Netcrook Logo
👤 KERNELWATCHER
🗓️ 15 Jan 2026   🌍 Asia

داخل شبكة الصين المظلمة: كيف تُشغِّل 18,000 خادم قيادة آلةَ جريمةٍ سيبرانية عالمية

العنوان الفرعي: عمالقة الاستضافة الصينيون يؤوون عشرات الآلاف من مراكز قيادة الاختراق - مغذّين كلاً من الجريمة السيبرانية والتجسس على نطاقٍ صناعي.

في الغرف الخلفية المغمورة بأضواء النيون في عالم الصين الرقمي، تُنسِّق شبكةٌ هائلة نابضة بهدوء هجماتٍ سيبرانية عالمية. تكشف تحقيقات حديثة أن أكثر من 18,000 خادم قيادة وتحكم (C2) نشط - يُستخدم لتوجيه البرمجيات الخبيثة وشبكات البوتنت وحملات التجسس - مختبئ على مرأى من الجميع عبر 48 مزود استضافة صيني. هذه ليست مجرد غرابة تقنية: إنها بنية تحتية مترامية تُطمس الحدود بين الجريمة السيبرانية والاختراق المدعوم من الدولة، وكل ذلك يعمل على بعضٍ من أكبر منصات الاتصالات والسحابة في العالم.

مركز القيادة في الجوار

بينما تتركز معظم الأنظار على عمليات التصيّد وبرمجيات الفدية، فإن العمود الفقري الحقيقي للهجمات السيبرانية الحديثة يكمن في خوادم C2 البعيدة - نقاط ترحيل مخفية تُمكّن القراصنة من التحكم بالأجهزة المصابة، وتهريب البيانات، وتنسيق الهجمات. وقد رسم تحليل جديد من Hunt.io خريطة «المادة المظلمة» الرقمية داخل حدود الصين، كاشفًا شبكة من 21,629 أصلًا خبيثًا، تتصدر فيها خوادم C2 المشهد.

اللافت ليس العدد فحسب، بل أين تقيم هذه الخوادم. فشركة China Unicom، عملاق الاتصالات، تؤوي ما يقرب من نصف جميع خوادم C2 المكتشفة. ولا يبتعد عملاقا السحابة Alibaba وTencent كثيرًا، إذ يدعم كلٌ منهما آلاف نقاط النهاية الخبيثة هذه. هذا ليس عشوائيًا: فالمهاجمون يستغلون الحجم والموثوقية والقدر النسبي من إخفاء الهوية الذي توفره هذه المنصات، ما يجعل عمليات الإزالة صعبة، والكشف أصعب.

مخالفون متكررون، وبنية تحتية متكررة

الإساءة منهجية. فحفنة من عائلات البرمجيات الخبيثة - Mozi وARL وCobalt Strike وVshell وMirai - تستحوذ على معظم نشاط C2. وترتبط Mozi وحدها بأكثر من نصف جميع خوادم C2 الصينية، مستهدفةً إلى حد كبير أجهزة إنترنت الأشياء (IoT) وأجهزة التوجيه، لتحولها إلى جنودٍ غير واعين في شبكات بوتنت عالمية. كما أُعيد توظيف أدوات تجارية مثل Cobalt Strike، التي صُممت أصلًا لاختبار الأمن، لتنفيذ هجمات حقيقية، ما يمزج الجريمة السيبرانية بعمليات الدول.

هذا التداخل مقلق: فالبنية التحتية نفسها تُشغّل حملاتٍ إجرامية وتجسسية معًا. فتهديدات متقدمة مستمرة (APTs) متحالفة مع الدولة مثل DarkSpectre وSilver Fox تتعايش مع مُعدّني العملات المشفرة، وحِزم التصيّد، وأحصنة التحكم عن بُعد الشائعة (RATs). وحتى الشبكات الأكاديمية وشبكات العمود الفقري - الموثوق بها بسبب سعتها - يجري اختطافها، ما يزيد المشهد التباسًا أمام المدافعين.

لماذا يهم الأمر

إن حجم هذه البنية التحتية وتركيزها يعنيان أن الدفاعات التقليدية القائمة على المؤشرات لم تعد كافية. يعيد المهاجمون استخدام المزودين أنفسهم وبصمات الشبكة ذاتها، يبدّلون عناوين IP لكنهم نادرًا ما يغادرون أحياءهم الرقمية المفضلة. وبالنسبة للمدافعين، أصبحت استخبارات الاستضافة المتمحورة حول المضيف ورسم خرائط البنية التحتية على نطاق واسع أدواتٍ أساسية في المطاردة.

الخلاصة

لقد أصبح العمود الفقري الرقمي المترامي للصين ساحةَ قتالٍ مشتركة - حيث يتجاور مجرمو الإنترنت والجواسيس، وحيث لا تكون بيانات العالم آمنة إلا بقدر أمان الخادم المكشوف التالي. ومع نمو منصات السحابة والاتصالات، يتعاظم كذلك تحدي اقتلاع مراكز القيادة التي تُشغّل هجمات العالم السيبرانية.

WIKICROOK

  • أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا عبر خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
  • عائلة برمجيات خبيثة: عائلة البرمجيات الخبيثة هي مجموعة من البرامج الضارة ذات الصلة المبنية من قاعدة الشيفرة نفسها، وتتشارك سلوكيات وطرق هجوم وأهدافًا متشابهة.
  • التهديد المتقدم المستمر (APT): التهديد المتقدم المستمر (APT) هو هجوم سيبراني مطوّل وموجّه تنفذه مجموعات ماهرة، غالبًا بدعمٍ من الدولة، بهدف سرقة البيانات أو تعطيل العمليات.
  • شبكة بوتنت: شبكة البوتنت هي شبكة من الأجهزة المصابة التي يتم التحكم بها عن بُعد من قبل مجرمي الإنترنت، وغالبًا ما تُستخدم لإطلاق هجمات واسعة النطاق أو سرقة بيانات حساسة.
  • مؤشر اختراق (IOC): مؤشر الاختراق (IOC) هو دليل، مثل ملف مشبوه أو عنوان IP، يشير إلى أن نظامًا ما قد تم اختراقه.
Cybercrime Command Servers China
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news