🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
استخبارات الخصم
7
mins read

اضطرابات موجزة ومطالبات جريئة: الواقع التكتيكي وراء الطفرة في الهاكتيفيست بين الهند وباكستان

في مايو 2025، ادعت العديد من مجموعات القرصنة المرتبطة بباكستان أكثر من 100 هجوم إلكتروني على مواقع الحكومة الهندية والتعليم والبنية التحتية الحيوية. لكن تحقيق CloudSek يكشف أن معظم هذه الانتهاكات كانت مبالغ فيها أو مزيفة - بدءًا من تسرب البيانات المعاد تدويرها إلى عمليات التشويه التي لم تترك أي تأثير حقيقي. في حين أن هجمات DDoS بالكاد تسببت في بضع دقائق من الاضطراب، إلا أن التهديد الحقيقي جاء من APT36، التي استخدمت برامج Crimson RAT الضارة لاستهداف شبكات الدفاع الهندية بعد هجوم Pahalgam الإرهابي. يفصل هذا التقرير الحقيقة عن الخيال - ويكشف عن الضجيج والتكتيكات والمخاطر الحقيقية وراء الصراع السيبراني بين الهند وباكستان. اقرأ التحليل الكامل لمعرفة ما حدث بالفعل.

باجيلا مانوهار ريدي
May 11, 2025
Green Alert
Last Update posted on
August 21, 2025
ضمان الإدارة الاستباقية لمخاطر العلامة التجارية من خلال مراقبة مناقشات وسائل التواصل الاجتماعي.

ابق في صدارة الأشرار وقم بحماية سمعة علامتك التجارية من خلال وحدة مناقشات الوسائط الاجتماعية في CloudSek xviGil

Schedule a Demo
Table of Contents
Author(s)
No items found.

ملخص تنفيذي

أثارت حملات القرصنة الأخيرة التي تستهدف البنية التحتية الرقمية الهندية عناوين مثيرة للقلق، لكن التحقيق يكشف أن معظم الادعاءات مبالغ فيها بشكل كبير. على الرغم من أن مجموعات الهاكرز الرئيسية ادعت بشكل جماعي أكثر من 100 انتهاك ناجح للمواقع الحكومية والمؤسسات التعليمية والبنية التحتية الحيوية في مايو 2025، يُظهر التحليل الحد الأدنى من التأثير الفعلي - مع تسرب البيانات المزعوم الذي يحتوي في المقام الأول على معلومات عامة، وتشويه مواقع الويب دون ترك بصمة رقمية، وهجمات DDoS المفترضة ضد أهداف بارزة مثل مكتب رئيس الوزراء تسبب اضطرابًا ضئيلًا. وفي الوقت نفسه، لا تزال مجموعة التجسس APT36 الأكثر تعقيدًا تشكل تهديدًا حقيقيًا من خلال حملات البرامج الضارة Crimson RAT المستهدفة التي تستغل هجوم Pahalgam الإرهابي في أبريل 2025 للتسلل إلى شبكات الحكومة والدفاع.

أفضل 5 مجموعات هاكتيفيست

  1. أمة المنقذين [مناقشة]: 32 هجومًا تمت المطالبة به
    • تنشر هذه المجموعة شبكة واسعة، حيث تعلن مسؤوليتها عن الاضطرابات والهجمات ضد العديد من بوابات الحكومة الهندية (بما في ذلك المستويات المركزية والولائية) والمؤسسات المالية والهيئات التعليمية.
    • ومن بين ادعاءاتهم البارزة الهجمات المزعومة ضد CBI ولجنة الانتخابات في الهند (ECI) والبوابة الوطنية للهند.
  2. كال إيجي 319: 31 هجمة مزعومة
    • ركزت المجموعة في الغالب جهودها على القطاعات التعليمية والطبية في الهند.
    • ادعت KAL EGY 319 حملة تشويه واسعة النطاق، زاعمة أن ما يقرب من 40 موقعًا هنديًا، تنتمي أساسًا إلى الكليات والجامعات والمؤسسات التابعة للرعاية الصحية، قد تم اختراقها.
  3. سيلهيت جانج-إس جي 🏴: 19 هجومًا تمت المطالبة به
    • استهدف هذا الكيان مزيجًا من بوابات الحكومة الهندية والمؤسسات التعليمية ووسائل الإعلام الإخبارية.
    • وشملت المطالبات الهامة خرقًا مزعومًا للبيانات لنظام محكمة أندرا براديش العليا والمركز الوطني للمعلوماتية (NIC).
  4. القوات الخاصة للجيش الإلكتروني والشركات التابعة لها: 18 هجمة تمت المطالبة بها
    • ركزت هذه المجموعة بشكل كبير على المحاكم الهندية ومختلف مواقع الحكومة المركزية وحكومات الولايات والخدمات العامة الرقمية.
    • ظهرت مواقع الويب القضائية، بما في ذلك المحاكم المحلية والعليا، إلى جانب بوابات إنفاذ القانون، بشكل بارز في قائمة الأهداف المزعومة.
  5. نسر: 16 هجومًا تمت المطالبة به
    • كانت مواقع الحكومة الهندية والمؤسسات التعليمية هي المحور الرئيسي للأنشطة المزعومة لهذه المجموعة.
    • وشملت الادعاءات هجمات على بوابة الشرطة الرقمية، والموقع الرسمي لرئيس الهند، وموقع مكتب رئيس الوزراء (PMO). تم ذكر Vulture بشكل متكرر في مطالبات العمليات المشتركة، مما يشير إلى التعاون مع كيانات القرصنة الأخرى.

ملاحظة: تستخدم العديد من مجموعات الهاكتيفيست أدوات ذات تأثير محدود، وغالبًا ما تتسبب في انقطاعات قصيرة تتراوح مدتها من 5 إلى 10 دقائق وتبالغ في استخدام لقطات الشاشة. لم تتطور هذه التكتيكات منذ أكثر من عامين. في حين أن المراقبة مهمة، فإن النظافة الأساسية ضد DDoS عادة ما تكون كافية للتخفيف من مثل هذه التهديدات منخفضة المستوى وتقليل ظهورها.

أهم الصناعات المستهدفة

كانت الكيانات الحكومية في الهند هي الأهداف الرئيسية للهجمات الإلكترونية، حيث تم الإبلاغ عن انتهاكات بارزة عبر بوابات الحكومة المركزية مثل وزارة الدفاع ووزارة الشؤون الخارجية ولجنة الانتخابات. كما تعرضت الخدمات العامة الرقمية مثل UMANG والشرطة الرقمية والمركز الوطني للمعلوماتية، فضلاً عن المواقع الإدارية بما في ذلك مواقع الرئيس ورئيس الوزراء. واجه النظام القضائي، بما في ذلك العديد من المحاكم العليا، اضطرابات. تأثر قطاع التعليم بشكل ملحوظ، مع الهجمات على الجامعات والمؤسسات الطبية ووكالات الاختبار. كما تم استهداف البنية التحتية الحيوية، بما في ذلك أنظمة النقل مثل السكك الحديدية الهندية، وشبكات الاتصالات مثل India Post و RailTel، والمؤسسات المالية مثل بنك البنجاب الوطني والبنك الهندي لما وراء البحار.

يوضح الرسم البياني توزيع الصناعات التي يستهدفها نشطاء القرصنة.

فضح الادعاءات الكاذبة: الواقع وراء مزاعم Hacktivist الأخيرة

1. تناقض كبير في الانتهاك المزعوم للمركز الوطني للمعلوماتية (NIC)

ادعت العديد من كيانات القرصنة الإلكترونية، بما في ذلك SYLHET GANG-SG و Dienet، بشكل بارز سرقة أكثر من 247 غيغابايت من البيانات من خوادم المركز الوطني للمعلوماتية في الهند (NIC) - وهو خرق مدمر محتمل نظرًا لدور NIC في البنية التحتية لتكنولوجيا المعلومات الحكومية. ومع ذلك، كشف تحليل لاحق لعينة بحجم 1.5 غيغابايت أصدرتها المجموعات كـ «دليل» أنها تتألف من مواد تسويقية وملفات إعلامية متاحة للجمهور، مما يشير إلى أن الاختراق المزعوم لـ 247 غيغابايت من البيانات الحكومية الهامة لا تدعمه إلى حد كبير الأدلة المقدمة.

2. نشطاء القرصنة يعيدون تجميع تسرب بيانات ECI التاريخية باعتباره هجومًا جديدًا

إن الادعاء الذي قدمه فريق Azrael - Angel Of Death® في 8 مايو 2025 بشأن خرق مزعوم للجنة الانتخابات في الهند، والذي يُفترض أنه أسفر عن أكثر من مليون سجل مواطن، يمثل تكتيكًا شائعًا في مجال القرصنة: إعادة تغليف البيانات التي تم الكشف عنها سابقًا لخلق الوهم بحل وسط حديث عالي التأثير. عند التحقق من البيانات، تأكد من أن البيانات المرتبطة بهذه المطالبة - على الرغم من احتوائها على معلومات تحديد الهوية الشخصية الأصلية مثل الأسماء والأعمار وأرقام الهواتف والعناوين - قد تم تسريبها في الأصل في عام 2023. وبالتالي، فإن إعلان مايو 2025 لا يمثل خرقًا جديدًا لـ ECI من قبل هذه المجموعة، بل يمثل محاولة لتوليد الإنذار والدعاية باستخدام البيانات القديمة المتعلقة بالمؤسسات الديمقراطية الحساسة في الهند.

3. حملة تشويه جماعي من شركة كال إيجي 319

ادعت مجموعة القرصنة KAL EGY 319 عملية تشويه واسعة النطاق بين 8-9 مايو 2025، وزُعم أنها أثرت على حوالي 40 موقعًا تعليميًا وطبيًا هنديًا، وأعلنت لاحقًا عن محور استراتيجي لأهداف جديدة. وعلى الرغم من هذه التأكيدات، يبدو التأثير الفعلي ضئيلًا. كشفت التحقيقات أن جميع مواقع الويب المسماة تعمل حاليًا بشكل طبيعي. يشير هذا إلى أن عمليات التشويه لم يتم تنفيذها بالكامل كما تمت المطالبة بها، أو أنها لم تؤد إلى أي حل وسط كبير أو كامل للأصول المستهدفة عبر الإنترنت.

4. تؤدي مطالبات DDoS المنسقة ضد أفضل المواقع الحكومية الهندية إلى الحد الأدنى من الاضطراب

في الفترة من 7 إلى 8 مايو 2025، أعلن ائتلاف من مجموعات القرصنة الإلكترونية، بما في ذلك Lc Lng đc Biên Duni điên Tو Vulture و GARUDA ERROR SYSTEM، عن هجمات رفض الخدمة الموزعة (DDoS) التي تستهدف مواقع الحكومة الهندية البارزة. وبحسب ما ورد شملت الكيانات المستهدفة مكتب رئيس الوزراء (PMO) ومكتب الرئيس والعديد من الوزارات الرئيسية (الداخلية والدفاع والشؤون الخارجية والصحة)، إلى جانب بوابات إنفاذ القانون. في حين وصفت المجموعات هذه العملية بأنها عملية منظمة جيدًا، يشير تحليل التحقق إلى أن مواقع الويب المعنية تعمل كالمعتاد. يبدو أن أي فترة توقف عن العمل كانت ضئيلة، وربما استمرت أقل من خمس دقائق، مما يشير إلى أن الهجمات لم يكن لها تأثير كبير أو مستدام على توافر هذه الخدمات الحكومية الحيوية.

5. البيانات العامة وبعض التجزئات المسربة

إن ادعاء قراصنة الإنترنت من قبل SYLHET GANG-SG (المنسوب إلى فريق باكستان المجنون) في 7 مايو 2025، بالوصول إلى مليون تفاصيل حالة وسجلات FIR من قاعدة بيانات محكمة أندرا براديش العليا، قد بالغ بشكل كبير في حساسية المعلومات التي تم الحصول عليها. يكشف التحليل أن البيانات تتكون أساسًا من البيانات الوصفية للحالة التي يمكن الوصول إليها للجمهور. في حين أن هذه المعلومات ليست مهمة بطبيعتها، إلا أن التسريب كشف أيضًا عن بعض تجزئات كلمات المرور، مما يشكل خطرًا أمنيًا واضحًا على أنظمة المحكمة والحسابات المرتبطة المحتملة. ومع ذلك، فإن رواية الخرق الهائل للسجلات القضائية الخاصة لا تدعمها طبيعة البيانات الصادرة.

6. تسرب بيانات الجيش الهندي يفتقر إلى إثبات حقيقي

في 7 مايو 2025، قدم فريق Azrael - Angel Of Death® ادعاءً خطيرًا باختراق وتسريب البيانات المتعلقة بأفراد الجيش الهندي، بما في ذلك عملاء RAW/CBI المزعومين. إن مثل هذا الخرق، إذا كان حقيقيًا، سيعني انقلابًا استخباريًا كبيرًا. ومع ذلك، فإن التحقق الشامل من البيانات التي قدمتها المجموعة لا يكشف عن أي صلة واضحة بأفراد الجيش الهندي الفعليين. تتميز مجموعة البيانات بتناقضات كبيرة، بما في ذلك عدم التطابق بين الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف. هناك ثقة كبيرة في أن البيانات إما ملفقة أو تم إسنادها بشكل خاطئ تمامًا، ولا تمثل حلاً وسطًا مشروعًا للأهداف المزعومة عالية الحساسية.

7. مطالبات DDoS ضد Cert-in ووكالة الاختبار الوطنية

وفي 8 مايو 2025 أيضًا، أعلنت مجموعات قراصنة الإنترنت Vulture والقوات الخاصة للجيش الإلكتروني مسؤوليتها عن هجمات DDoS التي تستهدف على وجه التحديد فريق الاستجابة لطوارئ الكمبيوتر في الهند (Cert-In) والوكالة الوطنية للاختبار (NTA). لوحظ أن توقيت الهجوم المزعوم على NTA قد يكون مدمرًا بسبب فترات الفحص الحرجة المستمرة. تمثل هذه الكيانات المنظمات الرئيسية في الدفاع السيبراني والبنية التحتية التعليمية في الهند. ومع ذلك، وعلى الرغم من الطبيعة الاستراتيجية لهذه الأهداف المزعومة، أكدت عملية التحقق أن كلا من موقعي Cert-in و NTA كانا ولا يزالان يعملان دون أي انقطاع أو تدهور ملحوظ في الخدمة بما يتفق مع هجوم DDoS الناجح. يبدو أن ادعاءات التأثير على هذه المنظمات الهامة لا أساس لها من الصحة على أساس استمراريتها التشغيلية.

تعمل حسابات X (Twitter) المرتبطة بباكستان على تضخيم الادعاءات الإلكترونية التي لم يتم التحقق منها

P @kistanCyberForce هو حساب على وسائل التواصل الاجتماعي مرتبط بمجموعة قراصنة باكستانية نصبت نفسها بنفسها تقدم ادعاءات لم يتم التحقق منها بانتهاك كيانات هندية مثل معهد مانوهار باريكار للدراسات والتحليلات الدفاعية (idsa.in)، والمركبات المدرعة Nigam Limited (avnl.co.in)، وبوابة ECHS للرعاية الصحية (echs-pcmdb.sourceinfosy.com).

سايبر ليجند إكس أصدر حساب (@cyber4982)، وهو حساب على وسائل التواصل الاجتماعي، تنبيهات تدعي أن القوة الإلكترونية الباكستانية مسؤولة عن الهجمات الإلكترونية الأخيرة التي تستهدف الكيانات الهندية. تشمل الأهداف المبلغ عنها منصة تتبع المركبات (trackmaster.in/fmsattachments/) وشركة Bharti Airtel Ltd. ويتم تصوير هذه الإجراءات كجزء من الصراع السيبراني المستمر بين الهند وباكستان وخطوة انتقامية ردًا على عملية Sindoor. استغل الهجوم على Airtel على وجه التحديد خدمة BIG-IP، بينما تم اختراق trackmaster.in عبر ثغرة معروفة، مما سمح للمهاجم بالوصول وتحميل صورة.

حسابات وسائل التواصل الاجتماعي تيمية عمر 🦋 (@MAkhtar508@Mubashirbilal00، و ميرهاخان_99 تم تبادل ادعاءات لم يتم التحقق منها يُزعم أنها مرتبطة بـ PAFCyberForce تحت راية عملية بنيان المرسوس. تشير هذه المنشورات إلى أن عملاء الإنترنت الباكستانيين قد تسللوا إلى قطاعات مختلفة من البنية التحتية الرقمية الهندية - بما في ذلك الأنظمة المدنية والمستشفيات والمواقع الحساسة - لإجراء المراقبة والتلاعب بالتغذية الأمنية. وتؤكد الادعاءات أنه لم يحدث أي اضطراب مرئي، وتصور العملية على أنها استعراض محسوب للقدرات المتقدمة وضبط النفس الاستراتيجي. العديد من الحسابات تفعل الشيء نفسه

@Amad__khan، الذي يُعرّف نفسه بأنه مخترق أخلاقي باكستاني ومبرمج مرتبط بـ CyberSec Revolution، أعلن علنًا مسؤوليته عن سلسلة من الاختراقات الإلكترونية التي تستهدف البنية التحتية الرقمية الهندية. ووفقًا لتصريحاته، تضمنت الأهداف المعهد الإبداعي الهندي، وموقع كافانال الإلكتروني، والعديد من المواقع الهندية الأخرى، وأنظمة CCTV، وأجهزة التوجيه، ولجنة اختيار الموظفين (SSC) وبيانات مرشحيها، ووزارة الشؤون الخارجية، ونظام شهادة التخليص لشرطة دلهي، ووزارة الإسكان والشؤون الحضرية. تعكس منشوراته، التي غالبًا ما تتضمن خطابًا مؤيدًا لباكستان وإشارات إلى الصراع السيبراني بين الهند وباكستان، سردًا مستمرًا مناهضًا للهند. ويدعي أنه ينفذ هذه الهجمات إما عن طريق استغلال نقاط الضعف في الخادم أو استخدام بيانات اعتماد مخترقة.

داخل Crimson RAT من APT36: آليات أداة التجسس الإلكتروني المتطورة

Crimson RAT هو حصان طروادة للوصول عن بُعد يستند إلى .net ويعمل منذ فترة طويلة كأداة تجسس رئيسية لـ APT36 - المعروف أيضًا باسم Earth Karkaddan و Transparent Tribe والعديد من الأسماء المستعارة الأخرى. هذه المجموعة المهددة ذات الدوافع السياسية، والتي يُعتقد أنها مرتبطة بباكستان، لها تاريخ في استهداف المؤسسات العسكرية والدبلوماسية والتعليمية الهندية. يسمح Crimson RAT، المصمم للتسلل والمثابرة، للمهاجمين بتنفيذ الأوامر عن بُعد، واستخراج البيانات الحساسة، والحفاظ على الوصول المستمر إلى الأنظمة المخترقة. في مايو 2025، كشفت التقارير أن APT36 استفادت من هذه البرامج الضارة لاستغلال الآثار العاطفية لهجوم باهالغام الإرهابي في أبريل 2025، واستخدمتها كإغراء موضوعي لاختراق الحكومة الهندية وشبكات الدفاع من خلال تكتيكات التصيد والهندسة الاجتماعية.

كيف يتم تسليم كريمسون RAT؟

تستخدم APT36 نهجًا متعدد الجوانب لتقديم Crimson RAT، والاستفادة من الهندسة الاجتماعية وتقنيات التصيد الاحتيالي لاستغلال نقاط الضعف البشرية. تستخدم الحملة، التي تم إطلاقها في غضون 48 ساعة من هجوم باهالغام الإرهابي في 22 أبريل 2025، موضوعات مشحونة عاطفياً لتعظيم تأثيرها. فيما يلي كيفية تطور سلسلة الهجوم:

رسائل البريد الإلكتروني المخادعة التي تحتوي على مرفقات ضارة

تبدأ الحملة برسائل البريد الإلكتروني المخادعة التي يبدو أنها تأتي من مصادر موثوقة، مثل المسؤولين الحكوميين أو المنظمات. غالبًا ما تتضمن رسائل البريد الإلكتروني هذه مرفقات مصممة لتبدو مثل المستندات الرسمية. تمت ملاحظة طريقتين أساسيتين للتسليم:

  • ملفات بوربوينت: تحتوي رسائل البريد الإلكتروني على ملفات PowerPoint الإضافية (تنسيق.ppam) متخفية في شكل تقارير رسمية، مثل «الإبلاغ والتحديث بخصوص هجوم Pahalgam Terror Attack.pam». تحتوي هذه الملفات على وحدات ماكرو ضارة تقوم، عند تمكينها من قبل المستخدم، ببدء عملية تنزيل البرامج الضارة.
  • مستندات بي دي إف: تتضمن ملفات PDF، مثل «نقاط العمل والاستجابة من قبل الحكومة بخصوص Pahalgam Terror Attack.pdf»، التي تم إنشاؤها في 24 أبريل 2025، تحت الاسم المستعار «Kalu Badshah»، روابط ضارة. تعيد هذه الروابط توجيه المستخدمين إلى صفحات تسجيل دخول وهمية مستضافة على نطاقات مزيفة، مثل jkpolice.gov.in.kashmirattack.exposed، والتي تحاكي الموقع الرسمي لشرطة جامو وكشمير. تم تصميم هذه الصفحات لسرقة بيانات الاعتماد.

