کمیته رکن چهارم – یک گروه هکری وابسته به چین با نام Jewelbug بهمدت پنج ماه بهصورت مخفیانه در شبکه یکی از شرکتهای خدمات فناوری اطلاعات در روسیه نفوذ کرده است. این رخداد، گسترش فعالیتهای این گروه فراتر از حوزههای پیشین در جنوب شرق آسیا و آمریکای لاتین را نشان میدهد.
به گزارش کمیته رکن چهارم، شرکت امنیت سایبری Symantec این نفوذ را به گروه Jewelbug نسبت داده و اعلام کرده است که فعالیت آنها با خوشههایی چون Earth Alux، CL-STA-0049 و REF7707 همپوشانی دارد. بررسیها نشان میدهد علیرغم روابط رو به گسترش میان چین و روسیه، این کشور همچنان هدف جاسوسی سایبری پکن قرار دارد.
مهاجمان به سیستمهای ساخت نرمافزار و مخازن کد دسترسی یافته و دادههایی را نیز به فضای ابری Yandex منتقل کردهاند. این نوع نفوذ، زمینه را برای حملات زنجیرهای علیه مشتریان آن شرکت فراهم میکند.
گروه Jewelbug از ابزارهای پیشرفتهای مانند نسخه تغییر یافته Microsoft Debugger برای اجرای کدهای مخرب، دور زدن لیست مجاز برنامهها، اجرای DLL، و غیرفعالسازی ابزارهای امنیتی استفاده کرده است. اقدامات دیگری نظیر سرریز اطلاعات هویتی، زمانبندی اجرای برنامهها و پاکسازی ردپاها نیز در این حمله بهکار رفته است.
در نمونه دیگری از حملات Jewelbug در جولای ۲۰۲۵، این گروه به یک سازمان دولتی در آمریکای جنوبی نفوذ کرده و از یک دربپشتی در حال توسعه با ارتباط مبتنی بر Microsoft Graph API و OneDrive استفاده کرده است. این ابزار با هدف پنهانکاری طراحی شده و آثار کمی در تحلیلهای پس از حمله بر جای میگذارد.
در حملهای دیگر به یک شرکت تایوانی در اکتبر و نوامبر ۲۰۲۴، این گروه از تکنیک DLL side-loading برای اجرای ShadowPad بهره برده که یکی از بدافزارهای انحصاری مورد استفاده گروههای چینی است. سایر ابزارهای مورد استفاده شامل KillAV برای غیرفعالسازی آنتیویروس، EchoDrv برای سوءاستفاده از آسیبپذیری درایورها و ابزارهایی مانند Mimikatz و EarthWorm بوده است.
شرکت Symantec اعلام کرده هنوز مسیر دقیق ورود اولیه در این حملات مشخص نیست، اما تمرکز این گروه بر استفاده از سرویسهای قانونی و ابزارهای ابری نشاندهنده رویکردی پنهانکارانه و ماندگار است. این گزارش در حالی منتشر میشود که دولت تایوان نیز نسبت به افزایش حملات سایبری چین علیه نهادهای دولتی و تلاش برای تأثیرگذاری بر افکار عمومی در شبکههای اجتماعی هشدار داده است.
