מבצעי הריגול והמלחמה השקטה בין שתי המעצמות המרכזיות היום בעולם: סין וארה"ב, קופצים לאחרונה שלב, כאשר סין כבר לא תוקפת את ארה"ב אלא את כל בעלות בריתה בעולם המערבי. מבצע רחב ומתוחכם מסוג זה המיוחס לסין, נחשף ממש לאחרונה על ידי חברת הסייבר הישראלית Dream.
התברר כי הסינים פיתחו שיטה מתוחכמת ועדינה לחדור לגורמים מדינתיים במערב וזאת כמעט בלי להותיר עקבות. השיטה הסינית עבדה כך: מסמכים רשמיים לכאורה של גורמי חברה בינלאומיים וכן של גורמים דיפלומטים אמריקאים נשלחו לגורמי ממשל ודיפלומטיה שונים במערב. המסמכים שניראו אותנטיים לחלוטין נשלחו מדיפלומטים מזרח אירופאים או אסייתיים דבר שהעניק להם יותר עניין עקב רצונו של המערב לקשור קשרים טובים וחזקים יותר עם חלקי עולם אלו.
המבצע שפעל בין דצמבר 2025 לינואר 2026, חיקה בצורה מושלמת שיח דיפלומטי אמיתי על כל הדקויות שלו. ההודעות כללו עדכוני מדיניות, בריפים פנימיים וסיכומי פגישות שנשענו על התפתחויות גיאו פוליטיות עכשוויות. כלומר לא רק שהמסמכים נראו אמיתיים על כל הדקויות של השיח המדיני בעולם, הם גם נשענו על אירועי אמת וסיכמו אותם באופן שיראה אמיתי. אלא שמאחורי המעטפת האמינה הסתתר פיתיון אחד פשוט: פתיחת הקובץ, שהספיקה כדי לאפשר חדירה שקטה למערכות היעד.
בחקירת המתקפה עלה כי התוכנה הזדונית הייתה כל כך מדוייקת שרק מעצם פתיחת הקובץ נשלחה פעולת השתלטות מרחוק בצורה שקטה ללא הפעלה או התראה של אף חלון (במחשב) או התראה כלשהי.
הקבצים נראו כקבצי PDF אך בפועל היו קיצורי דרך של Windows, ארוזים בקובצי ZIP פתיחתם הפעילה ברקע רצף פקודות PowerShell נסתרות, ללא פתיחת חלונות, ללא התראות מערכת וללא אינדיקציה מיידית לפעילות חריגה.
לפי הדוח, הקוד שחרר מטען זדוני מתוך הקובץ עצמו, עשה שימוש בכלי מערכת לגיטימיים, והפעיל אותו דרך קובץ חתום ולגיטימי כך שהשלב הזה כבר הוטמעה במחשב גרסה ייעודית של נוזקת PlugX (DOPLUGS) ללא ידיעת אף אדם.
פעילות הנוזקה הייתה מתוחכמת גם כן, מאחר והיא לא נועדה לתקיפה מייידית אלא נועדה לרגל, לאסוף מידע ולבצע פעולות שישארו מתחת לראדר. הנוזקה יצרה נוכחות שקטה ומתמשכת במערכת, החזיקה ערוץ תקשורת מוצפן לשרת שליטה, ואפשרה להריץ פקודות בהתאם לבקשת השולט ועל פי צרכיו.
הטכנולוגיה שעומדת מאחורי שיטת הריגול הזו מפלילה את סין בסבירות גבוהה מאוד וזאת כיוון שהיא היתה גרסה מתקדמת של כלי ריגול סיני מוכר בשם PlugX. אחד מגופי התקיפה הסיניים המוכרים שמפעיל כלי כזה הוא הקבוצה שזכתה לכינוי "Mustang Panda", הפועלת בזירה הבינלאומית מזה למעלה מעשור. הקבוצה מוכרת כמי שפועלת לאורך שנים בזירות דיפלומטיות ומדיניות ברחבי העולם, ומתמקדת באיסוף מודיעין מגורמי ממשל, יחסי חוץ ותהליכי קבלת החלטות מדינתיים.
ייחודו של הגילוי הנוכחי והעניין הרב שיש בו טמון באופן שבו זוהתה ונחקרה התקיפה. החברה הצליחה לאתר את הקמפיין ולפענח אותו בזמן אמת באמצעות שימוש במנגנוני בינה מלאכותית וכלי מחקר מתקדמים וללא מעורבות של חוקרים אנושיים. שילוב זה אפשר חשיפה מהירה של הקמפיין המאוד מתוחכם, המיוחס לגורם מדינתי.
הזיהוי הראשוני התרחש באמצע ינואר 2026, כאשר אחד ממנגנוני הזיהוי של Dream איתר קובץ שנראה תמים, אך חרג מדפוסי פעילות לגיטימיים מוכרים. בהמשך, באמצעות חיבור דגימות נוספות, מיפוי תשתיות וניתוח דפוסי פעולה, נחשפה תמונת מודיעין מלאה של קמפיין ריגול סייבר פעיל ומתואם, המכוון לגורמים דיפלומטיים ומדיניים.
שלו חוליו, מייסד שותף ומנכ״ל Dream: "פתיחת קובץ אחד הספיקה כדי לאפשר 'ריגול שקט' בעל פוטנציאל נזק מדיני ובטחוני גדול".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו