انقطاع البوتنت: إمبراطورية البروكسي في العالم السفلي تُفصل عن الكهرباء

بدأ الأمر بطفرة - ارتفاع مفاجئ بنسبة 300% في أجهزة أندرويد المخترقة التي تنضم إلى شبكة بروكسي غامضة. وبحلول منتصف أكتوبر 2025، كان باحثو الأمن في Black Lotus Labs قد تتبّعوا فتات الخبز الرقمي إلى إمبراطورية بوتنت مترامية الأطراف، تُدار عبر Kimwolf وبرمجيتها الخبيثة الشقيقة Aisuru. كانت مهمتهم: قطع خطوط التحكم لإحدى أكبر عمليات البروكسي الإجرامية السيبرانية في الذاكرة الحديثة. وما كشفوه كان مخططًا ماكرًا حوّل ملايين الأجهزة اليومية إلى جنود مشاة غير واعين في خدمة الجريمة السيبرانية.

حقائق سريعة

• أكثر من 550 خادم قيادة وتحكم (C2) لشبكات البوتنت تم توجيهها إلى مسار عدمي (null-routed) على يد الباحثين منذ أكتوبر 2025.
• أصابت شبكتا Kimwolf وAisuru أكثر من مليوني جهاز أندرويد، معظمها صناديق بث التلفاز.
• جُنّدت الأجهزة المخترقة كبروكسيات سكنية، تُخفي النشاط الإجرامي على أنه حركة مرور شرعية.
• تم بيع حركة المرور القادمة من هذه الشبكات في أسواق تحت الأرض، مع استخدام المشغّلين لخوادم Discord لتسويق الوصول.
• حدّد الباحثون شبكة من 832 موجّهًا مخترقًا في روسيا، جميعها تعمل كعُقد بروكسي لمجرمي الإنترنت.

تشريح بوتنت البروكسي

Kimwolf وAisuru ليستا شبكتي بوتنت عاديتين. فعلى خلاف جيوش DDoS الكلاسيكية، تتخصص هاتان السلالتان من البرمجيات الخبيثة في اختطاف أجهزة المستهلكين - وتحديدًا صناديق Android TV وموجّهات المكاتب الصغيرة/المنازل (SOHO). ومن خلال استغلال خدمات Android Debug Bridge (ADB) المكشوفة والاستفادة من حِزم تطوير برمجيات البروكسي الضعيفة مثل ByteConnect، حوّل المهاجمون هذه الأدوات إلى بوابات لنشاط إنترنت غير مشروع. الأجهزة المصابة، التي باتت تعمل كعُقد بروكسي سكنية، أتاحت للمجرمين تأجير عناوين IP الخاصة بها، بحيث تبدو حركة المرور الخبيثة بريئة كجلسة مشاهدة متواصلة لنتفليكس.

كانت العملية محكمة. قام مشغّلو البوتنت بمسح الأجهزة الضعيفة، وإسقاط برمجياتهم الخبيثة عليها، وتمرير حركة المرور عبر الشبكات السكنية. ثم أُدرجت عناوين IP العامة لهذه الأجهزة المصابة للإيجار في أسواق بروكسي مظلمة، كثير منها كان يُنسَّق علنًا عبر خوادم Discord مثل resi[.]to. وحتى مزوّد الاستضافة Resi Rack LLC، الذي كان يُسوَّق كشركة شرعية لخوادم الألعاب، وُضع في دائرة الاتهام، إذ يُزعم أن مؤسسيه المشاركين باعوا الوصول إلى شبكة البروكسي لسنوات.

ومع نمو البوتنت - بإضافة ما يصل إلى 800,000 بوت جديد خلال أسبوع واحد فقط - لاحظ الباحثون أن Kimwolf كانت تمسح خدمات بروكسي منافسة للعثور على مزيد من الأهداف. وفي الوقت نفسه، كانت مجموعات أخرى منشغلة باختراق موجّهات عبر مزوّدي خدمة الإنترنت في روسيا، مؤتمتة الاستغلال الجماعي لإضافة مئات موجّهات SOHO بهدوء إلى حوض البروكسي. هذه النهايات الطرفية، بسمعتها السكنية “النظيفة”، أفلتت من رادار معظم أدوات الأمن.

التداعيات في العالم الحقيقي

أتاحت هذه الإمبراطورية من البروكسي طيفًا من الجرائم السيبرانية: من هجمات DDoS وحشو بيانات الاعتماد إلى توزيع البرمجيات الخبيثة والاحتيال. وكانت عبقرية المخطط في خفائه؛ فباندماجه مع حركة مرور الإنترنت المنزلية العادية، تهرّب الفاعلون الخبيثون من الاكتشاف والإدراج في القوائم السوداء. أما بالنسبة للمستخدمين النهائيين، فكان ذلك يعني أن أجهزتهم تحولت إلى أسلحة دون علمهم، وأن عرض النطاق الترددي والثقة الخاصة بهم بيعت بهدوء لمن يدفع أكثر.

عملية التفكيك التي نسّقتها Black Lotus Labs - بتوجيه أكثر من 550 خادم C2 إلى مسار عدمي - وجّهت ضربة قوية لهذه العمليات. لكن ما دامت أجهزة المستهلكين غير مُرقّعة وشبكات البروكسي مربحة، فإن سباق التسلح بين المهاجمين والمدافعين بعيد عن نهايته.

نظرة إلى الأمام

قصة Kimwolf وAisuru إنذار صارخ: منازلنا الذكية وأجهزتنا المتصلة أصبحت الآن عقارًا ثمينًا لمجرمي الإنترنت. اليقظة، والتحديثات المنتظمة، والشك تجاه التطبيقات المجهولة هي الضروريات الجديدة. لأن في عالم البروكسي السفلي، قد يكون صندوق التلفاز لديك هو الشريك غير الواعي التالي.

WIKICROOK

• بوتنت: البوتنت هي شبكة من الأجهزة المصابة تُدار عن بُعد بواسطة مجرمي الإنترنت، وغالبًا ما تُستخدم لشن هجمات واسعة النطاق أو سرقة بيانات حساسة.
• أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا عبر خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
• بروكسي سكني: يستخدم البروكسي السكني عنوان IP منزليًا حقيقيًا لجعل النشاط عبر الإنترنت يبدو وكأنه صادر عن مستخدم فعلي، مُخفيًا المصدر الحقيقي.
• Null: تعني Null قيمة فارغة أو غير معرّفة في البيانات أو البرمجيات، وقد تسبب مشكلات أمنية إذا لم تُدار بشكل صحيح.
• Android Debug Bridge (ADB): ADB أداة سطر أوامر لإدارة أجهزة أندرويد، مفيدة للمطورين لكنها قد تكون محفوفة بالمخاطر إذا أسيء استخدامها أو تُركت دون تأمين.