حمولة البرامج الضارة المقنعة

تقوم وحدات الماكرو الضارة في ملف PowerPoint بتنزيل Crimson RAT، والذي يتم إخفاؤه بذكاء كملف صورة، مثل WEISTT.jpg. يساعد هذا التنكر على تجنب الاكتشاف الأولي بواسطة برامج الأمان. بمجرد التنزيل، يقوم ملف الصورة بتشغيل ملف قابل للتنفيذ، مثل jnmxrvt hcsm.exe، وهي حمولة Crimson RAT الفعلية. يبدأ هذا الملف التنفيذي عملية الإصابة، مما يسمح للبرامج الضارة بالسيطرة على نظام الضحية.

النطاقات المزيفة والبنية التحتية

أنشأت APT36 شبكة من النطاقات المخادعة لدعم الحملة، بما في ذلك:

  • iaf.nic.in. وزارة الدفاع الهندية .org
  • البريد الإلكتروني.gov.in. وزارة الدفاع .de
  • الجيش الهندي.nic.in. وزارة الدفاع .de

يتم استضافة هذه النطاقات، التي تم إنشاؤها في وقت مبكر من 16 أبريل 2025، عبر مزودين مثل Alexhost Srl و IP Connect Inc و Shinjiru Technology. تسهل البنية التحتية كلاً من التصيد الاحتيالي لبيانات الاعتماد وتسليم البرامج الضارة، مما يجعلها مكونًا مهمًا في سلسلة الهجوم.

لقطة شاشة تعرض ملف PDF الضار

كيف يتم تنفيذ كريمسون RAT؟

بمجرد تنفيذ Crimson RAT على نظام الضحية، فإنه يتبع عملية منظمة لإنشاء اتصال مع خادم القيادة والتحكم الخاص به وبدء أنشطة التجسس الخاصة به. وتتسم عملية التنفيذ بالخفاء والكفاءة على حد سواء، مما يسمح للمهاجمين بالحفاظ على الوصول طويل الأجل إلى الأنظمة المخترقة.

التنفيذ الأولي

يتم تنفيذ حمولة البرامج الضارة، المتخفية في صورة ملف صورة (على سبيل المثال، WEISTT.jpg)، عندما يتفاعل المستخدم مع المرفق الضار، عادةً عن طريق تمكين وحدات الماكرو في ملف PowerPoint. يتم تشغيل الملف القابل للتنفيذ (على سبيل المثال، jnmxrvt hcsm.exe)، مما يؤدي إلى بدء عملية العدوى..

اتصال الأوامر والتحكم (C2)

يتصل Crimson RAT بخادم C2 المشفر الخاص به، والذي تم تحديده على أنه 93.127.133.58 (المنفذ 1097). عند إنشاء الاتصال، ترسل البرامج الضارة معلومات أولية حول نظام الضحية مرة أخرى إلى خادم C2، بما في ذلك:

  • قائمة بالعمليات الجارية ومعروفاتها
  • اسم مضيف الجهاز
  • اسم المستخدم

تساعد هذه المعلومات المهاجمين على تقييم قيمة النظام المخترق وتصميم إجراءاتهم اللاحقة.

إمكانيات البرامج الضارة

تدعم Crimson RAT أكثر من 20 مهمة من مهام C2، مما يجعلها أداة متعددة الاستخدامات للغاية للمهاجمين. تتضمن بعض قدراته الرئيسية ما يلي:

  • التقاط لقطة شاشة: تسمح أوامر مثل الشاشة والشاشة والإبهام للبرامج الضارة بالتقاط لقطات شاشة لشاشة الضحية وتسريبها، مما يوفر رؤى مرئية لأنشطة المستخدم.
  • الوصول إلى الملفات والتنزيلات: تعمل الأوامر مثل filsz و listf و fldr على تمكين البرامج الضارة من إدراج الملفات والوصول إليها وتنزيلها من النظام المصاب، واستهداف المستندات الحساسة.
  • ثبات النظام: يضمن الأمر putsrt بقاء البرامج الضارة نشطة على النظام حتى بعد إعادة التشغيل، مما يسمح بالوصول طويل المدى.
  • تنفيذ الأوامر عن بُعد: تسمح أوامر مثل runf و dowr و ult للمهاجمين بتنفيذ أوامر عشوائية أو تنزيل حمولات إضافية أو حذف الملفات على نظام الضحية.

تدعم البرامج الضارة ما مجموعه 22 أمرًا، مما يجعلها أداة قوية للتجسس.

استخراج البيانات

بمجرد أن تجمع البرامج الضارة بيانات حساسة، مثل لقطات الشاشة أو الملفات أو معلومات النظام، فإنها ترسل هذه البيانات مرة أخرى إلى خادم C2 لمزيد من التحليل من قبل المهاجمين. تم تصميم هذه العملية لتكون سرية، مما يقلل من فرص الاكتشاف بواسطة برامج الأمان.

نصائح APT 36:

Stage Technique ID Evidence Source
Initial Access Spear-phishing Attachment T1566.001 macro/OLE docs
Initial Access Spear-phishing Link T1566.002 fake Kashmir attack domains
Execution User Execution – Malicious File T1204.002 doc requires enable-content/double-click
Persistence Registry Run Keys T1547.001 *.dreb Run-key
Defense Evasion Obfuscated/Encrypted File T1027 Eazfuscator, string padding
Discovery File/Directory Discovery T1083 files/dirs commands
Collection Screen Capture T1113 cscreen/scren commands
Command & Control Application-Layer Protocol (TCP) T1071.001 direct TCP C2 on rotating ports
Exfiltration Exfiltration over C2 Channel T1041 files sent via C2 (afile/dowr)

تم استخدام CrimsonRat بواسطة APT36 لمدة 6 سنوات تقريبًا دون تغيير كبير في TTPs ونوع الحملات. يشكل هذا تهديدًا محدودًا للمنظمات ذات السياسات الأمنية الناضجة حيث أن الضحايا المستهدفين لهذا الهجوم هم مواطنون عاديون أو نقاط نهاية حكومية.

المراجع

Author

باجيلا مانوهار ريدي

Predict Cyber threats against your organization

Schedule a Demo
Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

CloudSEK XVigil

Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.

