به گزارش ایسنا، یک گروه تهدید وابسته به یک دولت توانسته در قالب عملیات گسترده جاسوسی که «Shadow Campaigns» نام گرفته، ده‌ها شبکه مرتبط با دولت‌ها و زیرساخت‌های حیاتی را در ۳۷ کشور جهان نفوذ کند. این گروه همچنین بین ماه‌های نوامبر و دسامبر سال گذشته فعالیت‌های شناسایی گسترده‌ای انجام داده و نهادهای دولتی مرتبط با ۱۵۵ کشور را هدف قرار داده است.
 
طبق اعلام رسانه جامعه امنیت سایبری ایران، بر اساس آنچه از سوی واحد تحقیقاتی Unit 42 شرکت  Palo Alto Networks، گفته شده این گروه دست‌کم از ژانویه ۲۰۲۴ فعال بوده و شواهد زیادی وجود دارد که نشان می‌دهد منشأ فعالیت آن در آسیا است. تا زمانی که شناسایی قطعی انجام نشود، محققان این عامل تهدید را با نام‌های TGR-STA-1030 و  UNC6619 دنبال می‌کنند.
 
تمرکز اصلی این عملیات روی وزارتخانه‌های دولتی، نیروهای انتظامی، نهادهای کنترل مرزی، بخش‌های مالی و تجاری، انرژی، معدن، امور مهاجرت و سازمان‌های دیپلماتیک بوده است.

بررسی‌ها نشان می‌دهد این حملات دست‌کم ۷۰ سازمان دولتی و زیرساخت حیاتی را در ۳۷ کشور با موفقیت آلوده کرده‌اند. این نفوذها شامل سازمان‌هایی مرتبط با سیاست‌های تجاری، مسائل ژئوپلیتیکی و انتخابات در قاره آمریکا، وزارتخانه‌ها و پارلمان‌های چندین کشور اروپایی، وزارت خزانه‌داری استرالیا، و نهادهای دولتی و زیرساختی در تایوان بوده است.
 
گستره کشورهایی که هدف قرار گرفته یا دچار نفوذ شده‌اند بسیار وسیع است و به نظر می‌رسد زمان‌بندی حملات در برخی مناطق با رویدادهای سیاسی خاص ارتباط داشته است. برای نمونه، در جریان تعطیلی دولت آمریکا در اکتبر ۲۰۲۵، این گروه توجه ویژه‌ای به اسکن و بررسی زیرساخت‌های کشورهای آمریکای شمالی، مرکزی و جنوبی نشان داد.

همچنین حدود یک ماه پیش از انتخابات ملی هندوراس، فعالیت شناسایی گسترده‌ای علیه حداقل ۲۰۰ آدرس اینترنتی مرتبط با زیرساخت‌های دولتی این کشور مشاهده شد، آن هم در شرایطی که هر دو نامزد انتخابات از احتمال ازسرگیری روابط دیپلماتیک با تایوان صحبت کرده بودند.
 
بر اساس ارزیابی‌ها، این گروه موفق شده به نهادهای مختلفی نفوذ کند، از جمله وزارت معادن و انرژی برزیل، یک نهاد مرتبط با معدن در بولیوی، دو وزارتخانه در مکزیک، زیرساخت‌های دولتی پاناما، سیستمی مرتبط با یک مجموعه صنعتی فناوری در ونزوئلا، چندین نهاد دولتی در کشورهای اروپایی مانند قبرس، چک، آلمان، یونان، ایتالیا، لهستان، پرتغال و صربستان، یک شرکت هواپیمایی در اندونزی، چندین وزارتخانه و اداره دولتی در مالزی، یک نهاد انتظامی در مغولستان، یکی از تأمین‌کنندگان اصلی تجهیزات صنعت برق تایوان، یک اداره دولتی در تایلند و همچنین زیرساخت‌های حیاتی در چند کشور آفریقایی.

