تحولات اخیر خاورمیانه، زمینهساز موجی بیسابقه از حملات سایبری چین به قطر شده است. گروههای هکری مرتبط با چین با بهرهبرداری از اخبار فوری درگیریها، حملاتی هدفمند را علیه کشور قطر آغاز کردهاند. این حملات با هدف نصب بدافزار PlugX و جاسوسی از بخشهای حساس نظامی و انرژی قطر صورت گرفتهاند و نشاندهنده سرعت عمل و انعطافپذیری هکرهای مرتبط با چین در واکنش به بحرانهای جهانی است.
تاکتیک هکرهای مرتبط با چین در حملات سایبری به قطر
گروههای هکری چینی، از جمله Camaro Dragon، با استفاده از تاکتیکهای فریبنده و اخبار جعلی جنگ، سیستمهای قطر را هدف قرار دادهاند. مهاجمان با ارسال فایلهایی تحت عنوان اخبار فوری خاورمیانه، سعی در نفوذ به سیستمها و نصب PlugX و Cobalt Strike دارند. این کمپین سایبری از اول مارس 2026 آغاز شده و نشان میدهد که هکرهای مرتبط با چین چگونه اخبار فوری را به سلاحی برای فریب قربانیان تبدیل میکنند.
فریب با اخبار جعلی و طعمههای دیجیتال
بر اساس گزارش Check Point Research (CPR)، هکرهای مرتبط با چین از آشفتگی ناشی از درگیریها استفاده میکنند تا طعمهها را باورپذیرتر نمایند. نمونهای از این تاکتیک، فایلی با عنوان «تخریب ناشی از حمله موشکی ایران به پایگاه آمریکا در بحرین» است. این روش به مهاجمان کمک میکند تا کاربران در بحرانها بدون شک کلیک کنند و بدافزار را اجرا نمایند.
زنجیره نفوذ پیچیده و بدافزار PlugX
تحقیقات CPR نشان میدهد که پس از باز شدن فایل، زنجیره نفوذ پیچیدهای آغاز میشود. ابتدا بدافزار با یک سرور هکشده ارتباط برقرار میکند، سپس با DLL hijacking در برنامهای معتبر مانندBaidu NetDisk مخفی شده و PlugX را اجرا میکند. این بدافزار امکان سرقت فایلها، ثبت کیلاگها و ضبط تصاویر صفحه نمایش را فراهم میکند.
گروهCamaro Dragon از کلید رمزگشایی 20260301@@@ استفاده کرده است؛ روشی که پیشتر برای هدف قرار دادن ارتش ترکیه به کار گرفته شده و نشاندهنده تمرکز سریع این هکرها بر قطر است.
هدف قرار دادن صنایع انرژی قطر و ترفند NVDA
این کمپین سایبری تنها به اهداف نظامی محدود نشده است؛ مهاجمان با استفاده از فایلی با رمز عبور Strike at Gulf oil and gas facilities.zip (حمله به تأسیسات نفت و گاز خلیج فارس)، صنایع حیاتی نفت و گاز قطر را نیز هدف قرار دادهاند. این حمله از محتوای کمکیفیت و تولید شده با هوش مصنوعی استفاده کرده که ظاهراً از سوی دولت اسرائیل منتشر شده و یک برنامه لودر (Loader) جدید نوشته شده به زبان Rust را توزیع میکند.
نکته جالب توجه: مهاجمان کد مخرب را در یکی از کامپوننتهای NVDA، نرمافزار متنباز قانونی صفحهخوان (screen reader) برای نابینایان، مخفی کردهاند. آنها با ربودن ابزارهای مورد اعتماد، شناسایی توسط نرمافزارهای امنیتی را دشوار کرده و در نهایت Cobalt Strike را نصب میکنند تا شبکه را نقشهبرداری کرده و نفوذ کامل انجام دهند.
انعطافپذیری و سرعت عمل هکرهای مرتبط با چین
تحقیقات نشان میدهد که این نفوذها نمونهای از سرعت عمل هکرهای مرتبط با چین در واکنش به بحرانهای جهانی است. مهاجمان با همگام شدن با اخبار فوری و جریانهای بحرانی سعی دارند بدون جلب توجه، اطلاعات حساس کشور قطر را جمعآوری کنند.
فعالیت سایر گروهها در خاورمیانه
هکرهای مرتبط با چین تنها گروه فعال نیستند. گروههای ایرانی مانند MuddyWater نیز اخیراً با بدافزار DinDoor سازمانهای آمریکا و اسرائیل را هدف قرار دادهاند.
