تُشير أحدث التقارير الأمنية إلى تحول استراتيجي في عالم الهجمات السيبرانية، حيث بات المهاجمون يركزون على الاختراق طويل الأمد وغير المرئي بدلاً من تعطيل الأنظمة. يأتي هذا التحول مع تراجع ملحوظ في الاعتماد على برامج الفدية والتشفير كإشارة رئيسية للهجمات.
يُظهر تقرير “Picus Labs Red Report 2026” الذي حلل أكثر من 1.1 مليون ملف خبيث، أن استراتيجية الهجوم لم تعد تهدف إلى إحداث أكبر قدر من الضرر أو التعطيل، بل أصبحت تركز على التسلل طويل الأمد والبقاء داخل البيئات المستهدفة دون اكتشاف. هذا يعني أن التركيز الأمني يجب أن يتغير من مواجهة الهجمات الصاخبة إلى كشف التهديدات الخفية.
تراجع إشارة برامج الفدية والهجمات التخريبية
لطالما كانت برامج الفدية وتشفير البيانات هي العلامة الواضحة للخطر السيبراني. عندما كانت الأنظمة تتجمد وتتوقف العمليات، كان التأكد من الاختراق أمراً شبه مؤكد. ومع ذلك، فإن هذه “الإشارة” تفقد أهميتها تدريجياً.
وفقاً للتقرير، انخفضت تقنية “تشفير البيانات للتأثير” بنسبة 38% في عام 2025 مقارنة بالعام الذي سبقه، لتصل إلى 12.94% من الهجمات. هذا الانخفاض لا يعني بالضرورة ضعف قدرات المهاجمين، بل يعكس تحولاً متعمدًا في استراتيجياتهم.
فبدلاً من قفل البيانات لإجبار الضحايا على دفع الفدية، يتجه مجرمو الإنترنت الآن نحو ابتزاز البيانات كنموذج أساسي لتحقيق الربح. من خلال تجنب التشفير، يتمكن المهاجمون من إبقاء الأنظمة تعمل أثناء قيامهم بعمليات أخرى.
تتضمن هذه العمليات استخلاص البيانات الحساسة بصمت، وجمع بيانات الاعتماد والرموز المميزة (tokens)، والبقاء متخفياً داخل البيئات لفترات طويلة، ثم ممارسة الضغط لاحقاً من خلال الابتزاز بدلاً من التدمير المباشر.
النتيجة واضحة: لم يعد التأثير يُعرّف بتوقف الأنظمة، بل بمدى قدرة المهاجمين على الحفاظ على وصولهم داخل أنظمة الضحية دون أن يتم اكتشافهم.
سرقة بيانات الاعتماد: مفتاح السيطرة الجديد
مع تحول المهاجمين نحو التسلل المستمر والمتخفي، أصبحت الهوية (identity) هي المسار الأكثر موثوقية لتحقيق السيطرة على الأنظمة.
يكشف تقرير “Red Report 2026” أن سرقة بيانات الاعتماد من مخازن كلمات المرور تظهر في ما يقرب من ربع الهجمات (23.49%)، مما يجعلها واحدة من أكثر السلوكيات انتشاراً التي لوحظت خلال العام الماضي.
بدلاً من الاعتماد على تقنيات تسريب كلمات المرور الصاخبة أو سلاسل الاستغلال المعقدة، يميل المهاجمون بشكل متزايد إلى استخلاص بيانات الاعتماد المحفوظة مباشرة من المتصفحات، وأدوات إدارة المفاتيح، ومديري كلمات المرور. بمجرد الحصول على بيانات اعتماد صالحة، يصبح تصعيد الامتيازات (privilege escalation) والحركة الجانبية (lateral movement) أسهل باستخدام الأدوات الإدارية الأصلية للنظام.
أصبحت حملات البرمجيات الخبيثة الحديثة تتصرف مثل “الطفيل الرقمي”. لا توجد أجهزة إنذار، ولا تعطل في الأنظمة، ولا مؤشرات واضحة. فقط صمت مريب.
80% من تقنيات MITRE ATT&CK تركز على التخفي
على الرغم من اتساع نطاق إطار عمل MITRE ATT&CK®، فإن أنشطة البرمجيات الخبيثة في العالم الحقيقي تظل متركزة حول مجموعة صغيرة من التقنيات التي تعطي الأولوية بشكل متزايد للإخفاء، والثبات، والتحكم والسيطرة (command and control) المتخفي.
