داخل شبكة الظلال: قراصنة صينيون يستغلّون ثغرة يوم-صفر في Dell لتجسّس لا يهدأ

العنوان الفرعي: ثغرة حرجة في Dell سلّحت قراصنة مدعومين من الدولة الصينية بوصول غير مقيّد إلى الشبكات العالمية - تحت أنوف المدافعين.

بدأ الأمر بهمسة - إدخال شارد في السجلات هنا، وعملية مارقة هناك. وبحلول الوقت الذي أدركت فيه فرق الأمن ما الذي يتكشف، كانت عاصفة صامتة قد اجتاحت العمود الفقري الرقمي لعدد لا يُحصى من المؤسسات. في منتصف عام 2024، شرعت نخبة من القراصنة الصينيين المدعومين من الدولة بهدوء في استغلال ثغرة يوم-صفر مدمّرة في Dell RecoverPoint for Virtual Machines، مطلِقة حملة ستقلب افتراضات الأمن لدى الشركات حول العالم.

حقائق سريعة

CVE-2026-22769: ثغرة يوم-صفر حرجة في Dell بدرجة CVSS كاملة 10.0، تُمكّن من وصول root عن بُعد دون مصادقة.
UNC6201، المرتبط بـ Silk Typhoon، استغلّ هذه الثغرة منذ منتصف 2024 ضمن حملة تجسّس مستمرة.
استخدم المهاجمون في البداية الباب الخلفي BRICKSTORM، ثم انتقلوا إلى برمجية GRIMBOLT الأكثر تخفّيًا في سبتمبر 2025.
تتحقق الاستمرارية عبر تعديل سكربتات النظام، ما يسمح للبرمجية الخبيثة بالبقاء بعد إعادة التشغيل وتفادي الكشف.
أصدرت Dell تصحيحًا عاجلًا - ويجب على المستخدمين الترقية إلى الإصدار 6.0.3.1 HF1 أو تطبيق سكربت المعالجة فورًا.

حصار رقمي: تشريح الهجوم

الثغرة التي تقف في قلب هذه الحملة - CVE-2026-22769 - تقيم في RecoverPoint for Virtual Machines واسع الاستخدام من Dell. ما سببها الجذري؟ مجموعة من بيانات الاعتماد المضمّنة (hardcoded) المدفونة داخل Apache Tomcat Manager، تُركت كأنها مفتاح هيكلي لمن يعثر عليها. وبالنسبة إلى UNC6201، وهو عنقود تهديدات مرتبط ارتباطًا وثيقًا بـ Silk Typhoon سيّئ الصيت، كانت هذه دعوة مفتوحة.

وبهذه البيانات، استطاع المهاجمون الدخول بخفة إلى الأجهزة الضعيفة، ورفع أرشيفات Java خبيثة (ملفات WAR)، والحصول على تحكم بمستوى root خلال ثوانٍ. وكان سلاحهم الأول BRICKSTORM، وهو باب خلفي يمنح وصولًا عن بُعد. لكن بحلول أواخر 2025، غيّروا تكتيكاتهم، فنشروا GRIMBOLT - بابًا خلفيًا بلغة C# مُجمّعًا بتقنية التنفيذ المسبق (AOT)، ما جعله أسرع وأكثر تخفّيًا وأصعب تحليلًا من سلفه.

استمرارية GRIMBOLT بسيطة على نحو يبعث على القشعريرة: عبر تغيير سكربت نظام شرعي (convert_hosts.sh)، يضمن تشغيل شفرته في كل مرة يُعاد فيها تشغيل النظام. ولم يتوقف المهاجمون عند موطئ قدم واحد. بل أنشؤوا بذكاء “بطاقات شبكة شبحية” (Ghost NICs) - واجهات شبكة مؤقتة - للانتقال بين الشبكات الداخلية وبيئات السحابة، بما يعظّم نطاق تجسّسهم وطول أمده.

لأشهر، ظلت هذه الاختراقات بلا رصد، مدعومة بتفوّق المهاجمين التقني وبالطبيعة الحرجة للثغرة المستغلة. ولم تتضح الصورة الكاملة للحملة إلا بعد تحقيقات مشتركة أجرتها Mandiant ومجموعة استخبارات التهديدات لدى Google. وتُظهر تكتيكات الجهات المهدِّدة، من قواقع الويب إلى التلاعب بسجلات التدقيق، فهمًا عميقًا للتقنية وللبيئات التشغيلية التي يستهدفونها.

التداعيات ودروس عاجلة

تحركت Dell، فأصدرت تصحيحًا حرجًا وسكربت معالجة. لكن السؤال يظل عالقًا لدى كثيرين: كم من المفاتيح الهيكلية الأخرى ما زالت مدفونة في البنية التحتية التي نثق بها؟ وبينما تتسابق المؤسسات للتحديث والبحث عن مؤشرات الاختراق، يتضح أمر واحد - إن عصر الحملات السيبرانية الصامتة المدعومة من الدول، التي تستغل ثغرات مُهملة، لم ينتهِ بعد.

WIKICROOK

يوم-صفر: ثغرة يوم-صفر هي خلل أمني خفي غير معروف لصانع البرمجيات، ولا يتوفر له إصلاح بعد، ما يجعله عالي القيمة والخطورة بالنسبة للمهاجمين.
باب خلفي: الباب الخلفي هو طريقة خفية للوصول إلى حاسوب أو خادم، متجاوزًا فحوصات الأمان المعتادة، وغالبًا ما يستخدمه المهاجمون للحصول على تحكم سري.
وصول Root: وصول root هو أعلى مستوى من التحكم بالنظام، يتيح تغييرات غير مقيّدة أو حذفًا أو وصولًا إلى أي ملفات وإعدادات على الجهاز.
الاستمرارية: الاستمرارية تتضمن تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء داخل الأنظمة، غالبًا عبر محاكاة عمليات أو تحديثات شرعية.
قوقعة ويب: قوقعة الويب هي سكربت خبيث يرفعه القراصنة إلى خادم، يتيح لهم التحكم بالخادم عن بُعد عبر واجهة ويب.