کشف دو حمله مجزا از گروه‌ هکرهای چینی: نفوذ به فایروال‌ها با MarsSnake و زیرساخت‌ها با PingPull

هکرهای چینی با بکدور MarsSnake در عرض چند سال سازمانی در عربستان را هدف قرار دادند

شکارچیان تهدید از فعالیت‌های گروه هکرهای چینی به‌نام UnsolicitedBooker پرده برداشتند که با استفاده از بکدور جدیدی به‌نام MarsSnake، یک سازمان بین‌المللی در عربستان سعودی را هدف حمله‌ای چندساله قرار داده است.

شرکت امنیتی ESET، که ابتدا در مارس ۲۰۲۳ و سپس در سال ۲۰۲۴ این فعالیت‌ها را شناسایی کرد، گزارش داد که مهاجمان از ایمیل‌های فیشینگ هدفمند با بلیط‌های پرواز جعلی به‌عنوان طعمه برای نفوذ به اهداف استفاده کردند. این گروه نهادهای دولتی در آسیا، آفریقا و خاورمیانه را هدف قرار می‌دهد و از بکدورهایی مانند Chinoxy، DeedRAT، Poison Ivy و BeRAT، که در میان گروه‌های هکری چینی رایج هستند، بهره می‌برد.

تحقیقات نشان داد که UnsolicitedBooker با گروه Space Pirates و یک گروه ناشناس دیگر، که پیش‌تر از بکدور Zardoor برای حمله به یک سازمان غیرانتفاعی اسلامی در عربستان استفاده کرده بود، هم‌پوشانی دارد.

در کمپین اخیر، که در ژانویه ۲۰۲۵ شناسایی شد، ایمیلی جعلی منتسب به «خطوط هوایی سعودی» برای همان سازمان سعودی ارسال شد. این ایمیل حاوی سند Word با بلیط پرواز جعلی است که بر پایه یک PDF موجود در پلتفرم Academia (پلتفرمی برای اشتراک پژوهش‌های علمی) دستکاری شده است. اجرای سند، ماکروی VBA را فعال می‌کند که فایل اجرایی smssdrvhost.exe را به‌عنوان لودر برای بکدور MarsSnake روی سیستم می‌نویسد. این بکدور با سرور contact.decenttoy[.]top ارتباط برقرار می‌کند.

تلاش‌های مکرر این گروه برای نفوذ به سازمان موردنظر در سال‌های ۲۰۲۳، ۲۰۲۴ و ۲۰۲۵ نشان‌دهنده تمرکز شدید آن‌ها بر این هدف است.

حمله گروه هکر وابسته به چین با بکدور NanoSlate به زیرساختهای اروپا

گروه هکر وابسته به چین دیگری به‌نام PerplexedGoblin (معروف به APT31) در دسامبر ۲۰۲۴ با استفاده از بکدور جاسوسی NanoSlate به یک نهاد دولتی در اروپای مرکزی حمله کرد. همچنین، گروه DigitalRecyclers حملات خود را علیه نهادهای دولتی اتحادیه اروپا ادامه داد و از شبکه ORB (Operational Relay Box) تحت KMA VPN برای مخفی کردن ترافیک و بدافزارهای RClient، HydroRShell و GiftBox استفاده کرد.

DigitalRecyclers، که از سال ۲۰۱۸ فعال بوده و در سال ۲۰۲۱ توسط ESET شناسایی شد، احتمالا با گروه‌های Ke3chang و BackdoorDiplomacy مرتبط است و در قلمرو APT15 فعالیت می‌کند. این گروه از بدافزار RClient (نسخه‌ای از Project KMA Stealer) و بکدور HydroRShell، که از Protobuf گوگل و Mbed TLS برای ارتباطات C2 استفاده می‌کند، بهره می‌برد.

بکدورهای MarsSnake و HydroRShell امکان اجرای دستورات دلخواه و خواندن یا نوشتن فایل‌ها روی سیستم قربانی را فراهم می‌کنند و با سرور فرمان و کنترل ارتباط برقرار می‌کنند. MarsSnake منحصرا توسط UnsolicitedBooker و HydroRShell توسط DigitalRecyclers استفاده می‌شود. یک نکته‌ی جالب در پیاده‌سازی HydroRShell استفاده از Protobuf به‌عنوان زبان تعریف داده‌های ساختاریافته برای ارتباط با سرور است. در این مورد، Protobuf برای سریال‌سازی داده‌هایی به‌کار رفته که به سرور C2 ارسال می‌شوند.

منابع: