سلالة ناشئة من برامج الفدية تُعرف باسم Warlock – والتي كانت مرتبطة بهجمات متعددة تم تنظيمها عبر ثغرات أمنية في مثيلات Microsoft SharePoint Server داخل الشركة خلال صيف 2025 – تم ربطه بالجهات الفاعلة التي تهدد الدولة القومية الصينية بدرجة عالية من اليقين من قبل الباحثين في مركز أبحاث برامج الفدية في Halcyon.
نشأت هجمات SharePoint من خلال سلسلة ثغرات أمنية يطلق عليها اسم ToolShell، وسرعان ما تم ربطها بمجموعتين صينيتين معروفتين للتهديد المستمر المتقدم (APT) – إعصار الكتان وإعصار البنفسج – بواسطة مايكروسوفت.
وفي الوقت نفسه، لاحظت مايكروسوفت وجود جهة تهديد غير مصنفة تُعرف باسم Storm-2603 تستغل ثغرات ToolShell، وسرعان ما وقفت رابطًا إلى Warlock. بحلول أواخر أغسطس، كان مشغلو Warlock قد أودوا بعدد من الضحايا بما في ذلك شركات الاتصالات كولت وأورانج.
وبعد شهرين، يقول فريق Halcyon الآن إن Warlock من المحتمل أن يكون له علاقات مع APTs الصينية التي حددتها Microsoft، وهو تقييم استند إلى الوصول المبكر للعصابة إلى ToolShell، وعينات البرامج الضارة الجديدة والتحليل الفني، الذي يدعي أنه يسلط الضوء على التطوير المهني الأكثر اتساقًا مع مجموعات الدولة الممولة جيدًا أكثر من المجرمين.
وقال الفريق: “تضمن تحليلنا الفني الجديد تحديد أن Warlock خطط منذ البداية لنشر عائلات متعددة من برامج الفدية للتشويش على الإسناد وتجنب الكشف وتسريع التأثير. واستنادًا إلى التداخلات الفنية، تتبع Halcyon Warlock بنفس المجموعة مثل Storm-2603 – Microsoft – وCl-CRI-1040 – Palo Alto Unit 42”.
أكد فريق Halcyon أيضًا على الروابط المقترحة مسبقًا لـ LockBit، مشيرًا إلى أن Warlock استمتع “بالتميز” لكونه الشركة التابعة النهائية لـ LockBit مسجلة قبل تسرب البيانات في مايو 2025 وقد استفادت من LockBit 3.0 كأداة تشغيلية وأساس تطوير لخزانة برامج الفدية الخاصة بها.
وقالت سينثيا كايزر، نائبة الرئيس الأولى في مركز أبحاث برامج الفدية في Halcyon، إن الإسناد لم يأت من فراغ نظرًا لطبيعة اختراق Sharepoint البارزة والمعلن عنها على نطاق واسع.
وقال كايزر لموقع Computer Weekly: “ومع ذلك، فإن هذه النتائج مهمة بشكل خاص لأنها تثير القلق من حدوث المزيد من هجمات برامج الفدية الناتجة عن تقدم نشاط الدولة القومية”. “من الناحية التاريخية، كانت هجمات برامج الفدية وهجمات الدول القومية [or] كان للتجسس دوافع وتكتيكات منفصلة لتحقيق أهدافه – فمعرفة أن برامج الفدية قد تكون بمثابة تأثير غير مباشر لنشاط الدولة القومية يضع المزيد من الضغط على المدافعين عن الشبكة الذين قد لا يكونون مستعدين.
في هذه الحالة، قال كاسيير، كان من الصعب تحديد الطبيعة الدقيقة للعلاقة المفترضة – ربما يستفيد مشغلو Warlock من الاتصالات الشخصية بعد أن عملوا مع عملاء الإنترنت الحكوميين الصينيين في الماضي، أو قد يكون التعاون رسميًا أكثر مباشرة، وربما حتى يتم التعاقد عليه بشكل مباشر. وأضافت: “نتوقع أن يحظى معظم هذا النشاط بموافقة ضمنية، ولكن ليس بالضرورة صريحة، من بكين”.
حدود جديدة
هذه ليست بالضرورة المرة الأولى التي يُسمح فيها لمجرمي الإنترنت الصينيين ذوي الدوافع المالية بالعمل دون تداعيات من الحكومة – حيث أشار كايزر إلى هجمات الهافنيوم على خادم مايكروسوفت إكستشينج مرة أخرى في عام 2021 والذي أظهر أيضًا درجة من التداخل.
ومع ذلك، قالت كايزر إنها تتوقع أن ينمو هذا الاتجاه، وأن التوسع المتراكم للتجسس الإلكتروني الصيني في المناطق المجاورة يمثل جبهة جديدة وخطيرة للمدافعين.
وقال كايزر: “من المهم أن يدرك المدافعون عن الشبكات إمكانية تحول حملات التجسس إلى هجمات ببرامج الفدية. وقد لا يفكر المدافعون عن الشبكات بشكل طبيعي في برامج الفدية عندما يتعاملون مع هجوم على دولة قومية”. “ما كان يمثل تركيزًا ثنائيًا بين هجمات طلب الفدية وهجمات الدولة القومية، يجب الآن النظر فيه معًا. هذه ليست مشكلة صينية فقط. نحن بحاجة إلى الاستعداد لأن تصبح أكثر شيوعًا في جميع المجالات – وهذه ليست حالة لمرة واحدة”.
