كشفت مجموعة استخبارات التهديدات التابعة لشركة غوغل عن حملة تجسس إلكتروني واسعة نفذتها مجموعة قرصنة مرتبطة بالصين، استهدفت مؤسسات أكاديمية وطبية وعسكرية وبحثية في الولايات المتحدة وكندا، وتمكنت من البقاء داخل بعض الشبكات لأكثر من عام قبل اكتشاف نشاطها.
وبحسب تقرير غوغل، تعقّبت الشركة المجموعة تحت اسم "يو إن سي 6508"، ورصدت نشاطها منذ أيلول 2023 وحتى تشرين الثاني 2025، فيما ركّز القراصنة على جمع معلومات مرتبطة بالاستخبارات الدفاعية والاستراتيجيات العسكرية في منطقة المحيطين الهندي والهادئ والذكاء الاصطناعي والطائرات والمركبات غير المأهولة وبرامج الحرب السيبرانية والأبحاث الطبية.
ولم تكشف غوغل أسماء المؤسسات المستهدفة، إلا أنها أوضحت أن الضحايا شملوا مؤسسات بحثية وطبية وأكاديمية كبرى، ومراكز مرتبطة بالصحة العسكرية، وجهات تعمل في مجالات التجارب السريرية واكتشاف الأدوية وسياسات الصحة العامة والجاهزية الدفاعية. وتوظف هذه المؤسسات مجتمعة آلاف العاملين، وتدير ميزانيات بحثية بمليارات الدولارات.
وقالت غوغل إن أقدم اختراق معروف ضمن الحملة وقع في أيلول 2023، عندما تمكن القراصنة من اختراق خادم تابع لمؤسسة أبحاث طبية في أميركا الشمالية، يعمل بواسطة نظام "ريد كاب"، وهو منصة إلكترونية تستخدمها الجامعات والمستشفيات والمؤسسات غير الربحية لإنشاء قواعد البيانات والاستبيانات وإدارة البحوث السريرية.
وبعد نحو 3 أشهر من الاختراق الأول، زرعت المجموعة برمجية خبيثة طُوّرت خصيصًا للعملية وأطلقت عليها غوغل اسم "إنفينيتي ريد"، أتاحت للقراصنة سرقة بيانات الدخول وكلمات المرور والحفاظ على وجودهم داخل الخادم حتى بعد تحديث البرنامج. كما منحتهم القدرة على تنفيذ أوامر عن بُعد وتحميل الملفات والوصول إلى قواعد البيانات.
ووفق التقرير، بقيت البرمجية تعمل بصورة خفية لأكثر من عام، قبل أن يستخدم القراصنة بيانات الدخول المسروقة للوصول إلى حساب إداري داخل المؤسسة المستهدفة، ما سمح لهم بالانتقال من خادم الأبحاث إلى أنظمة البريد الإلكتروني والشبكة الداخلية.
واستخدمت المجموعة لاحقًا أسلوبًا غير مسبوق لدى الجهات المرتبطة بالصين، تمثل في التلاعب بقواعد الامتثال الخاصة بالبريد الإلكتروني داخل منصة "غوغل وورك سبيس"، إذ أنشأت قاعدة تقوم تلقائيًا بإرسال نسخة مخفية من الرسائل التي تحتوي على كلمات أو عناوين محددة إلى حساب "جيميل" خاضع لسيطرتها.
وشملت القاعدة نحو 150 كلمة مفتاحية وعنوانًا إلكترونيًا ورقم هاتف، ترتبط بالأمن القومي الأميركي والاستراتيجية العسكرية والسياسات الخارجية والمعدات الدفاعية والذكاء الاصطناعي والطائرات المسيّرة والأبحاث الطبية.
وبهذه الطريقة، لم يكن القراصنة مضطرين إلى فتح الرسائل أو تنزيلها يدويًا، إذ كانت أي رسالة تتضمن إحدى الكلمات المحددة تُحوّل تلقائيًا وبصورة سرية إلى الحساب الذي يسيطرون عليه، ما أتاح لهم تدفقًا مستمرًا من المعلومات من دون إثارة انتباه المستخدمين.
