كشف باحثون أمنيون عن حملة تجسس إلكتروني متطورة ومستمرة، يُعتقد أن جهات فاعلة ترعاها الدولة الصينية تقف خلفها، كانت تعمل داخل شبكات العديد من المنظمات العسكرية والحكومية في جنوب شرق آسيا لما يقرب من عقد من الزمان. أوضحت التفاصيل التي نشرها باحثو "سنتينل لابز" التابعين لشركة "سنتينل ون" أن هذه العملية تتمتع بدرجة عالية من الأمن التشغيلي والتطور التقني. تستهدف الجهة الفاعلة، التي تُتعقب تحت اسم "ستيتلي توروس" (وتتداخل مع مجموعات معروفة باسم "كامارو دراجون" أو "إيرث لوسكا")، كيانات عالية القيمة مرتبطة بسيادة بحرية ونزاعات إقليمية في بحر الصين الجنوبي. هدفها الأساسي هو الاستخراج الخفي طويل الأمد للمعلومات الاستخباراتية الجيوسياسية الحساسة.
يتم تحقيق استمرارية الحملة من خلال مجموعة أدوات تتطور باستمرار، تدمج بين برمجيات خبيثة مخصصة وغير مسبوقة وإصدارات مطورة من أدوات معروفة. من الاكتشافات الرئيسية باب خلفي لم يُوثق سابقاً يُدعى "سبايني ريجريسور"، وهو زرعة متطورة مكتوبة بلغة C++ يتم نشرها كقيمة في سجل ويندوز للحفاظ على الاستمرارية. يتواصل مع خوادم التحكم والأمر باستخدام مقابس TCP مشفرة ويستخدم طريقة تنفيذ فريدة "بدون ملف" تترك الحد الأدنى من الآثار الجنائية. إلى جانب هذه الأداة الجديدة، تواصل المجموعة استخدام متغيرات محدثة من الأبواب الخلفية المعروفة مثل "وين ديلر" و"داون بيبر"، مما يظهر التزاماً بالابتكار وإعادة الاستخدام الموثوق للشفرة الفعالة.
التملص والأمن التشغيلي هما سمتان مميزتان لهذه الحملة. يحرف الجهات الفاعلة بعناية الطعوم التصيدية لتناسب أهدافهم، باستخدام مستندات تتعلق بتمارين بحرية إقليمية وشراكات عسكرية ومؤتمرات جيوسياسية. كما يستفيدون من شهادات توقيع الشفرة المسروقة لتوقيع برامجهم الضارة، مما يمنحها هالة من الشرعية لتجاوز برامج الأمان. تتم إدارة البنية التحتية بعناية، حيث يتم تسجيل النطاقات غالباً قبل سنوات من استخدامها في الهجمات، مما يسمح لها بالاندماج مع حركة المرور المشروعة. هذا النهج "البطيء والمنخفض"، الذي يتجنب الهجمات المدمرة، هو نهج كلاسيكي لمجموعات التهديد المستمر المتقدم (APT) التي تركز على التجسس.
تداعيات هذا الاكتشاف كبيرة على الأمن السيبراني الإقليمي والعالمي. فهو يؤكد الطبيعة التي لا هوادة فيها للتجسس الإلكتروني المرتبط بالدول، حيث تُقاس الحملات ليس بالأيام أو الأشهر، بل بالسنوات والعقود. يستهدف الحملة بشكل مباشر المصالح الجيوسياسية الاستراتيجية للصين في بحر الصين الجنوبي، مما يسلط الضوء على كيفية كون العمليات السيبرانية مكوناً أساسياً في الدبلوماسية الحديثة وجمع المعلومات الاستخباراتية. بالنسبة للمنظمات الدفاعية عالمياً، يعد هذا تذكيراً صارخاً بأن مدافعي الشبكات يجب أن يفترضوا وجود خصم طويل الأمد بالفعل، مما يستلزم الصيد المستمر للتهديدات، والتقسيم القوي للشبكة، والتركيز على اكتشاف الاستخراج الخفي والمنخفض الحجم للبيانات وليس فقط منع الاختراق الأولي.
