حمله هکرهای چینی به دولت‌های آفریقا و آمریکای جنوبی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، به گفته تیم‌های تحقیقاتی شرکت‌های سیمانتک (Symantec) و کربن بلک (Carbon Black)، این حملات از طریق آسیب‌پذیری CVE-2025-53770 در سامانه‌های شیرپوینت (SharePoint) انجام شده و چندین نهاد در آفریقا، آمریکای جنوبی، خاورمیانه، اروپا و حتی یک دانشگاه آمریکایی هدف قرار گرفته‌اند.

شواهد نشان می‌دهد عاملان چینی از این نقص برای جاسوسی و دسترسی پنهانی بلندمدت استفاده کرده‌اند.

در این حملات، بدافزارهایی شناخته‌شده مانند زینگ دور (Zingdoor)، شادوپد (ShadowPad) و کراستی لودر (KrustyLoader) به‌کار رفته‌اند؛ ابزارهایی که پیش‌تر نیز توسط گروه‌های هکری وابسته به دولت چین مورد استفاده قرار گرفته بودند.

پس از نفوذ، مهاجمان اطلاعات سیستم‌ها را جمع‌آوری کرده و دسترسی ماندگار ایجاد کردند.

مایکروسافت تأیید کرده که دو گروه چینی به نام‌های طوفان لینن (Linen Typhoon) و طوفان وایولت (Violet Typhoon9 در بهره‌برداری از این نقص نقش داشته‌اند.

طبق گزارش‌ها، این دو گروه بیش از یک دهه است که در حملات جاسوسی و سرقت مالکیت فکری فعال‌اند.

شرکت امنیتی هلندی آی سکیوریتی (Eye Security) تخمین زده که بیش از ۴۰۰ سازمان دولتی و تجاری در سراسر جهان قربانی این نقص شده‌اند.

حتی نهادهایی چون وزارت امنیت داخلی آمریکا و اداره امنیت هسته‌ای ملی نیز آسیب دیده‌اند.

در کنار این حملات، یک گروه دیگر از چین با بهره‌گیری از نقص مشابه (CVE-2025-49706) بدافزار باج‌افزاری جدیدی به نام وارلاک (Warlock) را در جولای ۲۰۲۵ منتشر کرده است.

پژوهشگران معتقدند ریشه این باج‌افزار به سال‌های قبل بازمی‌گردد و احتمالاً نسخه‌ای بازطراحی‌شده از خانواده‌هایی مانند انی لاک (AnyLock) یا لاکبیت (LockBit) است.

کارشناسان می‌گویند استفاده گروه‌های چینی از باج‌افزار ممکن است نه‌تنها برای کسب درآمد، بلکه برای پوشش فعالیت‌های جاسوسی نیز باشد.