الشفرة المتلاشية: كيف استخدم Arkanix Stealer الذكاء الاصطناعي لإعادة كتابة قواعد الجريمة السيبرانية

في أواخر عام 2025، طيفٌ جديدٌ راح يطارد العالم السفلي الرقمي: Arkanix Stealer، عملية برمجيات خبيثة بدت وكأنها انبثقت من العدم، متباهية بميزات متقدمة ودورة تطوير سريعة على نحو يثير الشبهات. وخلال شهرين فقط، اختفت بالحدة نفسها، تاركة خبراء الأمن السيبراني يتسابقون لتجميع خيوط منشئها - وتداعياتها على مستقبل الجريمة السيبرانية.

حقائق سريعة

• تم الترويج لـ Arkanix Stealer على منتديات الويب المظلم في أواخر 2025 واختفى بعد شهرين فقط.
• أظهر البرنامج الخبيث قدرات متقدمة لسرقة البيانات، بما في ذلك سرقة بيانات اعتماد المتصفح وVPN وألعاب الفيديو.
• عثر باحثو كاسبرسكي على أدلة على الاستعانة بالذكاء الاصطناعي - وتحديدًا LLM (نموذج لغوي كبير) - في تطويره.
• قدّم Arkanix نسختين: إصدارًا أساسيًا بلغة Python وإصدارًا مميزًا مُحصّنًا بلغة C++ مع ميزات مضادة للتحليل.
• شمل المشروع خادم Discord وبرنامج إحالة لتنمية قاعدة مستخدميه بشكل هجومي.

تشريح تجربة برمجيات خبيثة مدفوعة بالذكاء الاصطناعي

لم يكن ظهور Arkanix Stealer في أكتوبر 2025 أمرًا عاديًا على الإطلاق. فقد جرى الترويج له عبر عدة منتديات للهاكرز، مقدّمًا نسخة أساسية بلغة Python وحمولة مميزة بلغة C++ محمية بواسطة VMProtect - وهو نظام مضاد للعبث يفضّله كتّاب البرمجيات الخبيثة. وتباهت الفئة “المميزة” بحزمة من الميزات المصممة لتفادي اكتشاف برامج مكافحة الفيروسات، والحقن داخل محافظ العملات المشفرة، وحتى تجاوز آليات الأمان لدى Google.

ما ميّز Arkanix لم يكن مجرد قوته التقنية، بل سرعة إصداره وبنيته. فبعد تحليل قاعدة شفرته، رصد باحثو كاسبرسكي مؤشرات دالة على الاستعانة بـ LLM (نموذج لغوي كبير) - ما يوحي بأن الذكاء الاصطناعي استُخدم بكثافة لتسريع التطوير وخفض التكاليف. وهذا يمثل تحولًا محوريًا: لم يعد كتّاب البرمجيات الخبيثة مقيدين بعوائق البرمجة التقليدية، وبات بإمكانهم التكرار وإطلاق ميزات جديدة بسرعات غير مسبوقة.

أما العملية نفسها فكانت تُدار باحترافية لافتة. إذ خدم خادم Discord كمنتدى دعم ومركز لتجميع الملاحظات، بينما حفّز برنامج الإحالة النمو السريع عبر تقديم وصول مجاني إلى الميزات المميزة. وتجاوزت قدرات البرمجية الخبيثة بكثير مجرد سرقة بيانات الاعتماد: فقد استهدفت بيانات من أكثر من 22 متصفحًا، واستخرجت رموز OAuth2، وسرقت بيانات اعتماد VPN والألعاب، وتضمنت وحدات لتهريب الملفات، والتقاط الشاشات، وترقيع محافظ العملات المشفرة. بل إن نسخة C++ تضمنت أيضًا فحوصات متقدمة لمكافحة بيئات الساندبوكس ومكافحة التصحيح، إلى جانب أداة ما بعد الاستغلال صُممت لتجاوز تشفير Google المرتبط بالتطبيق (App-Bound Encryption).

ومع ذلك، وبعد فترة قصيرة - ويبدو أنها كانت مربحة - اختفت بنية Arkanix التحتية دون إنذار. تم إيقاف لوحة التحكم وخادم Discord، واختفى المؤلف. هل كانت عملية سريعة لجني المال، أم إثبات مفهوم لبرمجيات خبيثة مُسرَّعة بالذكاء الاصطناعي، أم شيئًا أكثر؟ لا تزال الإجابات عصية، لكن الدلالات واضحة: استخدام الذكاء الاصطناعي في تطوير البرمجيات الخبيثة لم يعد نظريًا، وقد تكون الموجة التالية من التهديدات السيبرانية أسرع وأكثر معيارية وأصعب تتبعًا من أي وقت مضى.

الخلاصة

إن الوجود القصير لكنه المؤثر لـ Arkanix Stealer يشير إلى حقبة جديدة يمكن فيها للذكاء الاصطناعي أن يعزز منظومة الجريمة السيبرانية بقوة. ويترك اختفاؤه المفاجئ أثرًا من الأسئلة بلا إجابات، لكن أمرًا واحدًا مؤكد: على المدافعين الاستعداد لمستقبل يمكن فيه للشفرة الخبيثة أن تتطور بسرعة ذكاء الآلة.

WIKICROOK

• LLM (نموذج لغوي كبير): النموذج اللغوي الكبير (LLM) هو ذكاء اصطناعي متقدم مُدرَّب على مجموعات بيانات نصية ضخمة لتوليد لغة شبيهة بالبشر وفهم الاستعلامات المعقدة.
• VMProtect: VMProtect أداة تُخفي شيفرة البرامج عن الهندسة العكسية، ويستخدمها كلٌّ من المطورين الشرعيين وكتّاب البرمجيات الخبيثة لحماية الشيفرة أو إخفائها.
• رمز OAuth2: رمز OAuth2 هو مفتاح رقمي آمن يتيح للتطبيقات الوصول إلى بيانات المستخدم دون كلمات مرور، مما يمكّن وصولًا آمنًا ومحدودًا إلى الخدمات عبر الإنترنت.
• Anti: يشير مصطلح 'Anti' إلى الأساليب التي تستخدمها البرمجيات الخبيثة لتجنب الكشف أو التحليل بواسطة أدوات الأمن والباحثين، مما يجعل التهديدات أصعب دراسة أو إيقافًا.
• Post: في الأمن السيبراني، يشير 'post' إلى عملية إرسال البيانات بشكل آمن من المستخدم إلى الخادم، وغالبًا ما تُستخدم لإرسال النماذج ورفع الملفات.