اكتشاف موقع تسريب بيانات جديد مرتبط بجهة مخترق نشطة.

في تطور لافت على الساحة السيبرانية، كشف خبراء الأمن عن ظهور موقع تسريب بيانات جديد على شبكة تور، يطلق عليه اسم “ALP-001”. ظهر هذا الموقع في 22 مارس 2026، ويقوم بشكل علني بالترويج لنفسه كسوق للبيانات التي تم اختراقها وأنظمة الوصول غير المصرح بها.

يشير ظهور هذه المنصة إلى اتجاه متزايد حيث ينتقل جهات التهديد الراسخة، التي كانت تبيع تقليديًا الوصول إلى شبكات الشركات، إلى عمليات الابتزاز الشاملة. يحذر الباحثون الأمنيون من أن هذا قد يمثل تحولًا كبيرًا في طريقة عمل وسطاء الوصول الأولي، مما يدمج سرقة البيانات مع فضح الضحايا لتحقيق أقصى قدر من التأثير.

تحول في استراتيجيات وسطاء الوصول الأولي

لم يظهر موقع ALP-001 من فراغ. تحمل المنصة علامات واضحة لجهات تهديد منظمة جيدًا، والتي عملت على بناء تواجد لها عبر العديد من منتديات الويب المظلم منذ يوليو 2024 على الأقل. خلال تلك الفترة، اشتهرت المجموعة ببيع الوصول غير المصرح به إلى أنظمة المؤسسات المخترقة، مع التركيز بشكل خاص على الأجهزة المحيطية المواجهة للإنترنت وبوابات الوصول عن بعد.

يمثل هذا التوجه تصعيدًا حادًا في النوايا، مما يشير إلى أن المجموعة تعتبر الآن الابتزاز جزءًا أساسيًا من عملياتها. وتشير التحليلات التي أجرتها شركة ReliaQuest إلى أن هذا المزيج من سرقة البيانات وابتزاز الضحايا يشكل تهديدًا سيبرانيًا متناميًا.

ربط الموقع بوسطاء الوصول الأولي النشطين

كشف محللو ReliaQuest عن ربط مباشر بين موقع ALP-001 ووسيط وصول أولي نشط يعمل عبر منتديات شهيرة على الويب المظلم، بما في ذلك Exploit وDarkForums. من خلال مقارنة معرفات Tox وSession المعروضة على موقع التسريب، أكد الباحثون أن نفس معرفات الاتصال كانت تُستخدم بالفعل من قبل حساب معروف في منتديات IAB.

كانت هذه المجموعة قد عُرفت سابقًا بأسماء مثل “Alpha Group” و “DGJT Group”، مما زود المحققين ببيانات تاريخية كافية لبناء جدول زمني لنشاطها يعود لما يقرب من عامين. هذا الربط الدقيق يؤكد أن المجموعة تتحول استراتيجيًا من مجرد بيع الوصول إلى تنفيذ حملات ابتزاز مكتملة.

في تأكيد إضافي، تطابقت الشركة الفرنسية المصنعة، والتي تم عرضها على موقع التسريب كضحية جديدة، مع إعلان سابق لبيع الوصول تم نشره على المنتديات في يناير 2026. هذا التطابق المباشر بين موقع التسريب ونشاط المنتدى ترك مجالًا ضئيلًا للشك حول الهوية وأكد تحول المجموعة.

توسيع نطاق الهجوم ونقاط الضعف المستهدفة

إن سطح الهجوم الذي تستهدفه هذه المجموعة واسع ومتعمد. يستفيد وسيط الوصول الأولي تاريخيًا من تقنيات محيطية مخترقة، مع التركيز على البنية التحتية للمؤسسات شائعة الاستخدام التي تمنح وصولًا عميقًا إلى بيئات الشركات بمجرد اختراقها. تشمل نواقل الهجوم المعروفة لديهم خوادم FTP وSSH، وأجهزة Fortinet وFortiGate VPN، ومعدات Cisco، وبوابات Citrix وRDWeb، وأنظمة الوصول عن بعد GlobalProtect.

يتم اختيار هذه الأهداف بعناية لأنها دائمًا ما تكون مواجهة للإنترنت، وتحمل امتيازات كبيرة، وتظهر باستمرار عبر المؤسسات الكبيرة حول العالم. يرتبط الموقع الجديد بـ 10 حسابات لوسطاء وصول أولي موزعة على ستة منتديات على الويب المظلم، مع نشاط يعود إلى يوليو 2024.

ما يجعل هذا التصعيد مقلقًا هو المصداقية الراسخة للمجموعة داخل الأوساط الإجرامية. في المنتديات، عملت المجموعة بهوية موثوقة من خلال الضمانات، مما يعني أن المشترين وثقوا بهم لتسليم ما وعدوا به. على الرغم من عدم تأكيد قدراتهم الفعلية على تسريب البيانات (data exfiltration)، فإن القائمة العامة للضحايا على موقع تور تشير بقوة إلى أنهم إما يمتلكون بالفعل بيانات مسروقة أو يعملون على الحصول عليها.

التوصيات الأمنية للمؤسسات

يجب على المؤسسات التي تواجه هذا التهديد تدقيق وتصحيح جميع الأجهزة الطرفية المواجهة للإنترنت، وخاصة حلول Fortinet وCisco وCitrix، لأنها تمثل نقاط الدخول الأكثر استغلالًا للمجموعة. يجب على فرق الأمن أيضًا البحث عن مؤشرات على الوصول المستمر، بما في ذلك الجلسات غير المصرح بها، وعمليات النقل الخارجية غير العادية عبر FTP أو SCP، والسلوك غير المنتظم لحسابات الامتيازات.

يعد فرض المصادقة متعددة العوامل (multi-factor authentication) على جميع نقاط الوصول عن بعد وإجراء عمليات تدقيق شاملة لحسابات الامتيازات خطوات حاسمة يجب على المؤسسات اتخاذها لتقليل التعرض لهجمات الابتزاز هذه، خاصة وأن ملفات التعريف هذه تعتمد على نقاط الضعف المعروفة في التكنولوجيا.