تم تحديد مجموعة تهديد متقدم مستمر (APT) متطورة مدعومة من الدولة الصينية وهي تقوم بحملة تجسس إلكتروني مستهدفة ضد الكيانات العسكرية والحكومية في جميع أنحاء جنوب شرق آسيا. وفقًا لتقرير مفصل من مجموعة تحليل التهديدات (TAG) التابعة لجوجل، يقوم المهاجمون بنشر عائلتين جديدتين تمامًا من برمجيات الباب الخلفي الضارة، أطلق عليهما اسم "AppleChris" و"MemFun"، للتسلل والحفاظ على وصول مستدام للشبكات الحساسة. تؤكد الحملة، التي تستغل المواقع الإلكترونية المخترقة للتوزيع الأولي، التركيز المستمر للجهات الفاعلة الإلكترونية الصينية على جمع intelligence الاستخباراتي الاستراتيجي من المناطق المجاورة ذات الأهمية الإقليمية والجيو سياسية.
يكشف التنفيذ التقني للحملة عن درجة عالية من التطور. يتضمن ناقل العدوى الأولي مواقع إلكترونية مخترقة تتعلق بالدين والتعليم ومواضيع أخرى تبدو حميدة، والتي تُستخدم لاستضافة الحمولات الضارة. عندما يزور مستخدم مستهدف أحد هذه المواقع، يقوم إطار iframe موضع بشكل استراتيجي بإعادة توجيهه إلى خادم يتحكم فيه المهاجم يقوم بتسليم البرنامج الضار. الحمولة الأساسية، AppleChris، هي برنامج باب خلفي غني بالميزات مكتوب بلغة C++ يمنح المهاجمين سيطرة شاملة على النظام المصاب. تشمل قدراته تنفيذ أوامر shell عشوائية، وتحميل وتنزيل الملفات، وإجراء استطلاع للنظام. من أجل التخفي، يستخدم آلية استمرارية فريدة من خلال تسجيل نفسه كخدمة Windows باسم عشوائي يتم إنشاؤه ديناميكيًا، مما يجعل الاكتشاف أكثر صعوبة.
كشف التحليل الإضافي عن حمولة ثانوية أكثر تخفيًا تسمى MemFun. تم تصميم هذا البرنامج الضار ليعمل بالكامل داخل ذاكرة النظام (تنفيذ بدون ملفات)، تاركًا الحد الأدنى من الآثار الجنائية على قرص المضيف المصاب. يتم تحميل MemFun بواسطة برنامج AppleChris الخلفي ويُستخدم لنشر أدوات إضافية أو استخراج بيانات محددة. يوضح استخدام هذا النهج المعياري ذو المرحلتين - الباب الخلفي القائم على القرص المقترن بأداة متقلبة قائمة على الذاكرة - التزام المشغلين بأمن العمليات وقدرتهم على التكيف مع منهجيات الكشف المتطورة. ربط الباحثون البنية التحتية والتكتيكات والتقنيات والإجراءات (TTPs) التي لوحظت في هذه الحملة بمجموعة APT صينية معروفة يتم تتبعها تحت أسماء مختلفة، بما في ذلك "Mustang Panda" و"Bronze President".
تمثل هذه الحملة تهديدًا واضحًا ومستمرًا للأمن الوطني داخل جنوب شرق آسيا. إن استهداف المنظمات العسكرية يتماشى مع أهداف جمع intelligence الاستخباراتي طويلة الأمد المتعلقة بالنزاعات الإقليمية وقدرات الدفاع والتخطيط الاستراتيجي. بالنسبة لمنظمات الدفاع والوكالات الحكومية، يعد هذا الحادث تذكيرًا حاسمًا بضرورة وجود تجزئة قوية للشبكة، وقوائم السماح بالتطبيقات، وحلول متطورة لاكتشاف نقطة النهاية والاستجابة (EDR) قادرة على تحديد الهجمات بدون ملفات وفي الذاكرة. يظل التدريب المستمر للموظفين على التعرف على التصيد وتجنب زيارة المواقع غير الموثوقة طبقة دفاعية أساسية ضد محاولات الوصول الأولي المهندسة اجتماعيًا مثل هذه.
