فهم الجهات الفاعلة الصينية المهددة، والأساليب التقنية (TTPs)، والأولويات التشغيلية – الجزء الأول

الصفحة الرئيسية

مدونات

فهم الجهات الفاعلة الصينية المهددة، والأساليب التقنية (TTPs)، والأولويات التشغيلية – الجزء الأول

بريوكث ك ف

17 نوفمبر 2025

فهم الجهات الفاعلة في التهديدات الصينية، التكتيكات والتقنيات والإستراتيجيات العملية - الجزء الأول

تعمل مجموعات التهديد المتقدمة المستمرة الصينية (APT) بقدر كبير من الاستقلال المالي. وهذا يعني أنه على عكس نظرائهم في كوريا الشمالية أو روسيا أو حتى إيران، فإن مجموعات APT الصينية لا تحتاج دائمًا إلى رفع طلبات موازنة لوزاراتها أو دوائرها الوالدية. يجب أن يعطيك هذا فكرة عن مدى تفرد التهديد الذي أصبحت عليه هذه المجموعات في العقد الأخير.

إنهم في كل مكان وقد تصدم عمق عملياتهم حتى الباحثين المتمرسين في التهديدات. ومع ذلك، فإن المقدار الذي تتكامل فيه مجموعات APT الصينية مع التكنولوجيا والأهداف الإستراتيجية للدولة الصينية يضع هذه المجموعات في مستوى منفصل تماماً. تلعب مجموعات APT الصينية، بغير إرادتها، دورًا رئيسيًا في التأثير على السياسات الدفاعية للأمن السيبراني التي يتم تشكيلها من قبل الحكومات والشركات. يتم دراسة كتبهم التكتيكية لتطوير بنى شبكية وإجراءات قياسية تشغيلية يمكن الدفاع عنها.

في منشور اليوم، سنلقي نظرة عامة على الجهات المهددة المدعومة من الدولة الصينية APT1، APT41، APT10، APT40، وAPT31 وفهم استراتيجياتها العملية وأولوياتها بالإضافة إلى كيفية استخدام هذه المجموعات للذكاء الاصطناعي لاختراق أهدافها وفهم الحجم الكبير من البيانات المسروقة.

هذه هي المقالة الأولى في سلسلة تتناول الجهات المهددة المدعومة من الدولة الصينية.

