أصبحت الكيانات الحكومية البارزة في جنوب شرق آسيا هدفًا لحملة تجسس إلكترونية نفذتها جهة تهديد صينية تُعرف باسم Sharp Panda منذ أواخر العام الماضي.
تتميز عمليات الاقتحام باستخدام نسخة جديدة من إطار العمل المعياري لـ Soul ، مما يمثل خروجًا عن سلاسل هجوم المجموعة التي لوحظت في عام 2021.
وقالت شركة الأمن السيبراني الإسرائيلية Check Point ، إن الأنشطة "الطويلة الأمد" خصت تاريخياً دولاً بعينها مثل فيتنام وتايلاند وإندونيسيا. تم توثيق Sharp Panda لأول مرة من قبل الشركة في يونيو 2021 ، واصفة إياه بأنه "عملية منظمة للغاية بذلت جهدًا كبيرًا للبقاء تحت الرادار".
تم تفصيل استخدام Soul backdoor في هجمات العالم الحقيقي لأول مرة من قبل شركة Broadcom Symantec في أكتوبر 2021 فيما يتعلق بعملية تجسس غير منسوبة تستهدف قطاعات الدفاع والرعاية الصحية وتكنولوجيا المعلومات والاتصالات في جنوب شرق آسيا.
تعود أصول الزرع ، وفقًا لبحث نشرته Fortinet FortiGuard Labs في فبراير 2022 ، إلى أكتوبر 2017 ، مع رمز إعادة استخدام البرامج الضارة من Gh0st RAT والأدوات الأخرى المتاحة للجمهور.
تبدأ سلسلة الهجوم المفصلة بواسطة Check Point برسالة بريد إلكتروني تصيد احتيالي تحتوي على مستند إغراء يستفيد من أداة Royal Road Rich Text Format (RTF) لإسقاط أداة التنزيل من خلال استغلال إحدى نقاط الضعف المتعددة في محرر معادلات Microsoft.
تم تصميم أداة التنزيل ، بدورها ، لاسترداد أداة تحميل تُعرف باسم SoulSearcher من خادم القيادة والتحكم (C&C) المحدد جغرافيًا والذي لا يستجيب إلا للطلبات الناشئة من عناوين IP المقابلة للبلدان المستهدفة.
بعد ذلك ، يكون المُحمل مسؤولاً عن تنزيل ، وفك تشفير ، وتنفيذ الباب الخلفي لـ Soul ومكوناته الأخرى ، وبالتالي تمكين الخصم من جمع مجموعة واسعة من المعلومات.
قال Check Point: "وحدة Soul الرئيسية مسؤولة عن الاتصال بخادم C&C والغرض الأساسي منها هو تلقي وحدات إضافية للذاكرة وتحميلها".
"من المثير للاهتمام ، أن تكوين الباب الخلفي يحتوي على ميزة تشبه" صمت الراديو "، حيث يمكن للممثلين تحديد ساعات محددة في الأسبوع عندما لا يُسمح للباب الخلفي بالاتصال بخادم القيادة والتحكم."
النتائج هي مؤشر آخر على مشاركة الأداة السائدة بين مجموعات التهديد المستمر الصيني (APT) لتسهيل جمع المعلومات الاستخباراتية.
وقالت الشركة: "في حين أن إطار عمل الروح قيد الاستخدام منذ عام 2017 على الأقل ، فإن الجهات الفاعلة التي تقف وراءه تعمل باستمرار على تحديث وتحسين بنيتها وقدراتها".
كما أشارت إلى أن الحملة من المحتمل أن "تكون من تنظيم جهات تهديد متقدمة تدعمها الصين ، والتي لم يتم بعد استكشاف أدواتها وقدراتها وموقعها ضمن الشبكة الأوسع لأنشطة التجسس".