يشير تقرير “Red Report 2026” إلى اختلال واضح: ثماني من أفضل عشر تقنيات في MITRE ATT&CK مكرسة الآن بشكل أساسي للإخفاء، أو الثبات، أو التخفي. يمثل هذا أعلى تركيز لأساليب العمل التي تركز على التخفي سجله Picus Labs على الإطلاق، مما يشير إلى تغيير جذري في مقاييس نجاح المهاجمين.
بدلاً من التركيز على التأثير الفوري، يحسن المهاجمون المعاصرون وقت البقاء (dwell time) إلى أقصى حد. التقنيات التي تمكن المهاجمين من الاختباء، والاندماج، والبقاء في وضع التشغيل لفترات طويلة تفوق الآن تلك المصممة لتعطيل الأنظمة.
من بين السلوكيات الأكثر شيوعاً التي لوحظت هذا العام:
حقن العمليات (Process Injection T1055) يسمح للبرمجيات الخبيثة بالعمل داخل عمليات النظام الموثوقة، مما يجعل التمييز بين النشاط الخبيث والتنفيذ الشرعي صعباً.
التنفيذ التلقائي عند بدء التشغيل أو تسجيل الدخول (Boot or Logon Autostart Execution T1547) يضمن الثبات عن طريق البقاء بعد إعادة التشغيل وتسجيل دخول المستخدمين.
بروتوكولات طبقة التطبيق (Application Layer Protocols T1071) توفر “قنوات همس” للتحكم والسيطرة، مما يمزج حركة مرور المهاجم مع اتصالات الويب والسحابة العادية.
التخفي من البيئات الافتراضية وأدوات التحليل (Virtualization and Sandbox Evasion T1497) يمكّن البرمجيات الخبيثة من اكتشاف بيئات التحليل ورفض التنفيذ عندما تشك في أنها مراقبة.
التأثير المجمع قوي: عمليات تبدو شرعية تستخدم أدوات شرعية للعمل بصمت عبر قنوات موثوق بها على نطاق واسع. يعتمد الكشف القائم على التوقيع (signature-based detection) على هذا البيئة، بينما يصبح التحليل السلوكي (behavioral analysis) مهماً بشكل متزايد لتحديد النشاط غير المشروع المصمم عمداً ليبدو طبيعياً.
حيثما كان التشفير يحدد الهجوم في السابق، أصبح التخفي الآن يحدد نجاحه.
البرمجيات الخبيثة الواعية بنفسها ترفض التحليل
عندما يصبح التخفي هو المقياس الأساسي للنجاح، فإن مجرد تجنب الكشف لا يكفي. يجب على المهاجمين أيضاً تجنب تشغيل الأدوات التي يعتمد عليها المدافعون لمراقبة سلوكهم الخبيث في المقام الأول. يوضح تقرير “Red Report 2026” هذا بشكل جلي في زيادة تقنية التخفي من البيئات الافتراضية وأدوات التحليل (T1497)، التي انتقلت إلى المستوى الأعلى من أساليب المهاجمين في عام 2025.
تُقيّم البرمجيات الخبيثة الحديثة بشكل متزايد مكان وجودها قبل أن تقرر ما إذا كانت ستتصرف. بدلاً من الاعتماد على فحوصات بسيطة، تقوم بعض العينات بتقييم سياق التنفيذ وتفاعل المستخدم لتحديد ما إذا كانت تعمل بالفعل في بيئة حقيقية.
في أحد الأمثلة التي سلط عليها التقرير الضوء، قامت LummaC2 بتحليل أنماط حركة الماوس باستخدام الهندسة، وحساب المسافة الإقليدية وزوايا المؤشر للتمييز بين التفاعل البشري والحركة الخطية النموذجية لبيئات التحليل الآلية. عندما تبدو الظروف مصطنعة، فإنها تقمع عن عمد أي تنفيذ وتظل ساكنة، وتنتظر بصمت.
يعكس هذا السلوك تحولاً أعمق في منطق المهاجم. لا يمكن الاعتماد على البرمجيات الخبيثة لتكشف عن نفسها في بيئات التحليل. بل إنها تحجب النشاط عن قصد، وتظل خاملة حتى تصل إلى نظام إنتاج حقيقي.
