تم ربط جهة فاعلة للتهديد المستمر المتقدم (APT) الناطقة باللغة الصينية بباب خلفي مخصص جديد يسمى TinyRCT كجزء من الهجمات الإلكترونية التي تستهدف الكيانات الحكومية والبنية التحتية الحيوية في جنوب شرق آسيا.
ويُعزى هذا النشاط، الذي يستهدف بشكل خاص الشركات المملوكة للدولة في قطاعي الطاقة والحكومة، إلى جهة تهديد تسمى سي إل-ستا-1062، والتي قالت Palo Alto Networks Unit 42 إن أسهمها تتداخل مع UAT-7237، وهي مجموعة قرصنة تم الإبلاغ عنها لأول مرة بواسطة Cisco Talos في أغسطس 2025 فيما يتعلق بحملة موجهة ضد كيانات البنية التحتية للويب في تايوان.
وقالت الوحدة 42 إنها لاحظت أيضًا حملات CL-STA-1062 في عمليات سابقة استهدفت القطاعات الاستراتيجية في شرق آسيا منذ مارس 2022، مما يشير إلى تركيز أوسع ولكن مستدام في المنطقة.
وقالت الوحدة 42 في تقرير فني: “من وجهة نظر فنية، يعتمد المهاجمون الذين يقفون وراء CL-STA-1062 على مجموعة أدوات هجينة”. “على الرغم من أنهم يستخدمون في كثير من الأحيان أدوات شائعة مفتوحة المصدر مثل SoftEther VPN وMimikatz وVNT، فقد قدموا مؤخرًا TinyRCT، وهو باب خلفي مفصل وغير موثق سابقًا.”
تم تجهيز TinyRCT لتشغيل أوامر عشوائية، وتعداد الملفات وإخراجها، والتقاط شاشة الجهاز، وحذف نفسه من المضيف المخترق.
وفي إحدى الحملات التي تم اكتشافها في سبتمبر 2025، قيل إن جهة التهديد قد تسللت إلى كيان حكومي في جنوب شرق آسيا ونشرت غلاف ويب لتصفية البيانات من خادم MS SQL. وخلال الهجوم نفسه، تبين أن الجهات الفاعلة في مجال التهديد تقوم بإجراء استطلاع شبكي على كيان حكومي منفصل في نفس البلد.
وقالت الوحدة 42: “يشير هذا إلى جهد لتحديد فرص الحركة الجانبية وتوسيع نطاق الوصول إليها. وفي إحدى الحالات، لاحظنا أن المهاجم قام بتنظيم وإخراج دليل كامل من كود مصدر خادم الويب من الكيان الحكومي”، مضيفة أنها اكتشفت اختراقًا لما لا يقل عن 10 مؤسسات مختلفة في جنوب شرق آسيا بين أكتوبر وديسمبر 2025.
منذ منتصف عام 2025 على الأقل، قامت CL-STA-1062 بتدريب أنظارها على البنية التحتية الحيوية، حيث يقوم العدو بمسح كيانات متعددة في المنطقة بحثًا عن نقاط الضعف ثم إنشاء موطئ قدم عبر أغطية الويب ASPX التي تسهل الاستطلاع الأولي والطلبات الصادرة من الشبكات المصابة إلى البنية التحتية التي يسيطر عليها المهاجم، مما يؤدي إلى نشر حمولات إضافية.
يتضمن ذلك مكونات SoftEther VPN وأرشيفات RAR التي تحتوي على مجموعة أدوات المجموعة، بما في ذلك الأدوات المساعدة مفتوحة المصدر مثل Yuze (وكيل SOCKS5) وVNT (VPN)، وغالبًا ما يتم إخفاءها على أنها ملفات تنفيذية لـ VMware أو وكيل XDR (على سبيل المثال، “XDRAgent.exe” و”vmtools.exe” و”vmwared.exe”).
أدى المزيد من التحليل للبنية التحتية للحملة إلى اكتشاف باب خلفي غير موثق سابقًا لـ .NET يُطلق عليه اسم TinyRCT (“PerfWatson2.exe”)، وهو حصان طروادة خفيف الوزن للوصول عن بعد يتيح استطلاع النظام وتنفيذ الأوامر وتحميل الملفات والتقاط لقطات الشاشة والتحكم عن بعد ومسح آثار نفسه، مع اتخاذ خطوات لتجنب التشغيل في بيئات وضع الحماية.
يقوم بإنشاء قناة اتصال مستمرة مع خادم بعيد (“45.32.113[.]172”) عبر HTTP، ولكنه يقوم بتشفير البيانات المتبادلة باستخدام تشفير AES-128 في وضع CBC.
وأوضحت الوحدة 42 أن “البرامج الضارة تعمل على نموذج إشارة، مع فترة سكون افتراضية مدتها 10 ثوانٍ بين الطلبات”. “إنه يستقصي خادم C2 للحصول على تعليمات باستخدام طلبات GET، بينما يرسل البيانات المفلترة عبر طلبات POST.”
أما بالنسبة لكيفية تسليم TinyRCT، فهو يأخذ شكل أرشيف ضار يسمى “chrome_setup.zip” يحتوي على ملف شرعي قابل للتنفيذ (“chrome_setup.exe”)، وملف تكوين (“chrome_setup.exe.config”)، وملف DLL مخادع (“MyAppDomainManager.dll”) يُستخدم لبدء هجوم حقن AppDomainManager لتحميل ملف DLL الضار، والذي يعمل بمثابة أداة تنزيل عن طريق الاتصال “139.180.134[.]221” لاسترداد “PerfWatson2.exe.”
وخلصت الوحدة 42 إلى أن “مجموعة الأدوات التي تمت ملاحظتها في مجموعة الأنشطة هذه تعكس نهجًا عمليًا لاختيار الأدوات وقدرات الهجوم”. “يواصل المهاجمون الذين يقفون وراء هذه المجموعة الاستفادة من الأدوات الشائعة مفتوحة المصدر مثل SoftEther VPN وVNT لتسهيل الحركة الجانبية.”
“يؤكد اكتشافنا للباب الخلفي TinyRCT في البنية التحتية للمهاجمين قدرتهم على تخصيص الأدوات لاكتساب قدرات محددة. ويشير الجمع بين استهداف البنية التحتية الحيوية وتطوير البرامج الضارة المخصصة إلى أن نشاط CL-STA-1062 سيستمر في تشكيل تهديد للمنطقة.”
