عملیات جاسوسی سایبری بین‌المللی؛ ده‌ها سازمان حیاتی در ۳۷ کشور هدف قرار گرفتند

به گزارش بخش اقتصاد وبانگاه بر اساس داده‌های منتشرشده در ایسنا، واحد تحقیقاتی Unit 42 شرکت پالو آلتو نتورکس از فعالیت یک گروه تهدید سایبری وابسته به دولت خبر داد که عملیاتی با عنوان «Shadow Campaigns» را اجرا کرده است. این گروه از ژانویه ۲۰۲۴ فعال بوده و شواهد متعددی منشأ آسیایی فعالیت آن را تأیید می‌کند. محققان این عامل تهدید را تا زمان شناسایی قطعی با شناسه TGR-STA-1030 و UNC6619 دنبال می‌کنند.

این عملیات جاسوسی گسترده، وزارتخانه‌های دولتی، نیروهای انتظامی، نهادهای کنترل مرزی، بخش‌های مالی و تجاری، انرژی، معدن، امور مهاجرت و سازمان‌های دیپلماتیک را هدف قرار داده است. بررسی‌ها نشان می‌دهد که حملات موفقیت‌آمیز، حداقل ۷۰ سازمان دولتی و زیرساخت حیاتی در ۳۷ کشور را آلوده کرده است. این نفوذها شامل سازمان‌های مرتبط با سیاست‌های تجاری و مسائل ژئوپلیتیکی در قاره آمریکا، پارلمان‌ها و وزارتخانه‌های اروپایی، وزارت خزانه‌داری استرالیا و نهادهای دولتی در تایوان بوده است.

زمان‌بندی این حملات با رویدادهای سیاسی ارتباط معناداری داشته است. به عنوان مثال، در طول تعطیلی دولت آمریکا در اکتبر ۲۰۲۵، گروه مذکور تمرکز ویژه‌ای بر اسکن زیرساخت‌های آمریکای شمالی، مرکزی و جنوبی نشان داد. همچنین، حدود یک ماه پیش از انتخابات ملی هندوراس، شناسایی گسترده‌ای علیه دست‌کم ۲۰۰ آدرس اینترنتی مرتبط با زیرساخت‌های دولتی این کشور صورت گرفت.

این گروه موفق شده است به نهادهای متعددی در مناطق مختلف دسترسی پیدا کند. از جمله، وزارت معادن و انرژی برزیل، یک نهاد معدنی در بولیوی، دو وزارتخانه در مکزیک، زیرساخت‌های پاناما، سیستمی فناوری در ونزوئلا، نهادهای دولتی در قبرس، چک، آلمان، یونان، ایتالیا، لهستان، پرتغال و صربستان، یک شرکت هواپیمایی در اندونزی، چندین اداره در مالزی، نهاد انتظامی مغولستان، تأمین‌کننده تجهیزات برق تایوان، یک اداره دولتی در تایلند و زیرساخت‌های حیاتی در چند کشور آفریقایی مورد نفوذ قرار گرفتند. همچنین تلاش‌هایی برای برقراری ارتباط با وزارت خزانه‌داری استرالیا، وزارت دارایی افغانستان و دفتر نخست‌وزیری نپال مشاهده شده است.

تحقیقات نشان می‌دهد این گروه همچنین زیرساخت‌های جمهوری چک شامل ارتش، پلیس، پارلمان و چندین وزارتخانه را اسکن کرده و تلاش‌هایی نیز برای نفوذ به اتحادیه اروپا از طریق هدف قرار دادن بیش از ۶۰۰ آدرس مرتبط با دامنه europa.eu صورت گرفته است. در ژوئیه ۲۰۲۵، تمرکز ویژه‌ای روی آلمان و صدها آدرس اینترنتی دولتی این کشور وجود داشت.

روش اصلی نفوذ، ارسال ایمیل‌های فیشینگ بسیار هدفمند به مقامات دولتی بود که حاوی لینک به فایل‌های فشرده آلوده در سرویس مگا بود. این فایل‌ها شامل بارگذار بدافزار «Diaoyu» و یک فایل تصویری خالی بودند. این بارگذار پس از بررسی صحت محیط اجرا (تأیید وجود فایل تصویری)، ابزارهای پیشرفته‌ای نظیر Cobalt Strike و چارچوب کنترل از راه دور VShell را دریافت و اجرا می‌کرد.

علاوه بر فیشینگ، مهاجمان از دست‌کم ۱۵ آسیب‌پذیری شناخته‌شده در نرم‌افزارهایی چون SAP Solution Manager، سرور مایکروسافت اکسچنج، تجهیزات شبکه دی‌لینک و سیستم‌عامل ویندوز برای دسترسی اولیه بهره‌برداری کردند. همچنین، محققان به روت‌کیت جدید لینوکسی به نام ShadowGuard برخورد کردند که مبتنی بر فناوری eBPF است و احتمالاً منحصراً برای این گروه طراحی شده است. این روت‌کیت سطح هسته سیستم‌عامل عمل کرده و قادر است پردازش‌های مخرب، شناسه‌های پردازشی و فایل‌ها را از دید ابزارهای نظارتی پنهان سازد.

زیرساخت عملیاتی این گروه شامل سرورهای مورد استفاده از خدمات وی‌پی‌اس قانونی در آمریکا، سنگاپور و بریتانیا، سرورهای واسطه، پروکسی‌های خانگی و شبکه تور برای پنهان‌سازی مسیر ارتباطات است. این عامل تهدید از دامنه‌هایی با شباهت ظاهری به دامنه‌های رسمی کشورها نیز استفاده کرده تا کاربران را فریب دهد.