مجموعة Webworm الصينية تخترق خوادم حكومية عبر Discord وAPI
"مجموعة Webworm الصينية توظف منصة Discord وMicrosoft Graph API للتحكم في برمجيات خبيثة جديدة. الهجمات استهدفت جهات حكومية وشركات تقنية حساسة."
مقدمة تحليلية
شهد عام 2025 تحولاً جذرياً في التكتيكات الهجومية لمجموعات التهديد المتقدم المستمر (APT) المدعومة من الصين، وعلى رأسها مجموعة Webworm النشطة منذ عام 2022 على الأقل. رصد باحثو الأمن السيبراني في شركة ESET قيام المجموعة بنشر برمجيات خبيثة مخصصة تستخدم منصات معتمدة وموثوقة مثل Discord وMicrosoft Graph API لإخفاء حركة الاتصال بخوادم التحكم والسيطرة (C2). هذا الأسلوب يعقد من عمليات الكشف المبكر ويعطل قدرة جدران الحماية التقليدية على تمييز الزيارات الخبيثة عن حركة البيانات المشروعة.
تستهدف هذه الحملات المنظمة قطاعات حيوية تشمل المؤسسات الحكومية، ومزودي خدمات تقنية المعلومات، وقطاع الطيران والفضاء، وشبكات الطاقة الكهربائية. ومن المثير للاهتمام أن المجموعة وسعت رقعة عملياتها الجغرافية لتتجاوز أهدافها التقليدية في روسيا وجورجيا ومنغوليا، لتشمل هجمات مركزة على دول أوروبية مثل بلجيكا، وإيطاليا، وصربيا، وبولندا، وإسبانيا، بالإضافة إلى استهداف جامعة حكومية في جنوب إفريقيا، مما يشير إلى توسع أهدافها الاستراتيجية على الساحة الدولية.
يكشف هذا الاختراق عن استراتيجية خبيثة تعتمد على استغلال الثقة الممنوحة للخدمات السحابية الكبرى. بدلاً من الاعتماد على خوادم C2 مخصصة يسهل حظرها، تندمج حركة مرور البيانات الخبيثة ضمن القنوات الرسمية لشركات مثل Microsoft وDiscord، مما يضع أمن المؤسسات أمام تحدٍ تقني معقد يتطلب أدوات تحليل سلوكي متقدمة لا تكتفي بمراقبة الوجهات وحسب، بل تدقق في محتوى وطبيعة الاتصالات الرقمية.
التحليل التقني
استندت مجموعة Webworm في حملاتها الأخيرة لعام 2025 على برمجيتين خلفيتين مطورتين خصيصاً لتنفيذ عمليات التجسس وسرقة البيانات، وهما EchoCreep وGraphWorm. وتمثل هاتان الأداتان قفزة نوعية مقارنة ببرمجيات RAT التقليدية التي كانت تستخدمها المجموعة سابقاً مثل Trochilus RAT وGh0st RAT و9002 RAT.
أولاً: برمجية EchoCreep الخبيثة
- تستخدم منصة الاتصال Discord كقناة اتصال رئيسية مع خوادم التحكم والسيطرة (C2).
- تتمتع بقدرات كاملة على رفع وتنزيل الملفات من وإلى الأجهزة المخترقة.
- تمتلك القدرة على تنفيذ الأوامر مباشرة عبر واجهة السطر cmd.exe.
- أظهر تحليل قنوات Discord المرتبطة بالبرمجية إرسال 433 رسالة على الأقل إلى أكثر من 50 هدفاً فريداً، مع رصد أولى العمليات في تاريخ 21 مارس 2024.
ثانياً: برمجية GraphWorm المتقدمة
- تعتمد على واجهة برمجية التطبيقات Microsoft Graph API لإدارة الاتصالات وتجنب الحظر.
- تستطيع إنشاء جلسات عمل تفاعلية جديدة عبر cmd.exe لتنفيذ عمليات معقدة.
- تسمح برفع وتنزيل الملفات الحساسة مباشرة من وإلى حسابات Microsoft OneDrive الضحية.
- تحتوي على آلية تدمير ذاتي لإيقاف التنفيذ فور تلقي إشارة مخصصة من المهاجمين لإخفاء الأثر الرقمي.