Learn more about XVigil
CloudSEK SVigil

Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.

Learn more about SVigil
CloudSEK SVigil

Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.

Learn more about BeVigil Ent
CloudSEK BeVigil

Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.

Learn more about BeVigil
الهاكتيفية

اضطرابات موجزة ومطالبات جريئة: الواقع التكتيكي وراء الطفرة في الهاكتيفيست بين الهند وباكستان

في مايو 2025، ادعت العديد من مجموعات القرصنة المرتبطة بباكستان أكثر من 100 هجوم إلكتروني على مواقع الحكومة الهندية والتعليم والبنية التحتية الحيوية. لكن تحقيق CloudSek يكشف أن معظم هذه الانتهاكات كانت مبالغ فيها أو مزيفة - بدءًا من تسرب البيانات المعاد تدويرها إلى عمليات التشويه التي لم تترك أي تأثير حقيقي. في حين أن هجمات DDoS بالكاد تسببت في بضع دقائق من الاضطراب، إلا أن التهديد الحقيقي جاء من APT36، التي استخدمت برامج Crimson RAT الضارة لاستهداف شبكات الدفاع الهندية بعد هجوم Pahalgam الإرهابي. يفصل هذا التقرير الحقيقة عن الخيال - ويكشف عن الضجيج والتكتيكات والمخاطر الحقيقية وراء الصراع السيبراني بين الهند وباكستان. اقرأ التحليل الكامل لمعرفة ما حدث بالفعل.
May 11, 2025
7
min
Table of Content
Example H2

ملخص تنفيذي

أثارت حملات القرصنة الأخيرة التي تستهدف البنية التحتية الرقمية الهندية عناوين مثيرة للقلق، لكن التحقيق يكشف أن معظم الادعاءات مبالغ فيها بشكل كبير. على الرغم من أن مجموعات الهاكرز الرئيسية ادعت بشكل جماعي أكثر من 100 انتهاك ناجح للمواقع الحكومية والمؤسسات التعليمية والبنية التحتية الحيوية في مايو 2025، يُظهر التحليل الحد الأدنى من التأثير الفعلي - مع تسرب البيانات المزعوم الذي يحتوي في المقام الأول على معلومات عامة، وتشويه مواقع الويب دون ترك بصمة رقمية، وهجمات DDoS المفترضة ضد أهداف بارزة مثل مكتب رئيس الوزراء تسبب اضطرابًا ضئيلًا. وفي الوقت نفسه، لا تزال مجموعة التجسس APT36 الأكثر تعقيدًا تشكل تهديدًا حقيقيًا من خلال حملات البرامج الضارة Crimson RAT المستهدفة التي تستغل هجوم Pahalgam الإرهابي في أبريل 2025 للتسلل إلى شبكات الحكومة والدفاع.

أفضل 5 مجموعات هاكتيفيست

  1. أمة المنقذين [مناقشة]: 32 هجومًا تمت المطالبة به
    • تنشر هذه المجموعة شبكة واسعة، حيث تعلن مسؤوليتها عن الاضطرابات والهجمات ضد العديد من بوابات الحكومة الهندية (بما في ذلك المستويات المركزية والولائية) والمؤسسات المالية والهيئات التعليمية.
    • ومن بين ادعاءاتهم البارزة الهجمات المزعومة ضد CBI ولجنة الانتخابات في الهند (ECI) والبوابة الوطنية للهند.
  2. كال إيجي 319: 31 هجمة مزعومة
    • ركزت المجموعة في الغالب جهودها على القطاعات التعليمية والطبية في الهند.
    • ادعت KAL EGY 319 حملة تشويه واسعة النطاق، زاعمة أن ما يقرب من 40 موقعًا هنديًا، تنتمي أساسًا إلى الكليات والجامعات والمؤسسات التابعة للرعاية الصحية، قد تم اختراقها.
  3. سيلهيت جانج-إس جي 🏴: 19 هجومًا تمت المطالبة به
    • استهدف هذا الكيان مزيجًا من بوابات الحكومة الهندية والمؤسسات التعليمية ووسائل الإعلام الإخبارية.
    • وشملت المطالبات الهامة خرقًا مزعومًا للبيانات لنظام محكمة أندرا براديش العليا والمركز الوطني للمعلوماتية (NIC).
  4. القوات الخاصة للجيش الإلكتروني والشركات التابعة لها: 18 هجمة تمت المطالبة بها
    • ركزت هذه المجموعة بشكل كبير على المحاكم الهندية ومختلف مواقع الحكومة المركزية وحكومات الولايات والخدمات العامة الرقمية.
    • ظهرت مواقع الويب القضائية، بما في ذلك المحاكم المحلية والعليا، إلى جانب بوابات إنفاذ القانون، بشكل بارز في قائمة الأهداف المزعومة.
  5. نسر: 16 هجومًا تمت المطالبة به
    • كانت مواقع الحكومة الهندية والمؤسسات التعليمية هي المحور الرئيسي للأنشطة المزعومة لهذه المجموعة.
    • وشملت الادعاءات هجمات على بوابة الشرطة الرقمية، والموقع الرسمي لرئيس الهند، وموقع مكتب رئيس الوزراء (PMO). تم ذكر Vulture بشكل متكرر في مطالبات العمليات المشتركة، مما يشير إلى التعاون مع كيانات القرصنة الأخرى.

ملاحظة: تستخدم العديد من مجموعات الهاكتيفيست أدوات ذات تأثير محدود، وغالبًا ما تتسبب في انقطاعات قصيرة تتراوح مدتها من 5 إلى 10 دقائق وتبالغ في استخدام لقطات الشاشة. لم تتطور هذه التكتيكات منذ أكثر من عامين. في حين أن المراقبة مهمة، فإن النظافة الأساسية ضد DDoS عادة ما تكون كافية للتخفيف من مثل هذه التهديدات منخفضة المستوى وتقليل ظهورها.

أهم الصناعات المستهدفة

كانت الكيانات الحكومية في الهند هي الأهداف الرئيسية للهجمات الإلكترونية، حيث تم الإبلاغ عن انتهاكات بارزة عبر بوابات الحكومة المركزية مثل وزارة الدفاع ووزارة الشؤون الخارجية ولجنة الانتخابات. كما تعرضت الخدمات العامة الرقمية مثل UMANG والشرطة الرقمية والمركز الوطني للمعلوماتية، فضلاً عن المواقع الإدارية بما في ذلك مواقع الرئيس ورئيس الوزراء. واجه النظام القضائي، بما في ذلك العديد من المحاكم العليا، اضطرابات. تأثر قطاع التعليم بشكل ملحوظ، مع الهجمات على الجامعات والمؤسسات الطبية ووكالات الاختبار. كما تم استهداف البنية التحتية الحيوية، بما في ذلك أنظمة النقل مثل السكك الحديدية الهندية، وشبكات الاتصالات مثل India Post و RailTel، والمؤسسات المالية مثل بنك البنجاب الوطني والبنك الهندي لما وراء البحار.

يوضح الرسم البياني توزيع الصناعات التي يستهدفها نشطاء القرصنة.

