تشهد الساحة السيبرانية في آسيا وأمريكا اللاتينية تصعيداً لافتاً في وتيرة الهجمات الإلكترونية التي تقف وراءها مجموعة تهديد مرتبطة بالصين تُعرف باسم “Earth Lamia”.
هذه المجموعة تُتهم باستغلال ثغرات خطيرة في أنظمة مثل SAP NetWeaver وMicrosoft SQL Server لاختراق مؤسسات متعددة الجنسيات، شملت دولاً كالبرازيل والهند وإندونيسيا والفلبين وتايلاند وفيتنام. وتستغل “Earth Lamia” ثغرات الحقن في قواعد البيانات (SQL Injection) إلى جانب ثغرات أخرى معروفة للوصول إلى خوادم مكشوفة على الإنترنت، مستهدفة بذلك قطاعات حيوية تشمل الخدمات المالية، اللوجستية، التجارة الإلكترونية، ومؤخراً مؤسسات التعليم العالي والهيئات الحكومية.
وتُظهر التحقيقات الأمنية التي نشرتها شركات كبرى مثل Trend Micro وSophos أن هذه الهجمات لا تقتصر على الاستغلال الأولي للثغرات، بل تمتد إلى تنفيذ عمليات معقدة لما بعد الاختراق باستخدام أدوات شهيرة مثل Cobalt Strike وSupershell، إلى جانب تقنيات تصعيد الامتيازات (Privilege Escalation) باستخدام أدوات مثل GodPotato وJuicyPotato. وتقوم المجموعة أيضاً بإخفاء آثارها عبر حذف سجلات الأحداث (Event Logs) باستخدام أدوات نظامية مثل wevtutil.exe، بينما شوهدت في حالات متعددة وهي تحاول نشر برمجيات فدية مثل Mimic، وإن كانت المحاولات غالباً ما تنتهي بالفشل أو بالحذف اليدوي لتلك البرمجيات.
اللافت في تطور أنشطة “Earth Lamia” هو انتقالها السريع من استهداف المؤسسات المالية إلى قطاعات أخرى مثل تكنولوجيا المعلومات والتعليم والحكومات، مما يعكس تغيراً استراتيجياً في أهدافها. كما أن المجموعة تعمل على تطوير أبواب خلفية مخصصة مثل “PULSEPACK”، وهو برنامج خبيث مبني بتقنية .NET ويُستخدم عبر تقنية DLL Side-Loading، مع تحديثات متواصلة لتحسين طريقة الاتصال بخوادم القيادة والسيطرة (C2) من خلال بروتوكولات أكثر تطوراً مثل WebSocket. كل هذه المؤشرات تدل على أن “Earth Lamia” تمثل تهديداً متنامياً في المشهد السيبراني العالمي.
