كشفت تقارير أمنية حديثة عن تصاعد وتيرة هجمات إلكترونية معقّدة، تقف وراءها مجموعة التجسس الصينية المعروفة باسم «باندا اللوتس» والتي وُجهت إليها أصابع الاتهام في حملة استهدفت كيانات حكومية واقتصادية في دولة لم يُفصح عن اسمها في جنوب شرق آسيا، وذلك خلال الفترة بين أغسطس 2024 وفبراير 2025.
ووفقًا لفريق Symantec Threat Hunter، فإن الأهداف شملت وزارة حكومية، وهيئة مراقبة جوية، وشركة اتصالات، بالإضافة إلى شركة إنشاءات، في ما يُعدّ واحدة من أكثر الحملات تنوعًا واستهدافًا للبنى التحتية الحيوية في المنطقة، بحسب تقرير نشره موقع «هاكرز نيوز» واطلعت عليه «العربية Business».
هجمات متقدمة وأدوات مصممة خصيصًا
بحسب ما أورده التقرير، استخدمت مجموعة «باندا اللوتس» مجموعة من الأدوات الخبيثة المتطورة، من بينها برمجيات لسرقة كلمات المرور، وأداة SSH عكسية للتحكم عن بُعد، إلى جانب أدوات تحميل برمجيات خبيثة من مصادر محلية تمويهية، مستخدمة ملفات تنفيذية تبدو شرعية تعود لشركات أمنية معروفة مثل «Bitdefender» و»تريند مايكرو».
امتداد إقليمي واستهداف منظم
لم تقتصر الحملة على دولة واحدة، حيث تم رصد هجمات أخرى استهدفت وكالة أنباء في دولة ثانية بالمنطقة، ومنظمة شحن جوي في دولة مجاورة، مما يعكس اتساع رقعة النشاط التخريبي للمجموعة.
ويُعتقد أن هذه الحملة امتداد لنشاط مستمر يعود إلى أكتوبر 2023، بحسب شركة برودكوم، في حين كشفت شركة سيسكو مؤخرًا عن استخدام المجموعة لبرمجية Sagerunex في استهداف مؤسسات حكومية وإعلامية في الفلبين، وفيتنام، وهونغ كونغ، وتايوان.
سجل طويل من الاختراقات
تُعرف مجموعة «باندا اللوتس» بنشاطها منذ عام 2009، وارتبط اسمها سابقًا بثغرات شهيرة في «مايكروسوفت أوفيس» و» ويندوز» مثل CVE-2012-0158 وCVE-2014-6332، لتوزيع أدوات تجسس مثل Elise وEmissary.
تقنيات متقدمة للتخفي والتمويه
ضمن تقنيات الهجوم الحديثة، استخدم القراصنة أداة Zrok التي تعمل بتقنية النظير إلى النظير لتوفير وصول عن بُعد، إلى جانب أداة datechanger.exe لتغيير الطوابع الزمنية للملفات، في محاولة لإرباك المحللين الرقميين والتغطية على آثار الهجوم.
سرقة متقدمة للبيانات من المتصفحات
وفيما يشير إلى تطور تقنيات الهجوم، استخدمت المجموعة أدوات مخصصة مثل ChromeKatz وCredentialKatz لاستخراج كلمات مرور وملفات تعريف الارتباط من متصفح «غوغل كروم»، ما يمنحها وصولًا واسعًا إلى حسابات ومعلومات حساسة على الإنترنت.
مع تزايد وتيرة الهجمات وتطور أدوات «باندا اللوتس» تُحذر جهات أمنية من احتمال اتساع رقعة النشاط التخريبي ليشمل مؤسسات جديدة في دول أخرى، خاصة في ظل استمرار التوترات الرقمية والجيوسياسية في المنطقة.