فضح الادعاءات الكاذبة: الواقع وراء مزاعم Hacktivist الأخيرة

1. تناقض كبير في الانتهاك المزعوم للمركز الوطني للمعلوماتية (NIC)

ادعت العديد من كيانات القرصنة الإلكترونية، بما في ذلك SYLHET GANG-SG و Dienet، بشكل بارز سرقة أكثر من 247 غيغابايت من البيانات من خوادم المركز الوطني للمعلوماتية في الهند (NIC) - وهو خرق مدمر محتمل نظرًا لدور NIC في البنية التحتية لتكنولوجيا المعلومات الحكومية. ومع ذلك، كشف تحليل لاحق لعينة بحجم 1.5 غيغابايت أصدرتها المجموعات كـ «دليل» أنها تتألف من مواد تسويقية وملفات إعلامية متاحة للجمهور، مما يشير إلى أن الاختراق المزعوم لـ 247 غيغابايت من البيانات الحكومية الهامة لا تدعمه إلى حد كبير الأدلة المقدمة.

2. نشطاء القرصنة يعيدون تجميع تسرب بيانات ECI التاريخية باعتباره هجومًا جديدًا

إن الادعاء الذي قدمه فريق Azrael - Angel Of Death® في 8 مايو 2025 بشأن خرق مزعوم للجنة الانتخابات في الهند، والذي يُفترض أنه أسفر عن أكثر من مليون سجل مواطن، يمثل تكتيكًا شائعًا في مجال القرصنة: إعادة تغليف البيانات التي تم الكشف عنها سابقًا لخلق الوهم بحل وسط حديث عالي التأثير. عند التحقق من البيانات، تأكد من أن البيانات المرتبطة بهذه المطالبة - على الرغم من احتوائها على معلومات تحديد الهوية الشخصية الأصلية مثل الأسماء والأعمار وأرقام الهواتف والعناوين - قد تم تسريبها في الأصل في عام 2023. وبالتالي، فإن إعلان مايو 2025 لا يمثل خرقًا جديدًا لـ ECI من قبل هذه المجموعة، بل يمثل محاولة لتوليد الإنذار والدعاية باستخدام البيانات القديمة المتعلقة بالمؤسسات الديمقراطية الحساسة في الهند.

3. حملة تشويه جماعي من شركة كال إيجي 319

ادعت مجموعة القرصنة KAL EGY 319 عملية تشويه واسعة النطاق بين 8-9 مايو 2025، وزُعم أنها أثرت على حوالي 40 موقعًا تعليميًا وطبيًا هنديًا، وأعلنت لاحقًا عن محور استراتيجي لأهداف جديدة. وعلى الرغم من هذه التأكيدات، يبدو التأثير الفعلي ضئيلًا. كشفت التحقيقات أن جميع مواقع الويب المسماة تعمل حاليًا بشكل طبيعي. يشير هذا إلى أن عمليات التشويه لم يتم تنفيذها بالكامل كما تمت المطالبة بها، أو أنها لم تؤد إلى أي حل وسط كبير أو كامل للأصول المستهدفة عبر الإنترنت.

4. تؤدي مطالبات DDoS المنسقة ضد أفضل المواقع الحكومية الهندية إلى الحد الأدنى من الاضطراب

في الفترة من 7 إلى 8 مايو 2025، أعلن ائتلاف من مجموعات القرصنة الإلكترونية، بما في ذلك Lc Lng đc Biên Duni điên Tو Vulture و GARUDA ERROR SYSTEM، عن هجمات رفض الخدمة الموزعة (DDoS) التي تستهدف مواقع الحكومة الهندية البارزة. وبحسب ما ورد شملت الكيانات المستهدفة مكتب رئيس الوزراء (PMO) ومكتب الرئيس والعديد من الوزارات الرئيسية (الداخلية والدفاع والشؤون الخارجية والصحة)، إلى جانب بوابات إنفاذ القانون. في حين وصفت المجموعات هذه العملية بأنها عملية منظمة جيدًا، يشير تحليل التحقق إلى أن مواقع الويب المعنية تعمل كالمعتاد. يبدو أن أي فترة توقف عن العمل كانت ضئيلة، وربما استمرت أقل من خمس دقائق، مما يشير إلى أن الهجمات لم يكن لها تأثير كبير أو مستدام على توافر هذه الخدمات الحكومية الحيوية.

5. البيانات العامة وبعض التجزئات المسربة

إن ادعاء قراصنة الإنترنت من قبل SYLHET GANG-SG (المنسوب إلى فريق باكستان المجنون) في 7 مايو 2025، بالوصول إلى مليون تفاصيل حالة وسجلات FIR من قاعدة بيانات محكمة أندرا براديش العليا، قد بالغ بشكل كبير في حساسية المعلومات التي تم الحصول عليها. يكشف التحليل أن البيانات تتكون أساسًا من البيانات الوصفية للحالة التي يمكن الوصول إليها للجمهور. في حين أن هذه المعلومات ليست مهمة بطبيعتها، إلا أن التسريب كشف أيضًا عن بعض تجزئات كلمات المرور، مما يشكل خطرًا أمنيًا واضحًا على أنظمة المحكمة والحسابات المرتبطة المحتملة. ومع ذلك، فإن رواية الخرق الهائل للسجلات القضائية الخاصة لا تدعمها طبيعة البيانات الصادرة.

6. تسرب بيانات الجيش الهندي يفتقر إلى إثبات حقيقي

في 7 مايو 2025، قدم فريق Azrael - Angel Of Death® ادعاءً خطيرًا باختراق وتسريب البيانات المتعلقة بأفراد الجيش الهندي، بما في ذلك عملاء RAW/CBI المزعومين. إن مثل هذا الخرق، إذا كان حقيقيًا، سيعني انقلابًا استخباريًا كبيرًا. ومع ذلك، فإن التحقق الشامل من البيانات التي قدمتها المجموعة لا يكشف عن أي صلة واضحة بأفراد الجيش الهندي الفعليين. تتميز مجموعة البيانات بتناقضات كبيرة، بما في ذلك عدم التطابق بين الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف. هناك ثقة كبيرة في أن البيانات إما ملفقة أو تم إسنادها بشكل خاطئ تمامًا، ولا تمثل حلاً وسطًا مشروعًا للأهداف المزعومة عالية الحساسية.

7. مطالبات DDoS ضد Cert-in ووكالة الاختبار الوطنية

وفي 8 مايو 2025 أيضًا، أعلنت مجموعات قراصنة الإنترنت Vulture والقوات الخاصة للجيش الإلكتروني مسؤوليتها عن هجمات DDoS التي تستهدف على وجه التحديد فريق الاستجابة لطوارئ الكمبيوتر في الهند (Cert-In) والوكالة الوطنية للاختبار (NTA). لوحظ أن توقيت الهجوم المزعوم على NTA قد يكون مدمرًا بسبب فترات الفحص الحرجة المستمرة. تمثل هذه الكيانات المنظمات الرئيسية في الدفاع السيبراني والبنية التحتية التعليمية في الهند. ومع ذلك، وعلى الرغم من الطبيعة الاستراتيجية لهذه الأهداف المزعومة، أكدت عملية التحقق أن كلا من موقعي Cert-in و NTA كانا ولا يزالان يعملان دون أي انقطاع أو تدهور ملحوظ في الخدمة بما يتفق مع هجوم DDoS الناجح. يبدو أن ادعاءات التأثير على هذه المنظمات الهامة لا أساس لها من الصحة على أساس استمراريتها التشغيلية.

