Mustang Panda وLOTUSLITE: تهديد تجسس صيني يطرق أبواب بنوك SAMA

كشف فريق Acronis TRU في تقرير حديث عن تطوّر لافت في نشاط مجموعة Mustang Panda الصينية المعروفة باستهداف الجهات الحكومية، إذ توسّعت لتشمل القطاع المصرفي الهندي ومراكز السياسات في كوريا الجنوبية بحملة تصيّد مدروسة تنشر إصداراً مُحدَّثاً من باب خلفي يُعرَف بـ LOTUSLITE. الحملة بدأت في مارس 2026 وتستخدم ملفات CHM متنكّرة باسم بنك HDFC الهندي. التحوّل من جواسيس حكوميين إلى أهداف مصرفية ينبغي أن يدقّ ناقوس الخطر في كل غرفة CISO خاضعة لرقابة البنك المركزي السعودي.

تشريح سلسلة الهجوم: من ملف CHM إلى باب خلفي مستقر

بدأ المهاجمون بإرسال رسائل تصيّد موجّهة (Spear-phishing) تحمل مرفقاً اسمه "Request for Support.chm" — وهو نوع ملفات تعليمات Microsoft المُجمَّعة (Compiled HTML Help). عند فتح الملف، تظهر نافذة منبثقة تستخدم اسم وشعار HDFC Bank Limited لإيهام الضحية بأن المستند مشروع. خلف هذا الستار، يُنفِّذ ملف CHM سلسلة أوامر تُنزِّل سكربت JavaScript خبيث باسم music.js من نطاق cosmosmusiccom، يُمثّل المُحمِّل الأوّلي لزرع LOTUSLITE في النظام.

تكتيك CHM ليس جديداً على Mustang Panda، لكن الجديد هو الانتقاء الدقيق للطُعم: استخدام علامة بنكية تجارية تخاطب موظفاً مالياً يتعامل يومياً مع رسائل دعم من شركاء وموردين. هذه الفصاحة في الهندسة الاجتماعية ترفع نسبة النقر بشكل كبير، خاصةً في بيئات لم تُفعِّل سياسات تقييد فتح ملفات CHM في بوابة البريد.

تطوّر LOTUSLITE: نسب جيني واضح من الإصدار الأصلي

تحليل الكود يُؤكّد امتداداً مباشراً من LOTUSLITE الأصلي: بنية أوامر متطابقة، آليات الاستمرارية ذاتها، وبقايا تصدير اسمه KugouMain ورثها الإصدار الجديد من النسخة السابقة. هذه الإشارات تُشكّل ما يُطلق عليه باحثو التهديدات "البصمة الجينية" (genetic fingerprint) للعائلة الواحدة، وتُفنّد أي ادعاء بأن البرمجية أداة مستقلة.

على صعيد الاتصالات، يستخدم الباب الخلفي خادم Command-and-Control يعتمد DNS الديناميكي عبر HTTPS، ما يُصعِّب الكشف بناءً على قائمة سوداء ثابتة. القدرات تشمل: shell عن بُعد، عمليات على الملفات (رفع/تنزيل/تعديل/حذف)، وإدارة الجلسات. غياب وحدات سرقة بيانات اعتماد بنكية مباشرة يؤكّد أن الدافع تجسسي بحت — جمع المعلومات حول العمليات المصرفية، السياسات النقدية، والعلاقات الجيوسياسية — لا الاحتيال المالي السريع.

التأثير على المؤسسات المالية السعودية

قد يبدو التهديد بعيداً جغرافياً، لكن قراءة المشهد تكشف ثلاث نقاط تماس مع القطاع المصرفي السعودي: أولاً، توسّع علاقات المملكة التجارية ضمن مبادرة الحزام والطريق وتنامي حضور البنوك السعودية في الأسواق الآسيوية يجعلها هدفاً ذا قيمة استخباراتية مماثلة. ثانياً، تكتيكات Mustang Panda قابلة للنسخ المباشر مع تبديل الطُعم — يكفي تغيير اسم HDFC إلى اسم بنك سعودي محلي. ثالثاً، البنوك السعودية تتعامل مع موردين تقنيين صينيين متزايدي الحضور، ما يفتح ناقل سلسلة توريد محتمل.

على مستوى SAMA CSCC v1.0، يفرض الضابط 3.3.10 (Email Security) فلترة المرفقات الخبيثة، ويُلزم الضابط 3.3.13 (Cyber Security Event Management) بربط الأحداث في SOC مع feeds استخبارات تهديدات حديثة، أمّا الضابط 3.3.16 (Threat Intelligence) فيُحتّم تشغيل قدرة CTI تستوعب مؤشرات الاختراق من حملات إقليمية مماثلة. على صعيد NCA ECC، الضابط 4-3-2 يُلزم المؤسسات بأنظمة فلترة بريد متقدمة ومراقبة مستمرة لـ APT.

التوصيات والخطوات العملية

1. حظر ملفات CHM في بوابة البريد كافتراض، مع استثناء مُحوكَم وموثَّق فقط للحالات التشغيلية. ملفات التعليمات لا ينبغي أن تصل المستخدم النهائي عبر البريد في 2026.
2. إضافة قواعد كشف Sigma/YARA لـ LOTUSLITE في منصة EDR، خاصةً البحث عن ملفات JavaScript تُنفَّذ من سياق hh.exe (المعالج الأم لملفات CHM)، وعمليات تنزيل من نطاقات DNS ديناميكية مرتبطة بـ DuckDNS و No-IP.
3. حظر النطاق cosmosmusiccom ومؤشراته الفرعية في DNS الداخلي وبوابات الويب، وتوسيع الحظر ليشمل قائمة DDNS المرتبطة بنشاط Mustang Panda السابق.
4. تفعيل AppLocker أو Windows Defender Application Control لمنع تنفيذ ملفات .chm من مجلدات المستخدم، وحصرها في مسارات نظامية موقَّعة.
5. تنفيذ Threat Hunting موجَّه في سجلات DNS وProxy لآخر 60 يوماً بحثاً عن استعلامات شاذة لنطاقات مشكوك بها، مع التركيز على نمط استدعاء HTTPS من عمليات JavaScript host (wscript/cscript).
6. تحديث برنامج التوعية للموظفين الماليين بمحاكاة هجوم spear-phishing يستخدم اسم بنك زميل أو مورد مالي، وقياس معدل الإبلاغ مقابل معدل النقر — هذا المقياس مطلوب في تقارير SAMA الربعية.
7. الاشتراك في feeds استخبارات تهديدات منطقة آسيا-المحيط الهادئ مثل تقارير Acronis TRU وHackread، لأن تكتيكات APT الصينية تتسرّب عادةً إلى منطقة الخليج خلال 6-12 شهراً من ظهورها الأول.

الخلاصة

Mustang Panda لا تستهدف اسماً بعينه بل قطاعاً بأسره. اختيارها للقطاع المصرفي الآسيوي يكشف توجهاً استراتيجياً صينياً نحو فهم البنية النقدية والمالية الإقليمية. البنوك السعودية ليست بمنأى عن هذا التوجّه، خاصةً مع تنامي العلاقات التجارية والاستثمارية مع آسيا. النضج السيبراني لا يعني الانتظار حتى تصلك الحملة — بل بناء قدرات الكشف والاستجابة قبل أن يخرج اسمك في تقرير الباحثين.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة قدرات الكشف عن APT وحوكمة الاستخبارات السيبرانية.