علاوه بر این، تلاش‌هایی برای برقراری ارتباط از طریق SSH با زیرساخت‌های وزارت خزانه‌داری استرالیا، وزارت دارایی افغانستان و دفتر نخست‌وزیری نپال نیز مشاهده شده است.
 
تحقیقات همچنین نشان می‌دهد این گروه اقدام به شناسایی و تلاش برای نفوذ به سازمان‌های دیگر نیز کرده است. به عنوان مثال زیرساخت‌های دولتی جمهوری چک از جمله ارتش، پلیس، پارلمان و چندین وزارتخانه مورد اسکن قرار گرفته‌اند.

همچنین تلاش برای نفوذ به زیرساخت‌های اتحادیه اروپا از طریق هدف قرار دادن بیش از ۶۰۰ آدرس اینترنتی مرتبط با دامنه europa.eu ثبت شده است. در ماه ژوئیه ۲۰۲۵ نیز تمرکز ویژه‌ای روی آلمان وجود داشت و صدها آدرس اینترنتی مرتبط با سیستم‌های دولتی این کشور مورد بررسی قرار گرفت.
 
در مراحل اولیه این عملیات، حملات عمدتاً از طریق ایمیل‌های فیشینگ بسیار هدفمند انجام می‌شد که برای مقامات دولتی ارسال می‌شد و معمولاً به تغییرات داخلی ساختار وزارتخانه‌ها اشاره داشت. این ایمیل‌ها شامل لینک‌هایی به فایل‌های فشرده آلوده بودند که در سرویس ذخیره‌سازی Mega.nz قرار داشتند.

این فایل‌ها حاوی یک برنامه بارگذار بدافزار به نام Diaoyu و یک فایل تصویری خالی بودند. این بارگذار در شرایط خاص، ابزارهای نفوذی مانند Cobalt Strike و چارچوب کنترل از راه دور VShell را دریافت و اجرا می‌کرد. وجود فایل تصویری خالی نقش نوعی بررسی صحت محیط اجرا را داشت و در صورت نبود آن، بدافزار اجرا نمی‌شد. این بدافزار همچنین تلاش می‌کرد حضور نرم‌افزارهای امنیتی مختلف را شناسایی کرده و از آن‌ها فرار کند.
 
علاوه بر فیشینگ، این گروه از حداقل ۱۵ آسیب‌پذیری شناخته‌شده در نرم‌افزارهایی مانند SAP Solution Manager، سرور Microsoft Exchange، تجهیزات شبکه D-Link و سیستم‌عامل ویندوز برای دسترسی اولیه سوءاستفاده کرده است.
 
در کنار ابزارهای رایج نفوذ مانند وب‌شل‌ها و ابزارهای تونل‌سازی شبکه، محققان به یک روت‌کیت جدید لینوکسی به نام ShadowGuard نیز برخورد کردند که مبتنی بر فناوری eBPF است و احتمال می‌رود مخصوص همین گروه طراحی شده باشد. این نوع بدافزارها به دلیل فعالیت در سطح هسته سیستم‌عامل بسیار سخت شناسایی می‌شوند و می‌توانند عملکردهای اصلی سیستم و گزارش‌های نظارتی را دستکاری کنند.

این روت‌کیت قادر است اطلاعات مربوط به پردازش‌های مخرب را مخفی کند، برخی شناسه‌های پردازشی را از ابزارهای نظارتی پنهان سازد و حتی فایل‌ها و پوشه‌های خاصی را از دید بازرسی دستی مخفی کند.
 
زیرساخت مورد استفاده در این عملیات شامل سرورهایی است که از خدمات VPS قانونی در آمریکا، سنگاپور و بریتانیا استفاده می‌کنند و همچنین از سرورهای واسطه، پروکسی‌های خانگی و شبکه Tor برای مخفی‌سازی مسیر ارتباطات بهره می‌برند. این گروه همچنین از دامنه‌هایی استفاده کرده که شباهت ظاهری به دامنه‌های رسمی کشور هدف دارند تا احتمال فریب کاربران را افزایش دهند.

انتهای پیام