کمیته رکن چهارم – یک گروه هکری وابسته به دولت چین با نام UnsolicitedBooker، طی چند سال گذشته یک نهاد بینالمللی مستقر در عربستان سعودی را هدف حملات سایبری قرار داده است. این گروه با ارسال ایمیلهای فیشینگ و استفاده از بدافزاری به نام MarsSnake، تلاش کرده به اطلاعات داخلی این نهاد دسترسی پیدا کند.
به گزارش کمیته رکن چهارم، شرکت امنیت سایبری ESET اعلام کرده که این حملات از سال ۲۰۲۳ آغاز شده و تا سال ۲۰۲۵ نیز ادامه داشته است. در این مدت، مهاجمان ایمیلهایی با ظاهر رسمی و محتوای جعلی بلیت پرواز ارسال کردهاند. در یکی از موارد، ایمیلی به نام خطوط هوایی سعودی برای این نهاد فرستاده شده که حاوی یک فایل Word آلوده بوده است.
پس از باز شدن فایل، یک کد مخرب اجرا شده و بدافزار MarsSnake روی سیستم نصب میشود. این بدافزار به هکرها امکان میدهد کنترل کامل سیستم را در دست بگیرند، فایلها را بخوانند یا تغییر دهند و دستورات مختلف اجرا کنند.
بررسیها نشان میدهد که این گروه پیشتر نیز از بدافزارهای دیگری مانند Chinoxy و Poison Ivy استفاده کرده و شباهتهایی با گروههای دیگر نظیر Space Pirates دارد. کارشناسان امنیتی میگویند تکرار این حملات نشاندهنده اهمیت خاص این نهاد سعودی برای مهاجمان است.
در همین حال، گروههای چینی دیگری نیز حملات مشابهی انجام دادهاند. برای مثال، گروه APT31 از بدافزار NanoSlate برای هدفگیری نهادهای دولتی اروپایی استفاده کرده و گروه DigitalRecyclers هم از ابزارهایی مانند HydroRShell بهره برده که از فناوریهای پیچیدهای مانند Protobuf و Mbed TLS برای پنهانسازی ارتباطات استفاده میکند.
کارشناسان تأکید کردهاند که این بدافزارها پیشرفته و بسیار خطرناک هستند و سطح بالایی از توانایی فنی در طراحی آنها به کار رفته است.
