استُهدِف كبار أعضاء مؤتمر الأويغور العالمي (WUC) الذين يعيشون في المنفى، بحملة تصيد احتيالي معقدة استخدمت برنامجًا خبيثًا تم تمريره عبر محرر نصوص يبدو شرعيًا باللغة الأويغورية.
يمثل هذا الهجوم، الذي بدأ التحضير له منذ نحو عام، فصلًا جديدًا في حملة القمع الرقمي العابر للحدود التي تشنّها الصين ضد جالية الأويغور في الخارج.
وعلى الرغم من أن البرنامج الخبيث لم يكن متطورًا للغاية، فإن الهندسة الاجتماعية المستخدمة صممت بإتقان لتستهدف المجتمع المستهدف، مما يُظهر التهديد المستمر الذي يواجهه النشطاء الأويغور في الخارج.
تم اكتشاف الهجوم بعد أن تلقى أعضاء مؤتمر الأويغور العالمي إشعارات من غوغل تُحذرهم من هجمات مدعومة من جهات حكومية تستهدف حساباتهم.
كشفت التحقيقات أن المهاجمين أرسلوا رسائل بريد إلكتروني انتحلوا فيها صفة منظمة شريكة، وحثوا المستلمين على تحميل وتجربة محرر نصوص مفتوح المصدر يبدو شرعيًا يُدعى “UyghurEditPP” باللغة الأويغورية.
احتوت الرسائل على روابط من Google Drive لأرشيف RAR محمي بكلمة مرور يتضمن البرنامج الخبيث.
وأشار الباحثون الذين حققوا في الحادثة إلى أن “الخدعة التي استخدمها المهاجمون تتبع نمطًا معتادًا: فجهات التهديد التي يُرجّح ارتباطها بالحكومة الصينية دأبت على استغلال البرامج والمواقع المصممة لدعم الثقافات المهمشة والمضطهدة لاستهداف هذه المجتمعات نفسها رقميًا”.
وقد انتحل المهاجمون شخصية مطور معروف وموثوق من قبل مجتمع الأويغور، مما زاد بشكل كبير من احتمالية أن يثق المستهدفون ويقوموا بتثبيت البرنامج الخبيث.
التحليل الفني يُظهر بنية تحتية تعود لعام 1445هـ (2024م)
الباب الخلفي المزروع في التطبيق المُصاب صُمم لتحديد مواصفات نظام ويندوز الخاص بالهدف، ولتمكين الجهات المُشغلة من تنفيذ أوامر إضافية عبر ملحقات مخصصة.
جمع البرنامج معلومات النظام، بما في ذلك اسم الجهاز، واسم المستخدم، وعنوان IP، وإصدار نظام التشغيل، ومجموعة من معرفات الأجهزة، قبل إرسال هذه البيانات إلى خوادم القيادة والتحكم.
تشير الأدلة الفنية إلى أن التحضير لهذه الحملة بدأ في وقت مبكر من 1445هـ (مايو 2024م)، مع تسجيل نطاقات تنتحل صفة مطور “UyghurEditPP” الشرعي.
تواصل البرنامج الخبيث مع نطاقات تحتوي على كلمات ذات دلالة في اللغتين الأويغورية والتُركية مثل “tengri” (إله السماء) و”anar” (للتذكار)، مما يبرز الطابع المُوجَّه للحملة.
حدد الباحثون مجموعتين مميزتين من بنية القيادة والتحكم، مع تداخلات في الشهادات وعناوين IP تُظهر أن المهاجمين غيّروا نهجهم خلال الحملة.
لوحظت شهادة موقعة ذاتيًا تنتحل صفة “Microsoft.COM” على عدة عناوين IP منذ يونيو 2024، مما يدل على شهور من التحضير قبل هجمات مارس 2025.
القمع الرقمي العابر للحدود
تمثل هذه الحملة أحدث مثال على القمع الرقمي المنهجي العابر للحدود الذي تمارسه الصين ضد جالية الأويغور في المهجر.
وباعتبار مؤتمر الأويغور العالمي منظمة دولية تُدافع عن الأويغور حول العالم، فقد كان هدفًا متكررًا للقمع الذي تمارسه الدولة الصينية بسبب جهوده في تسليط الضوء على انتهاكات حقوق الإنسان في تركستان الشرقية.
وأوضح الباحثون أن “القمع الرقمي العابر للحدود يحدث عندما تستخدم الحكومات التكنولوجيا الرقمية لمراقبة المجتمعات المنفية والمهاجرة وترهيبها وإسكاتها”.
“تشتهر الصين بشكل خاص بانخراطها في هذا النوع من الممارسات، بالإضافة إلى ارتكابها أعمالًا أخرى من القمع العابر للحدود مثل الإعادة القسرية للأويغور من الخارج، والمضايقات الجسدية التي تستهدف المدافعين عن حقوق الإنسان المقيمين في المنفى”.
يُعد تسليح أدوات اللغة أمرًا مدمرًا بشكل خاص، نظرًا لأهمية هذه البرامج في الحفاظ على الثقافة الأويغورية.
كما أشار أحد أعضاء مؤتمر الأويغور العالمي، “عدد قليل فقط من أفراد الجالية في المهجر يمتلكون المعرفة التقنية والدافع لتطوير مثل هذه البرامج”، مما يجعل تلغيم هذه الأدوات بالبرمجيات الخبيثة ضارًا للغاية، لأنه يُقوض الثقة في جهود المجتمع للحفاظ على ثقافته.
يوصي خبراء الأمن السيبراني بتحميل البرامج فقط من المصادر الرسمية، والتحقق من هوية الناشرين، والانتباه لمحاولات انتحال النطاقات، للحماية من هجمات مماثلة تستهدف المجتمعات الضعيفة.
gbhackers
اترك تعليقاً