كشف باحثو الأمن السيبراني عن حملة تجسس إلكتروني متقدمة تقودها مجموعة مرتبطة بالصين تُعرف باسم Amaranth-Dragon استهدفت مؤسسات حكومية وأمنية في دول جنوب شرق آسيا طوال عام 2025 وتشمل كمبوديا وتايلاند ولاوس وإندونيسيا وسنغافورة والفلبين
الحملات كانت شديدة الدقة ومحدودة النطاق مع تركيز واضح على جمع معلومات استخباراتية طويلة المدى إذ تم توقيت الهجمات لتتزامن مع أحداث سياسية وقرارات حكومية حساسة ما زاد احتمالية تفاعل الضحايا مع الملفات الخبيثة المصممة بعناية لتبدو مرتبطة بسياقات واقعية مثل قرارات حكومية أو أحداث أمنية إقليمية
الجانب التقني الأبرز في الهجمات هو استغلال ثغرة خطيرة في برنامج WinRAR تحمل المعرف CVE-2025-8088 تسمح بتنفيذ تعليمات برمجية عشوائية عند فتح ملفات RAR معدة خصيصا وقد بدأت المجموعة في استغلال الثغرة بعد ثمانية أيام فقط من إعلانها علنا ما يعكس جاهزية تقنية عالية وسرعة في تحويل الثغرات إلى أدوات هجومية فعالة
آلية الهجوم تعتمد على إرسال ملفات RAR خبيثة غالبا عبر رسائل تصيد موجهة تحتوي على محتوى سياسي أو أمني محلي ويتم استضافة الملفات على خدمات موثوقة مثل Dropbox لتقليل الشكوك وتجاوز أنظمة الحماية التقليدية عند فتح الملف يتم تفعيل DLL خبيث باسم Amaranth Loader باستخدام تقنية DLL side-loading وهي تقنية مفضلة لدى مجموعات صينية عديدة لأنها تستغل برامج شرعية لتشغيل مكتبات ضارة دون إثارة الانتباه
بعد التنفيذ يقوم اللودر بالاتصال بخادم خارجي للحصول على مفتاح تشفير ثم تنزيل حمولة مشفرة من عنوان آخر وفكها وتنفيذها مباشرة في الذاكرة دون كتابة ملفات واضحة على القرص النهائي ما يصعب اكتشافها ويستخدم المهاجمون إطار التحكم والسيطرة Havoc مفتوح المصدر لإدارة الأجهزة المخترقة والتحكم بها عن بعد
بعض الحملات استخدمت أسلوبا مختلفا عبر نشر أرشيفات محمية بكلمة مرور تحتوي على حصان طروادة للتحكم الكامل بالجهاز يعرف باسم TGAmaranth RAT ويتواصل مع المهاجمين عبر بوت Telegram مدمج ويقدم قدرات متقدمة تشمل عرض العمليات الجارية التقاط صور الشاشة تنفيذ أوامر النظام تحميل وتنزيل الملفات ومراقبة الجهاز بالكامل
البنية التحتية للقيادة والسيطرة كانت محمية عبر Cloudflare وتم تقييد الاتصال بحيث لا يقبل الخادم إلا عناوين IP من الدولة المستهدفة فقط ما يقلل احتمالات الاكتشاف من باحثين خارج المنطقة ويعكس مستوى عاليا من التخفي والتحكم في العمليات
تشير الأدلة التقنية إلى ارتباط Amaranth-Dragon بنظام أدوات مجموعة APT41 الصينية المعروفة حيث ظهرت تشابهات في أسلوب التطوير والبنية البرمجية وأوقات التجميع وإدارة الخوادم ما يشير إلى مشاركة موارد أو تعاون مباشر بين المجموعات
في سياق مواز كشفت تقارير عن حملة أخرى تقودها مجموعة Mustang Panda الصينية استهدفت دبلوماسيين ومسؤولين حكوميين بين ديسمبر 2025 ويناير 2026 عبر ملفات ZIP تحتوي على اختصارات LNK خبيثة تقوم بتشغيل أوامر PowerShell لاستخراج حمولة PlugX المعدلة المعروفة باسم DOPLUGS باستخدام تقنيات DLL hijacking وأدوات نظام شرعية لتنفيذ الهجوم دون إثارة الشك
تعتمد هذه الهجمات على مزيج من استغلال الثغرات والوثائق المزيفة والبنية التحتية الموثوقة وتقنيات التخفي المتقدمة ما يجعلها من أكثر حملات التجسس الإلكتروني تنظيما واحترافية مع تركيز واضح على جمع المعلومات السياسية والدبلوماسية الحساسة في المنطقة.
