Warp Panda: عملیات جاسوسی سایبری پیشرفته در هدف قرار دادن شرکتهای آمریکایی
شرکت امنیت سایبری CrowdStrike، یک کمپین جاسوسی سایبری پیچیده را با نام Warp Panda شناسایی کرده است که سازمانهای آمریکایی فعال در حوزههای حقوقی، فناوری و تولید را به عنوان هدف قرار داده است. این فعالیتها با هدف پشتیبانی از منافع استراتژیک جمهوری خلق چین (PRC) انجام میشوند.
سطح بالای پیچیدگی و پنهانکاری
Warp Panda یک گروه هکری پیشرفته است که مهارتهای عملیاتی امنیتی (OPSEC) بالایی را نشان میدهد. آنها از دانش گستردهای در مورد محیطهای ابری و ماشینهای مجازی (VM) برخوردارند، که این امر توانایی آنها در پنهانکاری و بقا در شبکههای آلوده را افزایش داده است.
هدف قرار دادن زیرساختهای VMware
در طول تابستان 2025، CrowdStrike چندین مورد از حملات به محیطهای VMware vCenter را شناسایی کرد. این نشان میدهد که Warp Panda در تلاش برای دستیابی به کنترل و جمعآوری اطلاعات از شبکههای هدف، بر زیرساختهای مجازی تمرکز دارد.
جمعآوری اطلاعات حساس
گزارشها حاکی از آن است که هکرها با دسترسی به یکی از شبکههای نفوذ کرده، اقدام به جمعآوری اطلاعات اولیه در مورد یک نهاد دولتی در منطقه آسیا-پاسیفیک کردهاند. علاوه بر این، آنها به حسابهای ایمیل کارمندانی دسترسی پیدا کردهاند که روی موضوعاتی کار میکنند که با منافع دولت چین همسو هستند.
دامنه فعالیت و هدف
Warp Panda بهطور مداوم در شبکههای آمریکایی نفوذ میکند، دسترسی پنهان و پایدار را حفظ میکند تا اطلاعات جمعآوری شده با اهداف استراتژیک PRC سازگار باشد. این گروه از سال 2022 فعال بوده و انتظار میرود به فعالیتهای جمعآوری اطلاعات خود در کوتاهمدت و بلندمدت ادامه دهد.
استفاده از ابزارهای مخرب
CrowdStrike گزارش داده است که Warp Panda از بدافزار BRICKSTORM بر روی سرورهای VMware vCenter استفاده کرده است. این بدافزار، یک پشتیدر (backdoor) نوشته شده به زبان Golang است که اغلب خود را به عنوان فرآیندهای قانونی vCenter مانند updatemgr یا vami-http معرفی میکند.
بدافزارهای جدید Warp Panda
علاوه بر BRICKSTORM، این گروه دو ایمپلنت مبتنی بر Golang به نامهای Junction و GuestConduit را نیز در هاستهای ESXi و ماشینهای مجازی مهمان (guest VMs) مستقر کرده است. CISA تجزیه و تحلیل کرده است که این عوامل تهدید سایبری از BRICKSTORM برای دسترسی پایدار از آوریل 2024 تا سپتامبر 3، 2025 استفاده کردهاند.
روشهای نفوذ و حرکت جانبی
Warp Panda اغلب با بهرهگیری از دستگاههای لبه (edge devices) متصل به اینترنت دسترسی اولیه را بدست میآورد و سپس به محیطهای vCenter منتقل میشود. آنها برای دستیابی به این هدف، از اعتبارنامههای معتبر استفاده میکنند یا آسیبپذیریهای vCenter را سوءاستفاده میکنند. برای حرکت جانبی در شبکههای آلوده، از SSH و حساب مدیریت privileged vCenter به نام vpxuser استفاده میکنند. در برخی موارد، آنها از پروتکل انتقال فایل امن (SFTP) برای انتقال دادهها بین هاستها نیز استفاده کردهاند.
پنهانکاری در ترافیک شبکه
برای پنهان کردن فعالیتهای خود و ترکیب شدن با ترافیک قانونی شبکه، Warp Panda از BRICKSTORM برای مسیریابی ترافیک از طریق سرورهای vCenter، هاستهای ESXi و ماشینهای مجازی استفاده میکند. ایمپلنتهای BRICKSTORM به گونهای طراحی شدهاند که حتی پس از حذف فایلها و راهاندازی مجدد سیستم نیز پایداری خود را حفظ کنند.
بهرهبرداری از آسیبپذیریها
Warp Panda بهطور مداوم از آسیبپذیریهای موجود در دستگاههای لبه و محیطهای VMware vCenter در طول عملیات خود بهره برده است. این موضوع نشاندهنده اهمیت بهروزرسانی مداوم سیستمها و نرمافزارها برای کاهش خطر حملات سایبری است.
📌 توجه: این مطلب از منابع بینالمللی ترجمه و بازنویسی شده است.