لوحظ انخفاض في عمليات APT الصينية خلال تطهير PLA في عام 2026
برايوكت كيه في
الأحداث الأخيرة في الصين ألقت بظلالها على الأنشطة التي يقوم بها الجهات الفاعلة المدعومة من الدولة والمساندة لبكين. وفي حين هناك انخفاض طفيف في أنشطة الجهات الفاعلة الصينية المهددة المسجلة في جميع أنحاء العالم، فإن هذا لا يعني بالضرورة انخفاضًا طويل الأمد. بل يعكس هذا الركود تباطؤًا مؤقتًا نتيجة لإعادة توجيه أولويات وزارة أمن الدولة في الصين استجابة للتغيرات المفاجئة وغير المتوقعة في البيئة السياسية الداخلية.
الإشارة إلى "الكرسي الفارغ" الذي شوهد في جلسة الدراسة عالية المستوى في 20 يناير 2026 في بكين أشار إلى ما يُعتبر أكبر عملية فصل لرؤساء جيش التحرير الشعبي الصيني في العصر الحديث. وجاء التأكيد الرسمي بعد ذلك بوقت قصير في 24 يناير. تم اعتقال الجنرال زهانغ يوكسيا (نائب رئيس اللجنة العسكرية المركزية) والجنرال ليو زينلي (رئيس الأركان، قسم الأركان المشتركة) ويجري التحقيق معهما بشأن انتهاكات مزعومة للانضباط مما يترك الجهاز العسكري الصيني في حالة من الاحتكاك الداخلي غير المسبوق.
بالنسبة للمجتمع العالمي للأمن السيبراني، هذه ليست حالة أخرى من الاضطرابات الجيوسياسية المحتواة إقليمياً. إن قسم الأركان المشتركة للجنة العسكرية المركزية (JSDCMC) هو الجهاز الرئيسي للأوامر العملياتية في جيش التحرير الشعبي الصيني (PLA) وفي هذا الدور يحمل تأثيرًا كبيرًا على مجموعات تهديد متقدمة ومستمرة (APT) الأشد نفوذاً في الصين والتي تبلغ تقاريرها إلى وزارة أمن الدولة (MSS).
في جميع الأمور المتعلقة بالاستخبارات العسكرية والدبلوماسية، يكون لقسم الأركان المشتركة (JSD) التابع للجنة العسكرية المركزية الكلمة الفصل. يشمل ذلك الموافقة على جودة وملاءمة الاستخبارات، وإذا لزم الأمر، الموافقة على مزيد من التحليل أو الأنشطة والموارد للحصول على مزيد من البيانات. كان ليو زينلي مسؤولاً في الواقع عن العمليات القتالية، والتنسيق بين الخدمات خلال الحروب، وتحركات الوحدات، والاستخبارات. ويعتبر JSD أحد المستهلكين الرئيسيين لمعلومات التهديدات المعالجة التي تنتجها مجموعات APT.
من ناحية أخرى، تعد اللجنة العسكرية المركزية (CMC) أعلى سلطة قيادية وطنية للقوات المسلحة في الصين. تشرف على جيش التحرير الشعبي الصيني (PLA)، والشرطة المسلحة الشعبية (PAP)، والميليشيات. يترأسها شي جين بينغ ويوجه الاستراتيجية العسكرية والتحديث والأفراد والمعدات والتدريب. بطريقة ما، يضمن قيادة الحزب الشيوعي على الجيش. من المهم فهم دور اللجنة العسكرية المركزية في السياق الذي يحدث اليوم في الصين.
إعادة تنظيم اللجنة العسكرية المركزية لها آثار استراتيجية على أنشطة مجموعات APT الصينية. هذا هو الرابط الذي سنستكشفه في منشور المدونة اليوم.
قبل أن نتابع، لا تنسى الاطلاع على منشور مدونتنا السابق “NIST يبحث عن مساهمة الصناعة في المراجعة الرئيسية لـ SP 800-82 لأمن التكنولوجيا التشغيلية”، هنا.
الفوضى في القيادة
أفادت مصادر موثوقة متعددة بأن اعتقال زهانغ وليو أدى إلى حالة من "المقاومة السلبية" داخل الجيش. ووفقاً لمعلومات استخباراتية غير مؤكدة يُزعم أنها خرجت من أعماق جيش التحرير الشعبي، فإن الضباط الشباب ومتوسطي الرتب باتوا أكثر تجنباً للمخاطر وتركيزاً أكثر على البقاء السياسي بدلاً من الابتكار العملياتي.
الأثر على العمليات السيبرانية:
التردد العملياتي: خلال الساعات الـ 89 الأخيرة، لاحظنا وتابعنا ركودًا مؤقتًا في الحملات المستقلة ذات المخاطر العالية. قد يكون ذلك بسبب انتظار الوحدات السيبرانية لتعيين "المفوضين السياسيين" الجدد لمراجعة قوائم أهدافهم.
انخفاض حجم عمليات الفحص الواردة بشكل كبير. فقد انخفض حجم إشارات APT الصينية من الفضاء السيبراني من مستوى مرتفع بلغ 37,500 سجل في 2 يناير 2026 إلى 3781 سجل الساعة الثامنة مساءً بتوقيت غرينتش يوم الثلاثاء، 27 يناير 2026.
فراغ القيادة: مع تفريغ اللجنة العسكرية المركزية (CMC) الآن، قد يكون التوجيه الاستراتيجي لمجموعات مثل Volt Typhoon وAPT41 قد انتقل من تعطيل استراتيجي طويل الأمد إلى مهام فورية لحماية النظام. قد يُطلب من هذه المجموعات أيضًا إعادة تأكيد قسمها بالالتزام بأوامر القائد الأعلى
أسباب أخرى للركود
· قد تم تعزيز مكتب MSS الأول المسؤول عن الاستخبارات والعمليات الداخلية بزيادة أعضاء مدربين إضافيين من مكاتب أخرى
· قد يكون هذا صحيحًا أيضًا بشأن المكتب الخامس المسؤول عن تحليل الاستخبارات
· يدرك MSS أنه سيجذب اهتمامًا متزايدًا من وكالات الاستخبارات الأخرى خلال هذه الفترة، وبالتالي يتوق لتقليل أثره العملياتي.
· قد يكون هناك أمر بالتوقف من القائد الأعلى نفسه لمنع استخدام هذه الوكالات في عمليات غير مصرح بها من قبل شي نفسه
التطور التكتيكي: مجموعات APT الصينية في عام 2026
بالرغم من الاضطرابات التي تحدث في أعلى المستويات، إلا أن النشاط "العملي باليد" من قبل الجهات الفاعلة المدعومة من الدولة لا يزال شديد الكفاءة. تُمثل مشهد التهديد الحالي بالأساس ثلاث اتجاهات رئيسية:
تسليح حواف ونقاط ليوم n
في يناير 2026، حدد الباحثون زيادة في استخدام APT الصينية لاستغلال CVE-2025-8088، وهي نقطة ضعف شديدة التأثير في معالجة WinRAR لتدفقات البيانات البديلة. من خلال تضمين ملفات ضارة في أرشيفات تمويهية، ينجح الفاعلون في تجاوز اكتشافات نقطة النهاية التقليدية.
الهدف الرئيسي: الكيانات الحكومية والعسكرية عبر المحيط الهندي-الهادئ.
البرامج الضارة: يتم نشر نسخ PoisonIvy وPlugX (SOGU.SEC) بشكل موسع عبر هذه الطريقة.
موجة "تايفون" SharePoint
قام مركز استخبارات التهديدات في مايكروسوفت مؤخرًا بتتبع Linen Typhoon وViolet Typhoon (المعروف أيضًا باسم APT27/Emissary Panda) لاستغلال نقاط الضعف في SharePoint CVE-2025-49704 وCVE-2025-49706.
التقنية: تستند هذه المجموعات في هجماتها على اقتحامات "خالية من البرامج الضارة" لسرقة المفاتيح التشفيرية (بيانات MachineKey)، مما يتيح لها صياغة رموز المصادقة والحفاظ على الوصول المستمر دون الأبواب الخلفية التقليدية.
الإحصائية: تشير البيانات الحالية إلى أن 81 في المائة من الاقتحامات الصينية النشطة في عام 2026 الآن "خالية من البرامج الضارة"، وتعتمد بالكامل على استخدم برمجيات LOTL مثل PowerShell وWMI.
إطار عمل جديد
ظهر إطار جافا سكريبت جديد للتحكم والقيادة كالأداة المفضلة لمجموعات النشاط مثل SHADOW-VOID-044. هذا الإطار يكون عالي التوافق، ويقدم كل شيء من تحديثات مزيفة لمتصفح كروم إلى الأبواب الخلفية المدمجة مثل MKDOOR.
دراسة حالة: "ما قبل التهيئة" من Volt Typhoon
بينما يتم تطهير قيادة جيش التحرير الشعبي، فإن Volt Typhoon (التوروس الخبيث) قام في الواقع بتكثيف تركيزه على البنى التحتية الحيوية للولايات المتحدة وحلفائها.
"التطهير الداخلي قد يعجل فعلاً بهذه الجداول الزمنية لVolt Typhoon"، يقترح أحد المحللين الكبار. "إذا شعر الجيش أنهم قد خسروا جاهزيتهم القتالية نتيجة تغيير القيادة، قد يتجهوا بشكل أكبر للاعتماد على 'الفخاخ الرقمية' كوسيلة للردع ضد التدخل الأمريكي في بحر الصين الجنوبي."
الملاحظات الرئيسية في عام 2026:
التركيز: الطاقة، المياه، والاتصالات.
الطريقة: استمرارية استخدام الموجهات المنزلية الصغيرة والمتوسطة compromises (ASUS، Cisco، Netgear) لإنشاء "شبكة" من حركة مرور التحكم والقيادة المشفرة التي تندمج في نطاقات عناوين IP السكنية.
نظرة استراتيجية: ماذا يمكن أن يأتي بعد ذلك؟
هذه مرحلة من تغير كبير في الصين. هذا دون الحاجة للقول. بمجرد أن تصل الأمور إلى مستوى معين من الاستقرار، ستعود مجموعات APT إلى النشاط.
المقياس | قبل تطهير 2026 | الوضع الحالي 2026 |
تماسك القيادة | مرتفع (عمليات مشتركة متكاملة) | منخفض (مجزأة/محافظة على المخاطر) |
العدوان السيبراني | استراتيجي/مخطط | تكتيكي/تفاعلي/هجمات ذات كثافة منخفضة |
الهدف | سرقة الملكية الفكرية والبنية التحتية | الولاء، أمن النظام والردع |
صعوبة الاكتشاف | مرتفع (تقنيات LOTL) | لا تغيير حتى الآن |
الولاء والحفاظ على النظام هما العاملان المحركان لـ MSS اليوم. ومع إعادة تنظيم اللجنة العسكرية المركزية، فقد فقدت مجموعات APT الصينية دعم راعيها حتى الآن. بمجرد إدخال أعضاء جدد في اللجنة العسكرية المركزية، قد يتم إعادة تنظيم هذه المجموعات واستهداف بعض الانتصارات السريعة لإثبات أنهم لا يزالون يعملون. يجب أن نكون مستعدين لفترة من النشاط المتزايد لمجموعات APT الصينية قريباً.
احجز موجزًا مجانيًا عن معلومات التهديد مع Shieldworkz، هنا.
اشترك في خدمتنا للامتثال لـ NIST SP 800 هنا.
احصل على كتيبات اللوائح التنظيمية الخاصة بنا هنا.
احصل على حزمة قوالب سياسة الأمان التشغيلية لدينا هنا.
احصل على تحديثات أسبوعية
الموارد والأخبار
قد تود أيضًا
From click to crisis: How Nova Scotia Power got breached
Team Shieldworkz
تفكيك دفتر مقاومة هندالة
برايوكت كيه في
تطبيق إطار عمل NIST CSF 2.0 ليتوافق مع IEC 62443: إطار عملي لأمن عمليات التكنولوجيا الصناعية
فريق شيلدوركز
نشر ضوابط الأمن IEC 62443 في أنظمة التحكم الصناعية المتكاملة: دليل التنفيذ العملي
برايوكت كيه في
معالجة تحديات تنفيذ NIS2
فريق شيلدوركز
المناطق الآمنة المعزولة جوياً ومعايير NERC CIP-015: لماذا تقصر تقنيات أمان SCADA التقليدية
فريق شيلدوركز
