נחשף באמצעות AI: סין ריגלה בסייבר אחרי דיפלומטיים ואנשי ממשל

נחשף קמפיין ריגול סייבר מתוחכם, שערכה קבוצת האקרים סיניים. מסע הריגול התבסס על התחזות למסמכים רשמיים של מוסדות וגופים בינלאומיים, לטובת חדירה שקטה ואיסוף מידע מודיעיני מגורמים דיפלומטיים ואנשי ממשל באסיה ובמזרח אירופה.

את מסע הריגול חשפה דרים (Dream) הישראלית, בראשה עומד שלו חוליו, ממקימי חברת הסייבר ההתקפי NSO.

לפי חוקרי חברת הגנת הסייבר הישראלית, בין סוף דצמבר 2025 לאמצע ינואר השנה פעל מסע ריגול חשאי בסייבר, שהתבסס על חיקוי מושלם של שיח דיפלומטי אמיתי. ההודעות שנשלחו נראו כמו תכתובות שגרתיות לחלוטין בין גורמי ממשל, וכללו עדכוני מדיניות, 'בריפים' פנימיים וסיכומי פגישות שנשענו על התפתחויות גיאופוליטיות עכשוויות.

המסמכים נוסחו ועוצבו כך שייראו כחומרים רשמיים של גופים בינלאומיים, בהם גם חומרים המזוהים עם פעילות אמריקנית או כאלה המועברים בין משרדי חוץ ולשכות נשיאות. מתחת למעטפת האמינה הסתתר פיתיון אחד פשוט: פתיחת הקובץ, שהספיקה כדי לאפשר חדירה שקטה למערכות היעד.

מאחורי הקמפיין עמדה גרסה מתקדמת של רוגלת PlugX, המזוהה עם פעילות סייבר של קבוצות תקיפה סיניות. הפעילות מיוחסת, בין היתר לקבוצת ההאקרים המכונה מוסטנג פנדה (Mustang Panda). הקבוצה ידועה גם בכינויים Earth Preta, Fireant, HoneyMyte, Polaris, וכן כ-Twill Typhoon.

זיהוי התקיפה – באמצעות AI

"ייחודו של הגילוי טמון באופן שבו זוהתה ונחקרה התקיפה", נמסר. "החוקרים הצליחו לאתר את מסע הריגול בסייבר ולפענח אותו בזמן אמת באמצעות שימוש במנגנוני AI וכלי מחקר מתקדמים – ובלא מעורבות של חוקרים בני אנוש. שילוב זה אפשר חשיפה מהירה של קמפיין ריגול סייבר סיני מתוחכם, המיוחס לגורם מדינתי".

ממשיך לעסוק בסייבר הגנתי. שלו חוליו, מייסדי NSO, כיום מנכ"ל ומייסד שותף של דרים. צילום: יונתן בלום

באמצע ינואר 2026, אחד ממנגנוני הזיהוי של דרים איתר קובץ שנראה תמים, אך חרג מדפוסי פעילות לגיטימיים מוכרים. בהמשך, באמצעות חיבור דגימות נוספות, לצד מיפוי תשתיות וניתוח דפוסי פעולה, חשפו החוקרים תמונת מודיעין מלאה, של "מסע ריגול סייבר פעיל ומתואם, המכוון לגורמים דיפלומטיים ומדיניים".

החוקרים תיארו בפירוט את שרשרת ההדבקה ואת התשתיות ששימשו את הקמפיין, וציינו כי דפוסי הפעולה משתלבים בשיטות מוכרות שיוחסו לאורך השנים לקבוצת מוסטנג פנדה.

לדברי חוליו, מייסד-שותף ומנכ"ל דרים, "מסע זה ממחיש כיצד נראות היום מתקפות ריגול מדינתיות: לא ניסיונות פריצה חריגים, אלא אימיילים ומסמכים שנראים לגיטימיים לחלוטין. במקרה הזה, פתיחת קובץ אחד הספיקה כדי לאפשר ריגול שקט, בעל פוטנציאל נזק מדיני וביטחוני גדול. מה שמייחד את הגילוי הוא היכולת שלנו לזהות את הפעילות בזמן אמת באמצעות סוכני AI, לחבר בין דגימות ותשתיות, ולהבין שזה קמפיין פעיל – בעוד הוא מתרחש".

מוסטנג פנדה מוכרת זה יותר מעשור כפעילה בסייבר ההתקפי בזירה הבינלאומית. חברי הכנופייה הידועה לשמצה תקפו ישויות בזירות דיפלומטיות ומדיניות ברחבי העולם, והם מתמקדים באיסוף מודיעין מגורמי ממשל, יחסי חוץ ותהליכי קבלת החלטות מדינתיים.