تعمل حسابات X (Twitter) المرتبطة بباكستان على تضخيم الادعاءات الإلكترونية التي لم يتم التحقق منها

P @kistanCyberForce هو حساب على وسائل التواصل الاجتماعي مرتبط بمجموعة قراصنة باكستانية نصبت نفسها بنفسها تقدم ادعاءات لم يتم التحقق منها بانتهاك كيانات هندية مثل معهد مانوهار باريكار للدراسات والتحليلات الدفاعية (idsa.in)، والمركبات المدرعة Nigam Limited (avnl.co.in)، وبوابة ECHS للرعاية الصحية (echs-pcmdb.sourceinfosy.com).

سايبر ليجند إكس أصدر حساب (@cyber4982)، وهو حساب على وسائل التواصل الاجتماعي، تنبيهات تدعي أن القوة الإلكترونية الباكستانية مسؤولة عن الهجمات الإلكترونية الأخيرة التي تستهدف الكيانات الهندية. تشمل الأهداف المبلغ عنها منصة تتبع المركبات (trackmaster.in/fmsattachments/) وشركة Bharti Airtel Ltd. ويتم تصوير هذه الإجراءات كجزء من الصراع السيبراني المستمر بين الهند وباكستان وخطوة انتقامية ردًا على عملية Sindoor. استغل الهجوم على Airtel على وجه التحديد خدمة BIG-IP، بينما تم اختراق trackmaster.in عبر ثغرة معروفة، مما سمح للمهاجم بالوصول وتحميل صورة.

حسابات وسائل التواصل الاجتماعي تيمية عمر 🦋 (@MAkhtar508@Mubashirbilal00، و ميرهاخان_99 تم تبادل ادعاءات لم يتم التحقق منها يُزعم أنها مرتبطة بـ PAFCyberForce تحت راية عملية بنيان المرسوس. تشير هذه المنشورات إلى أن عملاء الإنترنت الباكستانيين قد تسللوا إلى قطاعات مختلفة من البنية التحتية الرقمية الهندية - بما في ذلك الأنظمة المدنية والمستشفيات والمواقع الحساسة - لإجراء المراقبة والتلاعب بالتغذية الأمنية. وتؤكد الادعاءات أنه لم يحدث أي اضطراب مرئي، وتصور العملية على أنها استعراض محسوب للقدرات المتقدمة وضبط النفس الاستراتيجي. العديد من الحسابات تفعل الشيء نفسه

@Amad__khan، الذي يُعرّف نفسه بأنه مخترق أخلاقي باكستاني ومبرمج مرتبط بـ CyberSec Revolution، أعلن علنًا مسؤوليته عن سلسلة من الاختراقات الإلكترونية التي تستهدف البنية التحتية الرقمية الهندية. ووفقًا لتصريحاته، تضمنت الأهداف المعهد الإبداعي الهندي، وموقع كافانال الإلكتروني، والعديد من المواقع الهندية الأخرى، وأنظمة CCTV، وأجهزة التوجيه، ولجنة اختيار الموظفين (SSC) وبيانات مرشحيها، ووزارة الشؤون الخارجية، ونظام شهادة التخليص لشرطة دلهي، ووزارة الإسكان والشؤون الحضرية. تعكس منشوراته، التي غالبًا ما تتضمن خطابًا مؤيدًا لباكستان وإشارات إلى الصراع السيبراني بين الهند وباكستان، سردًا مستمرًا مناهضًا للهند. ويدعي أنه ينفذ هذه الهجمات إما عن طريق استغلال نقاط الضعف في الخادم أو استخدام بيانات اعتماد مخترقة.

داخل Crimson RAT من APT36: آليات أداة التجسس الإلكتروني المتطورة

Crimson RAT هو حصان طروادة للوصول عن بُعد يستند إلى .net ويعمل منذ فترة طويلة كأداة تجسس رئيسية لـ APT36 - المعروف أيضًا باسم Earth Karkaddan و Transparent Tribe والعديد من الأسماء المستعارة الأخرى. هذه المجموعة المهددة ذات الدوافع السياسية، والتي يُعتقد أنها مرتبطة بباكستان، لها تاريخ في استهداف المؤسسات العسكرية والدبلوماسية والتعليمية الهندية. يسمح Crimson RAT، المصمم للتسلل والمثابرة، للمهاجمين بتنفيذ الأوامر عن بُعد، واستخراج البيانات الحساسة، والحفاظ على الوصول المستمر إلى الأنظمة المخترقة. في مايو 2025، كشفت التقارير أن APT36 استفادت من هذه البرامج الضارة لاستغلال الآثار العاطفية لهجوم باهالغام الإرهابي في أبريل 2025، واستخدمتها كإغراء موضوعي لاختراق الحكومة الهندية وشبكات الدفاع من خلال تكتيكات التصيد والهندسة الاجتماعية.

كيف يتم تسليم كريمسون RAT؟

تستخدم APT36 نهجًا متعدد الجوانب لتقديم Crimson RAT، والاستفادة من الهندسة الاجتماعية وتقنيات التصيد الاحتيالي لاستغلال نقاط الضعف البشرية. تستخدم الحملة، التي تم إطلاقها في غضون 48 ساعة من هجوم باهالغام الإرهابي في 22 أبريل 2025، موضوعات مشحونة عاطفياً لتعظيم تأثيرها. فيما يلي كيفية تطور سلسلة الهجوم:

رسائل البريد الإلكتروني المخادعة التي تحتوي على مرفقات ضارة

تبدأ الحملة برسائل البريد الإلكتروني المخادعة التي يبدو أنها تأتي من مصادر موثوقة، مثل المسؤولين الحكوميين أو المنظمات. غالبًا ما تتضمن رسائل البريد الإلكتروني هذه مرفقات مصممة لتبدو مثل المستندات الرسمية. تمت ملاحظة طريقتين أساسيتين للتسليم:

  • ملفات بوربوينت: تحتوي رسائل البريد الإلكتروني على ملفات PowerPoint الإضافية (تنسيق.ppam) متخفية في شكل تقارير رسمية، مثل «الإبلاغ والتحديث بخصوص هجوم Pahalgam Terror Attack.pam». تحتوي هذه الملفات على وحدات ماكرو ضارة تقوم، عند تمكينها من قبل المستخدم، ببدء عملية تنزيل البرامج الضارة.
  • مستندات بي دي إف: تتضمن ملفات PDF، مثل «نقاط العمل والاستجابة من قبل الحكومة بخصوص Pahalgam Terror Attack.pdf»، التي تم إنشاؤها في 24 أبريل 2025، تحت الاسم المستعار «Kalu Badshah»، روابط ضارة. تعيد هذه الروابط توجيه المستخدمين إلى صفحات تسجيل دخول وهمية مستضافة على نطاقات مزيفة، مثل jkpolice.gov.in.kashmirattack.exposed، والتي تحاكي الموقع الرسمي لشرطة جامو وكشمير. تم تصميم هذه الصفحات لسرقة بيانات الاعتماد.

حمولة البرامج الضارة المقنعة

تقوم وحدات الماكرو الضارة في ملف PowerPoint بتنزيل Crimson RAT، والذي يتم إخفاؤه بذكاء كملف صورة، مثل WEISTT.jpg. يساعد هذا التنكر على تجنب الاكتشاف الأولي بواسطة برامج الأمان. بمجرد التنزيل، يقوم ملف الصورة بتشغيل ملف قابل للتنفيذ، مثل jnmxrvt hcsm.exe، وهي حمولة Crimson RAT الفعلية. يبدأ هذا الملف التنفيذي عملية الإصابة، مما يسمح للبرامج الضارة بالسيطرة على نظام الضحية.

النطاقات المزيفة والبنية التحتية

أنشأت APT36 شبكة من النطاقات المخادعة لدعم الحملة، بما في ذلك:

  • iaf.nic.in. وزارة الدفاع الهندية .org
  • البريد الإلكتروني.gov.in. وزارة الدفاع .de
  • الجيش الهندي.nic.in. وزارة الدفاع .de

يتم استضافة هذه النطاقات، التي تم إنشاؤها في وقت مبكر من 16 أبريل 2025، عبر مزودين مثل Alexhost Srl و IP Connect Inc و Shinjiru Technology. تسهل البنية التحتية كلاً من التصيد الاحتيالي لبيانات الاعتماد وتسليم البرامج الضارة، مما يجعلها مكونًا مهمًا في سلسلة الهجوم.

لقطة شاشة تعرض ملف PDF الضار

كيف يتم تنفيذ كريمسون RAT؟

بمجرد تنفيذ Crimson RAT على نظام الضحية، فإنه يتبع عملية منظمة لإنشاء اتصال مع خادم القيادة والتحكم الخاص به وبدء أنشطة التجسس الخاصة به. وتتسم عملية التنفيذ بالخفاء والكفاءة على حد سواء، مما يسمح للمهاجمين بالحفاظ على الوصول طويل الأجل إلى الأنظمة المخترقة.

التنفيذ الأولي

يتم تنفيذ حمولة البرامج الضارة، المتخفية في صورة ملف صورة (على سبيل المثال، WEISTT.jpg)، عندما يتفاعل المستخدم مع المرفق الضار، عادةً عن طريق تمكين وحدات الماكرو في ملف PowerPoint. يتم تشغيل الملف القابل للتنفيذ (على سبيل المثال، jnmxrvt hcsm.exe)، مما يؤدي إلى بدء عملية العدوى..

اتصال الأوامر والتحكم (C2)

يتصل Crimson RAT بخادم C2 المشفر الخاص به، والذي تم تحديده على أنه 93.127.133.58 (المنفذ 1097). عند إنشاء الاتصال، ترسل البرامج الضارة معلومات أولية حول نظام الضحية مرة أخرى إلى خادم C2، بما في ذلك:

  • قائمة بالعمليات الجارية ومعروفاتها
  • اسم مضيف الجهاز
  • اسم المستخدم

تساعد هذه المعلومات المهاجمين على تقييم قيمة النظام المخترق وتصميم إجراءاتهم اللاحقة.

إمكانيات البرامج الضارة

تدعم Crimson RAT أكثر من 20 مهمة من مهام C2، مما يجعلها أداة متعددة الاستخدامات للغاية للمهاجمين. تتضمن بعض قدراته الرئيسية ما يلي:

  • التقاط لقطة شاشة: تسمح أوامر مثل الشاشة والشاشة والإبهام للبرامج الضارة بالتقاط لقطات شاشة لشاشة الضحية وتسريبها، مما يوفر رؤى مرئية لأنشطة المستخدم.
  • الوصول إلى الملفات والتنزيلات: تعمل الأوامر مثل filsz و listf و fldr على تمكين البرامج الضارة من إدراج الملفات والوصول إليها وتنزيلها من النظام المصاب، واستهداف المستندات الحساسة.
  • ثبات النظام: يضمن الأمر putsrt بقاء البرامج الضارة نشطة على النظام حتى بعد إعادة التشغيل، مما يسمح بالوصول طويل المدى.
  • تنفيذ الأوامر عن بُعد: تسمح أوامر مثل runf و dowr و ult للمهاجمين بتنفيذ أوامر عشوائية أو تنزيل حمولات إضافية أو حذف الملفات على نظام الضحية.

تدعم البرامج الضارة ما مجموعه 22 أمرًا، مما يجعلها أداة قوية للتجسس.

استخراج البيانات

بمجرد أن تجمع البرامج الضارة بيانات حساسة، مثل لقطات الشاشة أو الملفات أو معلومات النظام، فإنها ترسل هذه البيانات مرة أخرى إلى خادم C2 لمزيد من التحليل من قبل المهاجمين. تم تصميم هذه العملية لتكون سرية، مما يقلل من فرص الاكتشاف بواسطة برامج الأمان.

نصائح APT 36:

Stage Technique ID Evidence Source
Initial Access Spear-phishing Attachment T1566.001 macro/OLE docs
Initial Access Spear-phishing Link T1566.002 fake Kashmir attack domains
Execution User Execution – Malicious File T1204.002 doc requires enable-content/double-click
Persistence Registry Run Keys T1547.001 *.dreb Run-key
Defense Evasion Obfuscated/Encrypted File T1027 Eazfuscator, string padding
Discovery File/Directory Discovery T1083 files/dirs commands
Collection Screen Capture T1113 cscreen/scren commands
Command & Control Application-Layer Protocol (TCP) T1071.001 direct TCP C2 on rotating ports
Exfiltration Exfiltration over C2 Channel T1041 files sent via C2 (afile/dowr)

تم استخدام CrimsonRat بواسطة APT36 لمدة 6 سنوات تقريبًا دون تغيير كبير في TTPs ونوع الحملات. يشكل هذا تهديدًا محدودًا للمنظمات ذات السياسات الأمنية الناضجة حيث أن الضحايا المستهدفين لهذا الهجوم هم مواطنون عاديون أو نقاط نهاية حكومية.

المراجع

باجيلا مانوهار ريدي

Related Blogs

استخبارات الخصم
June 19, 2025
5
min
الجزء 1: المواجهة السيبرانية بين إيران وإسرائيل - جبهة الهاكتيفيست
Read more
استخبارات الخصم
May 11, 2025
7
min
اضطرابات موجزة ومطالبات جريئة: الواقع التكتيكي وراء الطفرة في الهاكتيفيست بين الهند وباكستان
Read more