Netcrook Logo
👤 NEONPALADIN
🗓️ 21 Nov 2025   🌍 Europe

النهاية: كيف يرفع بوت نت تسونديري مستوى الجريمة الإلكترونية بتخفي البلوكشين

يستدرج القراصنة اللاعبين بتنزيلات مزيفة، ثم يسيطرون على أجهزة ويندوز باستخدام مراكز تحكم مدعومة بالإيثيريوم.

حقائق سريعة

  • يستهدف بوت نت تسونديري مستخدمي ويندوز بمثبتات ألعاب مزيفة.
  • يستخدم بلوكشين الإيثيريوم لتحديث خوادم التحكم الخاصة به سراً.
  • يستغل المهاجمون كلًا من ملفات MSI وسكريبتات PowerShell للإصابة.
  • تشير أدلة اللغة الروسية إلى مجموعة إجرامية ناطقة بالروسية.
  • يمكن تحويل أجهزة الضحايا إلى بروكسيات لحركة مرور خبيثة أو بيعها في الأسواق السوداء.

الطُعم الرقمي والتبديل الخفي

تخيل هذا: لاعب متحمس للحصول على نسخة مجانية من أحدث لعبة تصويب، ينقر على تنزيل واعد. وبدلاً من شاشة النصر، يتحول جهازه بهدوء إلى جندي في بوت نت تسونديري المتنامي بسرعة - جيش ظل يستغل شهية العالم للألعاب.

منذ ظهوره في منتصف عام 2025، أظهر تسونديري براعة في مزج الحيل القديمة مع التخفي المتطور. يخفي صانعوه البرمجيات الخبيثة تحت أسماء ألعاب شهيرة مثل Valorant وRainbow Six Siege وCounter-Strike 2، معتمدين على إغراء التنزيلات المقرصنة. بنقرة واحدة، يقوم الضحايا دون علمهم بتثبيت برنامج يفتح الباب أمام لعبة أكثر خبثاً.

كيف يصطاد تسونديري ضحاياه

عملية الإصابة بسيطة بشكل مخادع. الملفات التي يتم تنزيلها، والتي تتنكر كمثبتات ألعاب شرعية (ملفات MSI) أو كسكريبتات PowerShell خفية، تقوم بإعداد بيئة Node.js - تخيلها كمنصة لعرض البرمجيات الخبيثة. ولضمان استمرار العرض، يتولى أداة اسمها pm2 إعادة تشغيل الكود الخبيث تلقائياً في كل مرة يتم فيها تشغيل الحاسوب.

لكن أذكى خدع تسونديري هي استخدامه لبلوكشين الإيثيريوم. بدلاً من ترميز عناوين خوادم التحكم والسيطرة (C2) بشكل ثابت، يخزن المهاجمون هذه العناوين داخل عقد ذكي على الإيثيريوم. هذا يعني أنهم يستطيعون تغيير مركز تحكم البوت نت في أي وقت، فقط بتحديث سجل على البلوكشين - مما يصعب كثيراً على المدافعين قطع رأس الأفعى.

بمجرد التثبيت، يتصل برنامج البوت نت بهذه الخوادم السرية وينتظر التعليمات. يمكن للمهاجمين إرسال كود جديد في أي وقت، وتحويل الحواسيب المصابة إلى بروكسيات للجريمة الإلكترونية، أو حتى بيع الوصول إليها لمجرمين آخرين عبر سوق سوداء.

أصداء حملات سابقة - ورابط روسي

رغم أن لمسة البلوكشين في بوت نت تسونديري جديدة، إلا أن الخطة العامة مألوفة. هجمات مماثلة - مثل هجمات سلسلة توريد npm العام الماضي - استهدفت أيضاً المطورين واللاعبين بكود خبيث مخفي في حزم موثوقة. تتبع باحثو Checkmarx وSocket تكتيكات متداخلة، كما تم ربط البنية التحتية التي تستضيف تسونديري ببرمجية 123 Stealer سيئة السمعة، التي تُباع مقابل 120 دولاراً شهرياً.

تشير اللغة في الكود المصدري والحظر الصارم على استهداف ضحايا من روسيا أو دول رابطة الدول المستقلة (CIS) إلى طاقم ناطق بالروسية، في صدى لتقليد طويل بين بعض مجموعات الجريمة الإلكترونية لتجنب المشاكل في أوطانهم.

الخلاصة: اللعبة تغيرت

بوت نت تسونديري ليس مجرد حملة برمجيات خبيثة أخرى - بل هو لمحة عن مستقبل الجريمة الإلكترونية، حيث تضيف البلوكشين طبقة من المرونة والقدرة على التكيف. طالما أن الإغراءات الرقمية موجودة، ويواصل المهاجمون الابتكار بأدوات وقنوات جديدة، ستظل الحدود بين اللاعب والضحية، والمستخدم والمتواطئ، غير واضحة. الدرس واضح: في عالم الجريمة الإلكترونية عالي المخاطر، حتى تنزيل بسيط قد يجعلك بيدقاً في لعبة عالمية.

ويكي كروك

  • بوت نت: شبكة من الأجهزة المصابة يتم التحكم فيها عن بُعد من قبل مجرمين إلكترونيين، وغالباً ما تُستخدم لشن هجمات واسعة النطاق أو سرقة بيانات حساسة.
  • أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالباً من خادم C2، لتوجيهه للقيام بإجراءات محددة، أحياناً لأغراض خبيثة.
  • مثبت MSI: مثبت MSI هو تنسيق ملف في ويندوز يُستخدم لتثبيت أو تحديث أو إزالة البرامج. ويمكن استغلاله أيضاً لنشر برامج خبيثة.
  • بلوكشين الإيثيريوم: بلوكشين الإيثيريوم هو سجل عام ولا مركزي يسجل المعاملات ويمكّن العقود الذكية، ويُستخدم أحياناً للتواصل السري للبرمجيات الخبيثة.
  • سكريبت PowerShell: سكريبت PowerShell هو مجموعة أوامر مؤتمتة لأجهزة ويندوز، تُستخدم لإدارة أو تغيير الأنظمة - ويستغلها المهاجمون أحياناً.
Tsundere botnet Cybercrime Ethereum blockchain
NEONPALADIN NEONPALADIN
Cyber Resilience Engineer
← Back to news