عملیات سایبری Paperclip؛ شناسایی بیش از 45 هزار حمله و 5300 بکدور در کمپین منتسب به چین

عملیات سایبری Paperclip یکی از بزرگ‌ترین کمپین‌های جرایم سایبری شناسایی‌شده در سال‌های اخیر است که طبق تحقیقات تیم SOCRadar به عوامل تهدید سایبری منتسب به چین نسبت داده می‌شود. بررسی‌ها نشان می‌دهد عملیات سایبری Paperclip با تکیه بر زیرساختی کاملاً خودکار و یک سیستم مبتنی بر agent به نام OpenClaw، امکان اجرای حملات گسترده و مقیاس‌پذیر علیه سازمان‌ها در سراسر جهان را فراهم کرده است.

طبق داده‌های منتشرشده، در چارچوب این کمپین بیش از 45 هزار تلاش برای نفوذ ثبت شده و هزاران بکدور روی سیستم‌های قربانیان نصب شده است؛ موضوعی که نشان می‌دهد جرایم سایبری در حال حرکت به سمت مدل‌های صنعتی و کاملاً خودکار هستند.

عملیات سایبری Paperclip چگونه حملات جهانی را مدیریت می‌کند؟

در مرکز این زیرساخت، یک بک‌اند متمرکز قرار دارد که کل چرخه عملیات را به‌صورت مرحله‌ای مدیریت می‌کند. ساختار این فرآیند شباهت زیادی به یک خط تولید سازمان‌یافته دارد و شامل مراحل زیر است:

·        برنامه‌ریزی

·        بررسی اهداف

·        اجرای عملیات

·        شناسایی

·        اسکن آسیب‌پذیری‌ها

·        اعتبارسنجی نفوذ

·        گزارش داده‌های سرقت‌شده

در این مدل، سیستم OpenClaw به‌عنوان موتور اجرای وظایف عمل کرده و agentهای خودکار را برای اجرای هر مرحله از حمله به کار می‌گیرد. این معماری باعث شده حملات در مقیاس بسیار گسترده و با حداقل دخالت انسانی اجرا شوند.

شناسایی سطح حمله خارجی در عملیات سایبری Paperclip

یکی از مراحل کلیدی در این عملیات شناسایی سطح حمله خارجی (External Attack Surface) سازمان‌ها است. مهاجمان برای این کار از موتورهای نقشه‌برداری اینترنتی مانند FOFA و 360Quake استفاده می‌کنند.

این موتورهای جستجوی امنیتی به مهاجمان اجازه می‌دهند سرویس‌ها، سرورها و سیستم‌های در معرض اینترنت را شناسایی کنند. اهداف اصلی شامل موارد زیر بوده‌اند:

·        شرکت‌های فین‌تک

·        پلتفرم‌های Web3

·        شرکت‌های امنیت سایبری

مهاجمان برای دور زدن محدودیت‌های API در FOFA، بیش از 136 حساب کاربری ایجاد کرده‌اند که اغلب با الگوی ایمیل fofa@deltajohnsons.com ساخته شده‌اند. این روش امکان اسکن مداوم هزاران هدف را فراهم کرده است.