یک گروه تهدید دولتی، شبکههای دهها نهاد دولتی و زیرساختهای حیاتی در 37 کشور را در عملیاتی جهانی موسوم به «کمپینهایShadow » هدف قرار داده است.
همچنین، این گروه بین نوامبر و دسامبر سال 2025، فعالیتهای شناسایی گستردهای را علیه نهادهای دولتی مرتبط با 155 کشور انجام داده است.
بر اساس گزارش بخش Unit 42 شرکت Palo Alto Networks، این گروه از ژانویه 2024 فعالیت میکند و شواهد حاکی از آن است که از آسیا هدایت میشود. تا زمان تایید دقیق، پژوهشگران این گروه را با نام TGR-STA-1030/UNC6619 ردیابی میکنند.
تمرکز اصلی کمپینهایShadow روی وزارتخانههای دولتی، نیروی انتظامی، مرزبانی، امور مالی، تجارت، انرژی، معادن، مهاجرت و نهادهای دیپلماتیک بوده است.
هدفها و نهادهای مورد حمله
مطابق با تایید پژوهشگران Unit 42، حداقل 70 سازمان دولتی و زیرساخت حیاتی در 37 کشور مورد نفوذ قرار گرفتهاند که شامل:
- وزارت معادن و انرژی برزیل
- شبکهای مرتبط با معادن بولیوی
- دو وزارتخانه در مکزیک
- زیرساخت دولتی در پاناما
- یک آدرس IP مرتبط با Venezolana de Industria Tecnológica
- نهادهای دولتی در قبرس، جمهوری چک، آلمان، یونان، ایتالیا، لهستان، پرتغال و صربستان
- یک شرکت هواپیمایی اندونزی
- چندین وزارتخانه و دپارتمان دولتی مالزی
- نهاد نیروی انتظامی مغولستان
- یک تامینکننده بزرگ در صنعت تجهیزات برق تایوان
- یک وزارتخانه در تایلند (اقتصادی و تجارت بینالملل)
- زیرساختهای حیاتی در جمهوری دموکراتیک کنگو، جیبوتی، اتیوپی، نامیبیا، نیجر، نیجریه و زامبیا
همچنین شواهدی از تلاش برای اتصال SSH به زیرساخت وزارت خزانهداری استرالیا، وزارت مالی افغانستان و دفتر نخستوزیر نپال مشاهده شده است.
فعالیتهای شناسایی و زمانبندی حملات
تحلیلها نشان میدهد که در زمان تعطیلی دولت آمریکا در اکتبر 2025، گروه مورد نظر علاقه بیشتری به شناسایی نهادهای آمریکای شمالی، مرکزی و جنوبی از جمله برزیل، کانادا، جمهوری دومینیکن، گواتمالا، هندوراس، جامائیکا، مکزیک، پاناما و ترینیداد و توباگو نشان داده است.
علاوه بر این، حداقل 200 آدرس IP مرتبط با زیرساخت دولت هندوراس تنها 30 روز پیش از انتخابات ملی مورد شناسایی قرار گرفتهاند؛ زمانبندی حمله مرتبط با موضع نامزدها در مورد روابط دیپلماتیک با تایوان بوده است.
زنجیره حمله Shadow Campaigns
- عملیات اولیه شامل ایمیلهای فیشینگ بسیار هدفمند به مقامات دولتی معمولاً با موضوع بازسازی داخلی وزارتخانهها بوده است.
- ایمیلها شامل لینک به فایلهای فشرده مخرب روی nz بودند.
- فایلهای فشرده شامل لودر Diaoyu و یک فایل PNG صفر بایت به نام png بودند.
لودر Diaoyu وظیفه دانلود payloadهای Cobalt Strike و VShell C2 را بر اساس شرایط خاص برای فرار از تحلیل دارد.
برای جلوگیری از شناسایی، لودر فرآیندهای مرتبط با محصولات امنیتی مانند Kaspersky، Avira، Bitdefender، Sentinel One و Norton را بررسی میکند.
علاوه بر فیشینگ، گروه تهدید حداقل از 15 آسیبپذیری شناختهشده از جمله در SAP Solution Manager، Microsoft Exchange Server، D-Link و Microsoft Windows، برای دستیابی به دسترسی اولیه استفاده کرده است.
ابزارها و زیرساخت مورد استفاده در Shadow Campaigns
مهاجمان در عملیات کمپینهای Shadow از مجموعهای پیشرفته از ابزارهای نفوذ و پنهانسازی استفاده کردهاند. این ابزارها شامل وبشلهای شناختهشدهای مانند Behinder، Godzilla و Neo‑reGeorg هستند که امکان دسترسی پایدار به سرورهای آلوده را فراهم میکنند.
همچنین، ابزارهای تونلسازی شبکه مانند GOST، FRPS و IOX برای عبور از محدودیتهای شبکه و مخفیسازی ترافیک بهکار گرفته شدهاند.
در کنار این ابزارها، محققان یک Rootkit اختصاصی لینوکس مبتنی بر eBPF با نام ShadowGuard را شناسایی کردهاند؛ بدافزاری بسیار پیشرفته که بهطور مستقیم در سطح کرنل لینوکس فعالیت میکند و تشخیص آن را برای راهکارهای امنیتی بسیار دشوار میسازد.
قابلیتهای کلیدی Rootkit ShadowGuard شامل موارد زیر است:
- مخفیسازی فعالیتهای مخرب در کرنل لینوکس و پنهان کردن حداکثر 32 شناسه فرآیند (PID) از ابزارهای مانیتورینگ استاندارد
- پنهانسازی فایلها و دایرکتوریهای خاص مانند مسیر swsecret بهمنظور جلوگیری از شناسایی دستی
- امکان تعریف فرآیندهای مجاز برای مشاهده توسط اپراتور، بهطوری که تنها فعالیتهای دلخواه مهاجم قابل رؤیت باشند.
این Rootkit با دستکاری مستقیم توابع اصلی سیستمعامل و لاگهای سیستمی، دادهها را پیش از رسیدن به ابزارهای امنیتی یا سیستمهای مانیتورینگ تغییر میدهد؛ موضوعی که ShadowGuard را به یکی از خطرناکترین نمونههای Rootkit لینوکسی در حملات هدفمند تبدیل میکند.
از نظر زیرساخت، عملیات کمپینهای Shadow متکی بر سرورهای VPS قانونی در کشورهای ایالات متحده، سنگاپور و انگلستان است. این سرورها در کنار سرورهای واسطه (Relay Servers) و استفاده از پروکسیهای Residential و شبکه Tor، نقش کلیدی در مخفیسازی منبع حمله و ناشناسسازی ارتباطات فرماندهی و کنترل (C2) ایفا میکنند.
جمعبندی تحلیلی
گروه TGR-STA-1030/UNC6619 یک عامل جاسوسی با بلوغ عملیاتی بالا است که تمرکز بر اطلاعات استراتژیک، اقتصادی و سیاسی دارد و تاکنون دهها دولت را تحت تاثیر قرار داده است.
بخش Unit 42 فهرستی از شاخصهای نفوذ (IoCs) ارائه کرده است تا مدافعان بتوانند این حملات را شناسایی و مسدود کنند.