إلى جانب البرمجيات الخلفية، اعتمدت المجموعة على مستودع GitHub وهمي ينتحل صفة نسخة معدلة من نظام WordPress تحت الرابط github[.]com/anjsdgasdf/WordPress كمنصة استضافة للملفات الخبيثة وأدوات مثل SoftEther VPN. كما وظفت أدوات وكيلة (Proxies) مخصصة مثل WormFrp وChainWorm وSmuxProxy وWormSocket لتشفير الاتصالات وتمريرها عبر أجهزة متعددة داخل الشبكة وخارجها لزيادة التخفي. وتجدر الإشارة إلى أن WormFrp يقوم بسحب إعدادات التشغيل الخاصة به من حاوية تخزين Amazon S3 مخترقة.
أما فيما يتعلق بآلية الوصول الأولي واختراق الأهداف، فإن التفاصيل الدقيقة حول كيفية تسليم البرمجيات الخبيثة لا تزال تعتبر بيانات غير متوفرة بشكل قطعي. ومع ذلك، تشير التحقيقات إلى استخدام المهاجمين لأدوات مفتوحة المصدر مثل dirsearch وnuclei لعمليات الفحص العشوائي (Brute-force) والبحث عن الثغرات الأمنية غير المرقّعة في خوادم الويب الخاصة بالضحايا.
السياق وتأثير السوق
تُظهر التحليلات المقارنة تداخلاً واضحاً بين Webworm ومجموعات تهديد صينية أخرى مثل FishMonger (المعروفة بـ Aquatic Panda)، وSixLittleMonkeys، وSpace Pirates. وتشتهر مجموعة SixLittleMonkeys على وجه الخصوص باستهداف الكيانات الحكومية في آسيا الوسطى وبيلاروسيا وروسيا باستخدام برمجيات Mikroceen وGh0st RAT. ومع ذلك، يشير الباحثون إلى أن الروابط بين Webworm وSpace Pirates تظل ضعيفة وتفتقر إلى الأدلة القاطعة، نظراً لاعتماد كلا الطرفين على أدوات تحكم عن بعد مفتوحة المصدر يسهل على أي طرف استخدامها وتعديلها.
بالتوازي مع نشاط Webworm، كشفت شركة Cisco Talos عن نشاط متصل لنسخة معدلة من برمجية BadIIS الخبيثة، والتي يتم تداولها وبيعها بين مجموعات الجرائم السيبرانية الناطقة باللغة الصينية بنظام البرمجيات كخدمة (MaaS) بهدف تحقيق مكاسب مالية مستمرة منذ سبتمبر 2021. هذه الأداة التي طورها مبرمج يلقب نفسه بـ lwxat تتيح للمهاجمين توجيه حركة مرور الويب للمواقع المخترقة، وسرقة محتويات البحث، وحقن الروابط الخلفية للاحتيال في محركات البحث (SEO Fraud).
رؤية Glitch4Techs
يمثل لجوء مجموعات التجسس السيبراني إلى إساءة استخدام المنصات السحابية الموثوقة مثل Discord وMicrosoft Graph تحولاً خطيراً في مشهد التهديدات الرقمية. لم تعد استراتيجيات الدفاع التقليدية المعتمدة على جدران الحماية وحظر العناوين الرقمية (IP Blocking) كافية لمواجهة هذا النوع من التهديدات الذكية. فالاتصال بموقع مثل OneDrive أو Discord يبدو طبيعياً تماماً لأنظمة المراقبة التقليدية، وهو ما يسمح للمهاجمين بالبقاء داخل الشبكات لفترات طويلة دون اكتشافهم.
نتوقع في Glitch4Techs أن تشهد السنوات المقبلة تزايداً في اعتماد المجموعات التخريبية على تقنيات LOLBins (العيش على موارد النظام المشروعة) واستغلال خدمات السحاب العامة لإخفاء حركة المرور الخاصة بها. لذلك، يجب على المؤسسات الحكومية والشركات الكبرى الانتقال الفوري نحو تطبيق نموذج الأمن الصفري (Zero Trust Architecture)، وتفعيل تقنيات فك تشفير وفحص حركة المرور الصادرة (SSL/TLS Decryption)، ومراقبة سلوك التطبيقات بشكل دقيق لرصد أي نشاط غير معتاد على مستوى واجهات البرمجة APIs الحيوية.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.