خصائص مجموعات APT الصينية

المؤشر	الخاصية/الخصائص
الاستقلالية الوظيفية	منخفضة: جميع المجموعات تخضع لسيطرة صارمة من وزارة أمن الدولة. يعتبر المكتب الرابع عشر المسؤول عن البحث التقني الجهة الأساسية المخصصة للسيطرة. بينما يتم تعيين العمليات بشكل عام بواسطة (أو من خلال) المكتب الرابع عشر، يُسمح لبعض فرق التقارير ببعض الحرية لتجربة تكتيكات جديدة لاختراق الأهداف المخصصة. تعتمد الاستقلالية الوظيفية بشكل كامل على النجاح الذي سجلته مجموعة APT في الماضي.
استخدام الذكاء الاصطناعي	كانت الصين تستخدم الذكاء الاصطناعي لرصد الداخلي لفترة من الزمن وكان نتيجة طبيعية لهذا الحاجة إلى معالجة البيانات تلقائيًا لتحديد الأنماط المثيرة للاهتمام. قامت الصين بربط بيانات الرصد الداخلي بـ "نماذج اللغة الضخمة الطبيعية" في العقد الأخير وتمكنت من التطور بشكل كبير في مجال معالجة البيانات المدفوعة بالذكاء الاصطناعي. منذ الجائحة، بدأت الصين تركز اهتمامها على استخدام الذكاء الاصطناعي لإجراء التحقيقات الأولية على الشبكات الهدف. وهذا يشمل إرسال رسائل تلقائية، وجمع بيانات اعتماد مسروقة تخص موظفين رئيسيين في المؤسسات المستهدفة، وتطوير والتلاعب بالبرامج الضارة وهجمات التصيد. منذ عام 2023، تم أتمتة الهجمات، وسرقة البيانات وتحليلها باستخدام الذكاء الاصطناعي. تقوم الفرق داخل MSS الآن بتجربة استخدام الذكاء الاصطناعي لحقن حزم بيانات مزيفة بهدف تسميم مجموعات البيانات داخل البيئات المخترقة.
الهرمية	يُعتبر APT1 وAPT41 وAPT10 أكثر تقدماً ويستخدمون في المشاريع الرفيعة المستوى بينما تُستعمل مجموعات APT الأخرى والمجموعات الفرعية لفتح أو إنشاء فجوة في الأهداف الاستراتيجية. يستخدم MSS مجموعة APT41 أيضًا لإنشاء سلاسل اختراق تمتد لأعلى ولأسفل. المجموعات الفرعية التي يمكنها إدارة المشاريع بمفردها قد تُرقى لبعض المشاريع. كما تُكلّف المجموعات العليا مثل APT41 و1 و10 بتوجيه المجموعات الفرعية.
السفر	لا يُسمح لموظفي هذه المجموعات بالسفر إلى دول أخرى إلا تحت غطاء دبلوماسي صيني (وهذا نادر الحدوث). يُعرف عن APT1 و10 أن لديهما برامج تبادل للخبرات والمعرفة النشطة مع نظرائهما في كوريا الشمالية. لدينا أسباب للاعتقاد بأن جهة التهديد الكورية الشمالية لازاروس (APT38) تحتفظ بوجود صغير داخل الصين. قد يشير هذا الوجود إلى مستوى عال من التعاون والاستهداف المشترك بما في ذلك دفع الإتاوات أو ما يعادلها من قبل للازاروس لكيان صيني غير معروف.
الأهداف	تنقسم بشكل واسع إلى فئتين هما: التجارية والاستراتيجية. تتعلق الأولى بجمع الإيرادات أما الثانية فتتعلق بجمع المعلومات الاستخباراتية والملكية الفكرية. كلاهما مهم والمجموعات مثل APT41 في الواقع تجتاز العالمين. هناك حالتان على الأقل من APT41 لتحسين الأرباح من البيانات المسروقة داخليًا وخارجيًا.
التكامل مع أهداف السياسة الخارجية الصينية	كامل. هذا هو المجال الذي لا يوجد فيه أي غموض. من منظور التصنيف، يتم تصنيف الدول والأهداف وفقًا للتوجيهات التي تصدرها الحكومة الصينية. هناك حلقة رد فعل نشطة أيضًا، حيث تُستخدم المعلومات المسروقة من الأهداف لتشكيل تدخلات السياسة الخارجية والأساليب.
المديرين	كل مجموعة بينما تبلغ المكتب الرابع عشر لديها أيضًا مدير معين من قبل MSS المحلي يكون مسؤولًا بشكل أساسي عن الإشراف على العمليات وعقد الإحاطات وتقديم تقارير عن المشاريع للجنة الشؤون السياسية والقانونية المركزية (CPLC) للحزب الشيوعي الصيني. هناك أيضًا خط تقارير يشمل كيانات MSS المحلية لكن هذه العلاقة ليست واضحة للغاية حتى الآن. المديرون مسؤولون عن الجوانب التنفيذية ويتم تحميلهم شخصيًا مسؤولية تحقيق الجهات الفاعلة أهدافها. ومن اللافت للنظر أن CPLC لديها أيضًا وكيل أو مشرف ظلي مضمَّن في السلسلة لمراقبة أنشطة المجموعة والتحقق من المعلومات التي يشاركها المدير.
ماذا تفعل هذه المجموعات بالبيانات المسروقة؟	جزء من هذا السؤال تمت الإجابة عليه. إليكم الجزء الآخر: · تُحلل جميع البيانات أولاً باستخدام خوارزميات الذكاء الاصطناعي، مع التركيز على التعلم الآلي والتعلم العميق. تُستخدم لمعالجة مجموعات البيانات الكبيرة من خلال التعلم من البيانات. هذه الخوارزميات التي تُبنى أو تُطوّر أو تُستخدم بشكل مختلف قادرة على التعامل مع البيانات غير المهيكلة مثل النصوص والصور والبيانات المهيكلة مثل الأرقام والإحصاءات. تُحدد البيانات المكررة التي بها مؤشرات تحتها من أجل انتباه محلل بشري. · تُحدد البيانات ذات الأهمية المالية أو التي تحتوي على ملكية فكرية صناعية من أجل الانتباه لاتخاذ إجراءات تجارية أو للتفاوض مع الضحية · أي بيانات ذات أهمية استراتيجية يجري تصنيفها وتقديمها لانتظار انتباه محلل كبير · تُسلّم البيانات التي يمكن تحويلها إلى سلاح لإنشاء مزيد من الاختراقات أو للحفاظ على الوصول إلى البيئة الهدف للفريق المحدد داخل جهة التهديد المحددة المسؤولة عن تلك الحسابات · يُرسل ما تبقى من البيانات إلى مجموعة مشتركة يمكن الوصول إليها من قبل جميع المجموعات للتدريب · يتراوح متوسط دورة البيانات حوالي 28 يومًا