وأظهرت الكلمات المستخدمة اهتمامًا خاصًا بأنظمة الطائرات غير المأهولة ووسائل مواجهتها، وبالمقاولين الدفاعيين والمنصات العسكرية والقطع البحرية والعمليات السيبرانية الهجومية، إلى جانب أبحاث الأمراض والأدوية والتجارب السريرية. وأشارت غوغل إلى أن نحو ثلث المصطلحات كان مرتبطًا بأنظمة عسكرية أو شركات دفاعية.
كما تضمنت قائمة البحث اسم وس "شيكونغونيا"، وهو مرض فيروسي ينتقل بواسطة البعوض، في تزامن لافت مع تفشٍّ سُجّل في مقاطعة غوانغدونغ الصينية خلال تموز 2025، ما أثار تساؤلات حول طبيعة المعلومات الطبية التي كانت المجموعة تسعى إلى جمعها.
وقال مسؤولو غوغل إن أساليب المجموعة وأهدافها تتوافق مع أنماط تجسس إلكتروني مرتبطة بالصين رُصدت خلال السنوات الماضية، وتركز عادةً على جمع معلومات تخدم المصالح الاستراتيجية والأمنية والتكنولوجية لبكين.
ونسبت مجموعة استخبارات التهديدات النشاط إلى "يو إن سي 6508" بدرجة ثقة مرتفعة، استنادًا إلى التشابه في البنية التحتية المستخدمة، وتكرار زرع برمجية "إنفينيتي ريد"، وطبيعة المؤسسات المستهدفة، وأولويات جمع المعلومات التي تتقاطع مع أنماط التجسس الصيني المعروفة.
ولم يصدر تعليق فوري عن السفارة الصينية في واشنطن بشأن التقرير، فيما تنفي بكين باستمرار تورطها في عمليات قرصنة غير قانونية أو دعمها مجموعات تجسس إلكتروني تستهدف دولًا ومؤسسات أجنبية.
واستخدم القراصنة شبكة معقدة لإخفاء مصدر نشاطهم، تضمنت أجهزة توجيه مخترقة وخوادم افتراضية وعناوين إنترنت أميركية، ما جعل تحركاتهم تبدو كأنها صادرة من داخل الولايات المتحدة، وصعّب على المؤسسات رصد الاختراق وربطه بجهة خارجية.
وأعلنت غوغل أنها عطّلت حساب "جيميل" الذي استُخدم لسرقة الرسائل، وأبلغت المؤسسات المتضررة، وساعدتها على احتواء الاختراقات، إلا أن باحثين حذّروا من أن الضحايا المعروفين قد يمثلون جزءًا فقط من حملة أوسع لم يُكشف نطاقها الكامل بعد.
وأوصت الشركة المؤسسات بتحديث جميع نسخ برنامج "ريد كاب"، وحذف الإصدارات القديمة وعدم الاكتفاء بتعطيلها، وتفعيل المصادقة الثنائية المقاومة للتصيد الإلكتروني للحسابات الإدارية، ومراقبة التعديلات التي تطرأ على قواعد البريد الإلكتروني وسجلات النشاط.
وتعيد الحملة تسليط الضوء على تصاعد عمليات التجسس السيبراني التي تستهدف المؤسسات البحثية، إذ لا تقتصر قيمة البيانات المسروقة على المعلومات الشخصية أو المالية، بل تشمل الملكية الفكرية والابتكارات الطبية والتقنيات العسكرية والخطط الدفاعية التي قد تمنح الجهة المستفيدة منها أفضلية علمية أو استراتيجية.
كما يكشف الاختراق أن المؤسسات الطبية والأكاديمية أصبحت هدفًا أمنيًا لا يقل أهمية عن الشركات العسكرية والحكومية، نظرًا إلى ما تحتفظ به من نتائج أبحاث وتجارب سريرية وبيانات تقنية ومراسلات مع جهات دفاعية ورسمية.

Social Plugin