شهدت شبكة الإنترنت خلال العام الماضي تصاعداً ملحوظاً في التهديدات المدفوعة بالشبكات الروبوتية (بوت نت)، حيث يعود جزء كبير من هذا النشاط إلى عائلة واحدة من البرمجيات الخبيثة كانت ذات تأثير كبير في التاريخ الحديث – ميراي (Mirai).
ظهرت ميراي لأول مرة في عام 2016، وقد صُممت لفحص الإنترنت بحثاً عن أجهزة إنترنت الأشياء (IoT) التي تعمل بمعالجات ARC، والتي تستخدم نسخة مبسطة من نظام لينكس.
كان المهاجمون يصلون إلى هذه الأجهزة إما عن طريق استغلال ثغرات أمنية معروفة أو بتسجيل الدخول باستخدام بيانات الاعتماد المصنعية الافتراضية التي لا يغيرها معظم المستخدمين.
ما بدأ كأداة مركزة لإطلاق هجمات الحرمان من الخدمة الموزعة (DDoS) قد تطور إلى نظام بيئي تهديدي واسع النطاق، مع وجود مئات المتغيرات النشطة التي تستهدف الآن ملايين الأجهزة حول العالم.
تطور شبكات الروبوت (بوت نت) المستندة إلى ميراي
أدى النشر العام للكود المصدري لميراي إلى تمهيد الطريق لعدد لا يحصى من الجهات الفاعلة في مجال التهديدات لبناء إصداراتهم الخاصة. سجلت Spamhaus زيادة بنسبة 26% في خوادم القيادة والتحكم (C2) للشبكات الروبوتية في النصف الأول من عام 2025، تلتها زيادة أخرى بنسبة 24% بين يوليو وديسمبر 2025.
دفعت هذه الطفرة الولايات المتحدة لتتجاوز الصين لتصبح الدولة التي تستضيف أكبر عدد من خوادم القيادة والتحكم للشبكات الروبوتية، وهو اللقب الذي احتفظت به الصين منذ الربع الثالث من عام 2023.
يعكس الحجم الهائل لهذا النمو مدى انتشار الكود المصدري لميراي بين مجرمي الإنترنت، والجهد القليل المطلوب لإطلاق متغير جديد.
حدد باحثو Pulsedive وتتبعوا العديد من شبكات الروبوت النشطة المستندة إلى ميراي، حيث برزت Aisuru و Kimwolf كأكثرها تدميراً. بالاشتراك، اتُهم هذان المتغيران، اللذان يشار إليهما غالباً باسم Aisuru-Kimwolf، باختراق ما بين مليون وأربعة ملايين مضيف حول العالم.
وثقت Cloudflare أن Aisuru-Kimwolf تقف وراء بعض أكبر هجمات DDoS المسجلة على الإطلاق، بما في ذلك فيضان بمعدل 31.4 تيرابت في الثانية وهجوم بمعدل 14.1 مليار حزمة في الثانية. تتجاوز هذه الأرقام بكثير ما يمكن أن تنتجه متغيرات ميراي السابقة، وتسلط الضوء على مدى خطورة الجيل القادم من هذه الشبكات الروبوتية.
حول مشغلو Aisuru-Kimwolf بنيتهم التحتية إلى عمل إجرامي، حيث يبيعون الوصول إلى الأجهزة المخترقة عبر منصات مثل Discord و Telegram. في 19 مارس 2026، أعلنت وزارة العدل الأمريكية عن إجراءات تعطيل مصرح بها بموجب أمر محكمة ضد خوادم القيادة والتحكم التي تدعم شبكات الروبوت Aisuru و KimWolf و JackSkid و Mossad، مع عمليات إنفاذ امتدت عبر كندا وألمانيا.
بالإضافة إلى هجمات DDoS، تم استخدام الشبكات الروبوتية لإساءة استخدام شبكات الوكيل السكنية، وتوجيه حركة مرور الهجمات عبر عناوين IP الخاصة بأصحاب المنازل العاديين، مما يجعل النشاط أصعب بكثير في التتبع. على الرغم من جهود التفكيك، تستمر هذه الشبكات الروبوتية في التكيف وإيجاد طرق جديدة للبقاء قيد التشغيل.
آلية عدوى Kimwolf وتجنب البنية التحتية
Kimwolf هو متغير فرعي من Aisuru يركز على نظام Android، وقد تم بناؤه لاستهداف الأجهزة المحمولة وأجهزة التلفزيون الذكية. لقد اخترق حوالي مليوني جهاز Android على مستوى العالم، مستغلاً نفس قدرات DDoS التي تتمتع بها Aisuru ولكن تم تعديلها للعمل على أنظمة Android.
بمجرد الوصول إلى جهاز ضعيف، يقوم Kimwolf بتشغيل برنامج نصي للتثبيت يقوم بتنزيل ملفات .apk من خادم يتحكم به المهاجم. يجعلان البرنامج النصي كل ملف قابلاً للتنفيذ ويشغلهما بالتتابع، ويستهدفان بنيات وحدات المعالجة المركزية المختلفة لإصابة أكبر عدد ممكن من الأجهزة.
بعد أن قامت Google و DOJ بتعطيل البنية التحتية لشبكة الوكيل السكنية IPIDEA المرتبطة بـ Kimwolf، ظهرت تقارير تفيد بأن الشبكة الروبوتية قد انتقلت إلى The Invisible Project (I2P)، وهي شبكة اتصالات لامركزية ومشفرة مصممة لإخفاء حركة المرور. كان هذا التحول استجابة مباشرة لضغوط التفكيك، حيث أن I2P يصعب مراقبتها أو إغلاقها مقارنة بالبنية التحتية التقليدية.
يؤكد هذا التحرك نمطًا واضحًا: يراقب هؤلاء المشغلون إجراءات إنفاذ القانون عن كثب ويغيرون مسار عملياتهم بسرعة في اللحظة التي تحدث فيها أي اضطرابات. غالبًا ما تقدم شركات الاتصالات حلول حماية من DDoS يمكنها اكتشاف حركة مرور الروبوتات وحظرها، ويجب على المؤسسات الاستفادة الكاملة من هذه الحلول. يمكن لخدمات DNS الوقائية تصفية استعلامات النطاقات المشبوهة قبل وصولها إلى الأنظمة الداخلية.