في نظام بيئي تهيمن عليه السرية والثبات، أصبح “عدم النشاط” نفسه تقنية أساسية للإخفاء.
ضجيج الذكاء الاصطناعي مقابل الواقع: تطور، لا ثورة
مع إظهار المهاجمين لسلوكيات متزايدة التكيف، من الطبيعي أن نتساءل: أين يقع الذكاء الاصطناعي في هذه المعادلة؟
تشير بيانات تقرير “Red Report 2026” إلى إجابة متوازنة. على الرغم من التكهنات الواسعة، بل والترقب، حول إعادة تشكيل الذكاء الاصطناعي لمشهد البرمجيات الخبيثة، لم يلاحظ Picus Labs أي زيادة ذات مغزى في تقنيات البرمجيات الخبيثة المدفوعة بالذكاء الاصطناعي عبر مجموعة بيانات عام 2025.
بدلاً من ذلك، تظل السلوكيات الأكثر انتشاراً مألوفة. تستمر التقنيات القديمة مثل حقن العمليات (Process Injection) والمفسرات (command and scripting interpreters) في السيطرة على الاختراقات الواقعية، مما يعزز أن المهاجمين لا يحتاجون إلى ذكاء اصطناعي متقدم لتجاوز الدفاعات الحديثة.
بدأت بعض عائلات البرمجيات الخبيثة في تجربة واجهات برمجة تطبيقات نماذج اللغة الكبيرة (LLM APIs)، ولكن استخدامها حتى الآن ظل محدود النطاق. في الحالات المرصودة، استُخدمت خدمات LLM في المقام الأول لاسترداد أوامر محددة مسبقًا أو العمل كطبقة اتصال مريحة. هذه التطبيقات تحسن الكفاءة، لكنها لا تغير بشكل أساسي منطق اتخاذ القرار أو تنفيذ الهجوم لدى المهاجمين.
حتى الآن، تُظهِر البيانات أن الذكاء الاصطناعي “يُستوعب” في أساليب العمل الحالية بدلاً من “إعادة تعريفها”. ميكانيكا “الطفيل الرقمي” تظل كما هي: سرقة بيانات الاعتماد، الثبات المتخفي، إساءة استخدام العمليات الموثوق بها، وزيادة أوقات البقاء.
المهاجمون لا ينتصرون باختراع تقنيات جديدة جذرياً. إنهم ينتصرون بأن يصبحوا أكثر هدوءاً، وأكثر صبراً، وأكثر صعوبة في التمييز عن النشاط الشرعي.
العودة إلى الأساسيات لنموذج تهديد مختلف
مع استمرار إصدار هذه التقارير سنوياً، نلاحظ اتجاهاً مستمراً مع ظهور العديد من التكتيكات نفسها عاماً بعد عام. ما تغير بشكل أساسي هو الهدف.
الهجمات الحديثة تعطي الأولوية لـ:
- البقاء غير مرئي.
- إساءة استخدام الهويات والأدوات الموثوق بها.
- تعطيل الدفاعات بهدوء.
- الحفاظ على الوصول بمرور الوقت.
من خلال تعزيز أساسيات الأمان الحديث، والكشف القائم على السلوك، والنظافة الجيدة لبيانات الاعتماد، والتحقق المستمر من التعرض للخطر (Adversarial Exposure Validation)، يمكن للمؤسسات التركيز بشكل أقل على سيناريوهات الهجوم الدرامية والمزيد على التهديدات التي تنجح فعليًا اليوم.
هل أنت مستعد للتحقق من التحصينات ضد “الطفيل الرقمي”؟
بينما لا تزال عناوين برامج الفدية تهيمن على دورة الأخبار، يُظهر تقرير “Red Report 2026” أن الخطر الحقيقي يكمن بشكل متزايد في الاختراق الصامت والمستمر. يركز Picus Security على التحقق من الدفاعات ضد التقنيات المحددة التي يستخدمها المهاجمون حاليًا، وليس فقط تلك التي تحدث أكبر قدر من الضجيج.
هل أنت مستعد لرؤية البيانات الكاملة وراء نموذج “الطفيل الرقمي”؟
قم بتنزيل تقرير “Picus Red Report 2026” لاستكشاف نتائج هذا العام وفهم كيف يبقى المهاجمون المعاصرون داخل الشبكات لفترة أطول من أي وقت مضى.