Netcrook Logo
👤 BYTEHERMIT
🗓️ 17 Dec 2025   🌍 Asia

الخوادم المخترقة: العمود الفقري السري لآلة تجسس عالمية

العنوان الفرعي: حملة جديدة تختطف خوادم المؤسسات الموثوقة، وتحولها إلى محطات ترحيل غير مرئية لقراصنة مرتبطين بالدولة الصينية.

تبدأ العملية باقتحام صامت - ثغرة قديمة، تحديث منسي. لكن ما يلي ذلك هو ضربة بارعة في التسلل السيبراني: خوادم شركتك نفسها تُجنّد بهدوء ضمن شبكة تجسس عالمية، تمرر أوامر سرية وبيانات مسروقة لجهة تهديد لن تراها أبداً. هذه هي الحقيقة المرعبة التي كشفتها شركة Check Point Research، حيث فضحت حملة جريئة منسقة من قبل مجموعة Ink Dragon، وهي مجموعة ذات صلات عميقة بالمصالح الصينية. سلاحهم المفضل؟ منصة ShadowPad الشهيرة، التي أعيد توظيفها الآن لتحويل الضحايا إلى شركاء غير واعين في شبكة ترحيل دولية.

داخل شبكة ترحيل ShadowPad

رفعت مجموعة Ink Dragon، المعروفة أيضاً باسم Earth Alux أو Jewelbug، فن الحركة الجانبية إلى مستوى جديد. تبدأ حملتهم باستغلال نقاط ضعف معروفة في Microsoft IIS وSharePoint - غالباً عبر ثغرات قديمة مثل ASP.NET ViewState deserialization أو سلسلة استغلال ToolShell. بعد الحصول على تنفيذ تعليمات برمجية عن بُعد، يتحركون بسرعة لجمع بيانات الاعتماد وتصعيد الامتيازات، أحياناً باستخدام استغلالات محلية بأسماء فكاهية مثل PrintNotifyPotato.

لكن الابتكار الحقيقي لديهم هو نشر وحدة "ShadowPad IIS Listener" المخصصة. على عكس البرمجيات الخبيثة التقليدية، يتغلغل هذا الكود عميقاً في خادم الويب، مسجلاً نقاط نهاية HTTPS مخفية لا تستجيب إلا لطلبات مصممة من قبل القراصنة. بالنسبة للعالم الخارجي، يعمل الخادم بشكل طبيعي. لكن تحت السطح، يقوم بفك تشفير ومعالجة حركة المرور السرية - إما كباب خلفي كامل الوظائف أو، بشكل أكثر خبثاً، كعقدة ترحيل في شبكة موزعة.

هذا النظام الترحيل ذكي للغاية. كل خادم مخترق يحتفظ بقائمتين من الأقران - عملاء وخوادم - ويطابقهم تلقائياً لنقل المعلومات المشفرة بين المسيطرين في الأعلى والغرسات في الأسفل. النتيجة: يمكن للمهاجمين إصدار أوامر لغرسات مخفية، حتى في الشبكات التي لا تملك اتصالاً مباشراً بالإنترنت، عبر تمرير الحركة عبر سلاسل من الضحايا غير المدركين. بالنسبة للمدافعين، يصبح تتبع المصدر الحقيقي للأمر الخبيث كابوساً.

ولا تتوقف الحملة عند هذا الحد. يتم تحميل ShadowPad عبر عملية متعددة المراحل لتجنب الكشف، بينما يستخدم حصان طروادة مرن يُدعى FinalDraft سحابة مايكروسوفت نفسها (مسودات بريد Outlook) لتهريب البيانات واستقبال تعليمات جديدة. حتى إذا تم اكتشاف وإيقاف إحدى محطات الترحيل، تتكيف الشبكة - حيث يعاد توجيه الحركة ببساطة عبر منظمات مخترقة أخرى، كل منها غير مدرك لدوره في البنية التحتية المظلمة.

الخلاصة: عندما يتحول الثقة إلى سلاح ضدك

حملة الترحيل المدفوعة بـ ShadowPad تذكرنا بوضوح أن الدفاع السيبراني لم يعد مجرد حماية البيانات - بل حماية بنيتك التحتية من أن تُستخدم كسلاح ضد الآخرين. مع تطور المهاجمين، تصبح الحدود بين الضحية والشريك غير واضحة. بالنسبة للمؤسسات، اليقظة تعني ليس فقط سد الثغرات الواضحة، بل مراقبة العلامات الدقيقة التي تشير إلى أن أنظمتك الموثوقة تلعب دوراً في لعبة أكبر وغير مرئية.

ويكيكروك

  • ShadowPad: منصة برمجيات خبيثة معيارية تستخدمها مجموعات قرصنة صينية للتحكم السري، والمراقبة، وسرقة البيانات من الأنظمة المخترقة.
  • IIS (خدمات معلومات الإنترنت): IIS هو برنامج خادم الويب من مايكروسوفت لاستضافة المواقع والتطبيقات على خوادم ويندوز، ويوفر توصيل محتوى آمن وقابل للتوسع.
  • عقدة ترحيل: عقدة الترحيل تمرر حركة الشبكة، وتخفي المصدر أو الوجهة الحقيقية. تُستخدم للخصوصية أو من قبل المهاجمين لتجنب الكشف وإخفاء أصل النشاط.
  • تنفيذ التعليمات البرمجية عن بُعد (RCE): تنفيذ التعليمات البرمجية عن بُعد هو عندما يشغل المهاجم شفرته الخاصة على نظام الضحية، وغالباً ما يؤدي ذلك إلى السيطرة الكاملة أو اختراق النظام.
  • باب خلفي: الباب الخلفي هو وسيلة مخفية للوصول إلى جهاز كمبيوتر أو خادم، متجاوزاً الفحوصات الأمنية العادية، وغالباً ما يستخدمه المهاجمون للسيطرة السرية.
Espionage ShadowPad Cybersecurity
BYTEHERMIT BYTEHERMIT
Air-Gap Reverse Engineer
← Back to news