عمليات استطلاع داخلية واكتشاف بيانات الاعتماد، وسحبت بيانات اعتماد قواعد البيانات وحسابات الخدمات، ثم استخدمت هذه البيانات للانتقال إلى الشبكة الداخلية والحصول على حساب مسؤول المجال (domain administrator account). لم تفصح Google عن المسار الدقيق للحصول على هذا الحساب الإداري، لكن هذا الوصول كان حاسمًا لخطوة استخراج البيانات.

الجزء الأكثر إثارة للقلق هو طريقة سرقة البريد الإلكتروني. استغلت مجموعة UNC6508 قواعد امتثال المحتوى (content compliance rules) في Google Workspace، وهي ميزة إدارية شرعية تسمح بفحص رسائل البريد الإلكتروني بحثًا عن كلمات مفتاحية ونسخ أو إعادة توجيه الرسائل المتطابقة. أنشأ المهاجمون قاعدة، مع خطأ إملائي لكلمة "Patriot"، والتي كانت تراقب ما يقرب من 150 كلمة مفتاحية ومصطلح بحث وعنوان بريد إلكتروني. عندما تتطابق رسالة، يقوم Workspace بإرسال نسخة مخفية (BCC) إلى عنوان Gmail يتحكم فيه المهاجمون، والذي قامت Google بتعطيله لاحقًا. لم يكن هناك أي برمجية خبيثة على خادم البريد، ولا أداة استخراج بيانات منفصلة، ولا حركة مرور شبكة غير عادية. فقط ميزة بريد مدمجة، تم تحويلها لنسخ أسرار المؤسسة إلى صندوق بريد يمتلكه المهاجمون. منظمة MITRE تصنف بالفعل إساءة استخدام قواعد إعادة توجيه البريد الإلكتروني (email-forwarding-rule abuse) ضمن تقنياتها المعروفة (T1114.003). ما أبرزته GTIG كأمر جديد هنا هو استخدام قواعد امتثال محتوى المجال للقيام بذلك، وهي طريقة لم تشهدها من جهة مرتبطة بالصين من قبل. كانت الكلمات المفتاحية في القاعدة تتوافق مع أولويات جمع المعلومات لـ UNC6508: السياسة الجيوستراتيجية، الاستراتيجية والمعدات العسكرية، التكنولوجيا المتقدمة بما في ذلك الذكاء الاصطناعي والمركبات غير المأهولة، برامج الهجمات السيبرانية، والأبحاث الطبية. لفت مصطلح واحد الانتباه بخصوصيته: chikungunya، وهو فيروس ينتقل عن طريق البعوض وراء تفشي المرض عام 2025 في مقاطعة قوانغدونغ الصينية.

السياق وتأثير السوق

لم تكن مجموعة UNC6508 وبابها الخلفي REDCap أسماء جديدة تمامًا في عالم الأمن السيبراني. فقد كشفت Google للمرة الأولى عن كليهما في فبراير 2026، ضمن تقرير أوسع حول الهجمات التي تدعمها الدول ضد قطاع الدفاع. على الرغم من أن Google لم تذكر أسماء الضحايا في ذلك الوقت، إلا أنها وصفتهم بأنهم منظمات متعددة عبر الولايات المتحدة وكندا، تشمل مقدمي الخدمات السريرية، والمراكز الأكاديمية، والمؤسسات الصحية العسكرية، ومجموعات الدعم، والجهات التنظيمية الصحية. أشارت Google إلى أنها قامت بإخطار هذه المؤسسات وعطلت البنية التحتية للمجموعة.

تأتي هذه الحملة في سياق متزايد من الهجمات التي تستغل الميزات الشرعية للمنصات السحابية. فبينما يتم التركيز غالبًا على الكشف عن البرمجيات الخبيثة والثغرات الأمنية التقليدية، يُظهر هذا الهجوم أن التهديدات يمكن أن تكمن في إساءة استخدام الأدوات المدمجة المصممة لأغراض مشروعة. إن استخدام قواعد امتثال المحتوى في Google Workspace كقناة لاستخراج البيانات يمثل تطورًا هامًا في تكتيكات المهاجمين، حيث يصبح من الصعب اكتشاف هذه الأنشطة من خلال الفحوصات الأمنية التقليدية التي تركز على الشذوذ في حركة مرور الشبكة أو وجود برمجيات خبيثة معروفة.

تأثير السوق لهذه الحادثة متعدد الأوجه. أولاً، يدق ناقوس الخطر للمنظمات التي تعتمد بشكل كبير على الخدمات السحابية مثل Google Workspace، مما يؤكد الحاجة الملحة إلى تدقيق مكثف لإعدادات الأمان الخاصة بها، خاصة تلك المتعلقة بقواعد معالجة البريد الإلكتروني وسجلات التدقيق الإدارية. ثانيًا، يدفع هذا الاكتشاف مقدمي الخدمات السحابية، بما في ذلك Google، إلى إعادة تقييم كيفية تصميم ميزاتهم الإدارية وما إذا كانت هناك حاجة إلى آليات اكتشاف محسنة للاستخدامات غير المصرح بها أو الخبيثة لهذه الميزات. أخيرًا، يعزز هذا الهجوم فكرة أن الأمن السيبراني لم يعد مجرد مسألة دفاع ضد اختراقات البرمجيات، بل يشمل أيضًا الإدارة الدقيقة لتكوينات الأنظمة وحسابات الامتياز في بيئات السحابة المعقدة.

رؤية Glitch4Techs

تُظهر حملة UNC6508 الأخيرة تحولًا مقلقًا في أساليب التجسس السيبراني، ما يتطلب منا في Glitch4Techs نظرة نقدية لعدة جوانب. أولاً، إن عدم تحديد متجه الوصول الأولي إلى خوادم REDCap يمثل ثغرة معرفية حرجة. ففهم كيفية دخول المهاجمين في المقام الأول هو المفتاح لتعزيز الدفاعات الوقائية. هذا النقص في المعلومات يترك العديد من المنظمات عرضة لنفس نقطة الدخول حتى الآن، مما يؤكد أن جهود الكشف والتحليل يجب أن تتعمق أكثر في مراحل ما قبل الاختراق.

ثانياً، تكمن الخطورة الحقيقية لهذه الحملة في إساءة استخدام الميزات السحابية المدمجة والشرعية. فبمجرد حصول المهاجمين على صلاحيات المسؤول، تحولت قواعد امتثال المحتوى في Google Workspace من أداة تنظيمية مفيدة إلى قناة صامتة وفعالة لاستخراج البيانات. هذه النقطة تثير مخاوف أمنية بالغة: هل تعي المؤسسات حقًا مدى قوة هذه الميزات وكيف يمكن أن تُستغل؟ إن التركيز على البرمجيات الخبيثة التقليدية قد يحجب الرؤية عن التهديدات الأكثر دهاءً التي تستغل "البيانات السلوكية" بدلاً من "البيانات التوقيعية". يتطلب هذا تغييرًا في طريقة التفكير الأمني، من البحث عن الأعداء الواضحين إلى تدقيق ما قد يكون صديقًا تحول إلى عدو.

من وجهة نظر Glitch4Techs، فإننا نتوقع رؤية المزيد من هذه التكتيكات في المستقبل. مع تزايد الاعتماد على الخدمات السحابية، سيواصل المهاجمون البحث عن طرق لاستغلال نقاط الضعف في التكوين والإعدادات، بدلاً من بذل الجهد في تطوير برمجيات خبيثة جديدة تمامًا. هذا يعني أن التدقيق المستمر لإعدادات الأمان السحابية، ومراقبة سجلات التدقيق (audit logs) بحثًا عن أي تغييرات في القواعد أو الصلاحيات، وتطبيق المصادقة متعددة العوامل (MFA) المقاومة للتصيد الاحتيالي لحسابات المسؤولين، سيصبح أمرًا لا غنى عنه. ينبغي للمؤسسات أن تتبنى نهج "الشك الدائم" (zero trust) ليس فقط تجاه المستخدمين والشبكات، بل تجاه الميزات المدمجة في الأنظمة السحابية التي تعتمد عليها. هذه الحادثة هي تذكير صارخ بأن أمن السحابة لا يقتصر على أمن البنية التحتية، بل يمتد إلى كيفية تكوين وإدارة كل ميزة تقدمها هذه الخدمات.