باك دور TinyRCT جديد يستهدف البنية التحتية الحيوية بجنوب شرق آسيا

مقدمة تحليلية

كشفت أبحاث Palo Alto Networks Unit 42 عن حملة تجسس إلكتروني مكثفة تقف وراءها مجموعة تهديد متطورة (APT) ناطقة بالصينية تُعرف باسم CL-STA-1062. تستهدف هذه الحملة كيانات حكومية ومؤسسات البنية التحتية الحيوية في منطقة جنوب شرق آسيا، وتستغل باك دور مخصصًا حديثًا وغير موثق سابقًا يُدعى TinyRCT. رُصد النشاط منذ منتصف عام 2025 على الأقل، مع اختراقات مؤكدة لأكثر من 10 منظمات بين أكتوبر وديسمبر 2025، مما يسلط الضوء على استمرار التهديد وخطورته الاستراتيجية على الأمن الإقليمي. تُظهر هذه المجموعة تطورًا في تكتيكاتها، حيث تجمع بين أدوات مفتوحة المصدر متاحة على نطاق واسع وبين برمجيات خبيثة مخصصة مصممة خصيصًا لأهدافها. إن الكشف عن TinyRCT يمثل تطورًا هامًا في فهمنا لقدرات CL-STA-1062، ويثير تساؤلات جدية حول مدى تأثر القطاعات الحيوية في المنطقة وقدرتها على صد مثل هذه الهجمات المعقدة والمتواصلة التي تهدف إلى التجسس وسرقة البيانات الحساسة.

التحليل التقني

تعتمد مجموعة CL-STA-1062 على ترسانة هجينة من الأدوات، تشمل أدوات مفتوحة المصدر شائعة وبرمجيات خبيثة متطورة خاصة بها. يُعد TinyRCT، الذي يُطلق عليه أيضًا "PerfWatson2.exe"، بمثابة حصان طروادة خفيف للوصول عن بُعد (RAT) تم تطويره بلغة .NET، وهو مصمم خصيصًا لتجنب بيئات الـ sandboxing المعزولة. تشمل قدراته الأساسية ما يلي:

• تنفيذ الأوامر العشوائية على الجهاز المخترق.
• تعداد الملفات والمجلدات وجمعها تمهيداً لسرقتها (exfiltration).
• التقاط لقطات شاشة (screenshots) لنشاط المستخدم.
• قدرة على مسح آثاره وحذف نفسه من المضيف لزيادة صعوبة التحليل الجنائي.
• إنشاء قناة اتصال دائمة ومستمرة مع خادم القيادة والتحكم (C2) على العنوان 45.32.113[.]172 عبر بروتوكول HTTP.
• تشفير البيانات المتبادلة بين الباك دور وخادم C2 باستخدام خوارزمية AES-128 في وضع CBC.
• يعمل الباك دور بنموذج "التوجيه" (beaconing model)، حيث يستعلم عن التعليمات من خادم C2 باستخدام طلبات GET بفواصل زمنية افتراضية تبلغ 10 ثوانٍ، ويرسل البيانات المسروقة عبر طلبات POST.

تتم عملية تسليم TinyRCT عادةً من خلال أرشيف خبيث يُسمى "chrome_setup.zip". يحتوي هذا الأرشيف على ملف تنفيذي شرعي ("chrome_setup.exe")، ملف تكوين ("chrome_setup.exe.config")، ومكتبة DLL ضارة ("MyAppDomainManager.dll"). يتم استغلال تقنية AppDomainManager injection لتحميل مكتبة DLL الضارة، والتي تعمل كـ downloader تتصل بالعنوان 139.180.134[.]221 لجلب ملف "PerfWatson2.exe" وتشغيله. إلى جانب TinyRCT، تستخدم المجموعة أدوات مثل SoftEther VPN، Mimikatz، وVNT (VPN)، بالإضافة إلى Yuze (وكيل SOCKS5)، وغالبًا ما يتم إخفاؤها بأسماء ملفات تنفيذية لبرامج شرعية مثل "vmtools.exe" أو "XDRAgent.exe".

السياق وتأثير السوق

تُظهر مجموعة CL-STA-1062 نمطًا من العمليات المستمرة وذات الأهداف الاستراتيجية في منطقة آسيا منذ مارس 2022، مع تركيز متزايد على جنوب شرق آسيا منذ منتصف عام 2025. تُشير تحليلات Unit 42 إلى وجود تداخلات بين CL-STA-1062 ومجموعة UAT-7237، وهي مجموعة قرصنة أشار إليها Cisco Talos لأول مرة في أغسطس 2025 لاستهدافها كيانات البنية التحتية للويب في تايوان. هذا التداخل يلمح إلى احتمال وجود روابط بين هذه المجموعات أو تبادل للأدوات والتقنيات، مما يعزز فكرة أن التهديدات المدعومة من الدول غالبًا ما تعمل ضمن شبكة أوسع من الجهات الفاعلة. تُركز الحملات بشكل خاص على المؤسسات الحكومية والشركات المملوكة للدولة في قطاعي الطاقة والحكومة. في إحدى الحملات التي رُصدت في سبتمبر 2025، تمكنت المجموعة من اختراق كيان حكومي في جنوب شرق آسيا ونشر web shell لسرقة البيانات من خادم MS SQL. كما قامت بعمليات استطلاع للشبكة في كيان حكومي آخر في نفس البلد، مما يشير إلى جهود لتحديد فرص الحركة الجانبية وتوسيع نطاق الوصول. يؤكد استهداف البنية التحتية الحيوية على الطبيعة التجسسية لهذه الهجمات، والتي قد تهدف إلى جمع معلومات استخباراتية حساسة أو تعطيل الخدمات الأساسية، مما يترك أثرًا كبيرًا على الأمن القومي والاستقرار الاقتصادي في المنطقة.

رؤية Glitch4Techs

من منظور Glitch4Techs، تُظهر حملة CL-STA-1062 باستخدام TinyRCT تطورًا مقلقًا في أساليب مجموعات التهديد المتقدمة المدعومة من الدول. إن القدرة على الجمع بين الأدوات مفتوحة المصدر المتاحة على نطاق واسع مع تطوير برمجيات خبيثة مخصصة مثل TinyRCT توفر للمهاجمين مرونة كبيرة، وتجعل عمليات الكشف والاستجابة أكثر صعوبة. فبينما يمكن للمؤسسات رصد الأدوات الشائعة، فإن الأدوات المخصصة التي تتجنب الـ sandboxing وتُخفي نفسها بعناية تمثل تحديًا أكبر. تثير هذه الحملة مخاوف أمنية عميقة، خاصة وأنها تستهدف البنية التحتية الحيوية في منطقة جنوب شرق آسيا. إن التبعات المحتملة لاختراق قطاعات الطاقة والحكومة يمكن أن تتراوح من سرقة أسرار الدولة إلى تعطيل الخدمات العامة، مما يؤثر على الملايين. يجب على المنظمات في المنطقة تعزيز دفاعاتها بشكل كبير، والتركيز على الأمن متعدد الطبقات، وتطبيق بروتوكولات الكشف المتقدمة عن التهديدات، وتدريب الموظفين على التعرف على تقنيات الهندسة الاجتماعية التي غالبًا ما تُستخدم في المراحل الأولية لهذه الهجمات. نتوقع أن تستمر مجموعات APT في تطوير أدواتها وابتكار طرق جديدة للتسلل، مما يستدعي يقظة مستمرة واستثمارًا أعمق في الأمن السيبراني الوقائي والاستباقي.