شهدت شبكات الإنترنت تطورات مقلقة مع ظهور سلالتين جديدتين من البرمجيات الخبيثة، حملات البرمجيات الخبيثة الجديدة، التي تحوّل أجهزة الشبكات إلى أدوات هجومية. تعمل هذه البرمجيات على استغلال أجهزة التوجيه (الراوترات) وأجهزة إنترنت الأشياء (IoT) ومعدات شبكات المؤسسات، مستخدمة إياها في شن هجمات الحرمان الموزع من الخدمة (DDoS) وعمليات تعدين العملات المشفرة.
يعكس هذا التوجه تحولاً واضحاً في أساليب مجرمي الإنترنت، إذ أصبحوا يستغلون البنية التحتية للشبكات التي تعتمد عليها المؤسسات بشكل يومي.
في السادس من مارس 2026، تمكن باحثون أمنيون من التقاط عينات جديدة لسلالتين من البرمجيات الخبيثة لم يتم توثيقهما من قبل. تعمل هاتان السلالتان بهدوء، مستهدفة الأجهزة دون أن تترك أثراً يمكن اكتشافه بسهولة.
السلالة الأولى، التي أطلق عليها اسم “CondiBot”، هي شبكة بوت نت مصممة لشن هجمات DDoS. تعتمد هذه السلالة على إطار عمل Mirai المعروف، وتهدف إلى إصابة أجهزة الشبكات التي تعمل بنظام لينكس وتحويلها إلى عقد خاضعة للتحكم عن بعد، قادرة على إغراق الأنظمة المستهدفة بحركة مرور بيانات هائلة.
أما السلالة الثانية، والتي تحمل اسم “Monaco”، فهي ماسح SSH متطور وبرنامج لتعدين العملات المشفرة، مكتوب بلغة Go 1.24.0. تقوم هذه البرمجية باختراق الخوادم وأجهزة التوجيه وأجهزة إنترنت الأشياء عبر محاولات تخمين كلمات مرور SSH الضعيفة، ثم تقوم بتثبيت برامج تعدين عملة مونيرو (Monero) بشكل صامت.
لم تكن أي من هاتين السلالتين مدرجة سابقاً على منصات الاستخبارات الرئيسية للتهديدات، بما في ذلك VirusTotal، وThreatFox، وHybrid Analysis.
استهداف البنية التحتية للشبكات: اتجاه متزايد
أفاد باحثو Eclypsium، الذين اكتشفوا السلالتين، بأن استهداف البنية التحتية للشبكات لم يعد حكراً على مجموعات التهديد المتقدمة المدعومة من دول معينة. تشير هذه الاكتشافات إلى نمط متزايد حيث يستغل الفاعلون ذوو الدوافع المالية، بما في ذلك عمليات تعدين العملات المشفرة، الثغرات الأمنية نفسها التي لطالما فضلتها مجموعات القرصنة المدعومة من الدول.
يدعم المشهد الأمني الأوسع هذه المخاوف. فقد شهد العام الماضي، وفقاً لتقرير تحقيقات اختراق البيانات من فيريزون لعام 2025، زيادة بمقدار ثمانية أضعاف في استغلال الثغرات الأمنية التي تستهدف أجهزة الشبكات. بلغ متوسط الوقت اللازم لاستغلال الثغرة صفر أيام، بينما امتد متوسط الوقت اللازم لإصلاحها إلى 30 يوماً.
علاوة على ذلك، كشفت مجموعة Google Threat Intelligence أن ما يقرب من ربع الثغرات الأمنية التي تم استغلالها في عام 2025 استهدفت بشكل خاص أنظمة الشبكات والأمن، مما يؤكد أن هذه الواجهة الهجومية أصبحت ساحة معركة رئيسية.
فجوة الرؤية وضعف الحماية
ما يجعل حملات البرمجيات الخبيثة هذه خطيرة بشكل خاص هو فجوة الرؤية الأساسية في معظم بيئات المؤسسات. أدوات الكشف والاستجابة للنقاط النهائية (EDR) تكون عمياء تماماً أمام طبقات البرامج الثابتة (firmware) المدمجة في أجهزة الشبكات.
نظراً لأن هذه الأجهزة لا يمكنها تشغيل عملاء أمنيين تقليديين، يمكن للمهاجمين العمل دون اكتشاف لشهور، حيث يقومون بجمع موارد الحوسبة بهدوء أو يضعون الأساس لهجمات أكبر حجماً ضد أهداف لاحقة.
آلية إصابة CondiBot وتكتيكات البقاء
تبدأ عملية هجوم CondiBot فور وصولها إلى جهاز لينكس ضعيف. تستخدم آلية لتسليم الحمولات الخبيثة تتضمن أدوات نقل ملفات متعددة، مثل wget، وcurl، وtftp، وftpget، لضمان وصول الملف التنفيذي الضار إلى الهدف بغض النظر عن الأدوات المتاحة على الجهاز.
بمجرد تشغيل الملف التنفيذي، يقوم على الفور بتعطيل أدوات إعادة تشغيل النظام عن طريق تعيين أذونات الملفات الخاصة بها إلى 000، مما يمنع إعادة التشغيل البسيطة من إزالة الإصابة. ثم يتصل بخادم الأوامر والتحكم (C2) ويسجل نفسه باستخدام معرف فريد للبوت.
بعد التسجيل، يدخل CondiBot في حلقة انتظار، حيث يستمع لأوامر الهجوم من خادم C2. عند وصول أمر، يقوم بإرسال أحد معالجات الهجوم الـ 32 المسجلة لديه ضد الهدف المحدد. وهذا يمثل توسعاً ملحوظاً عن الإصدارات السابقة من Condi التي وثقتها Fortinet في عام 2023، والتي سجلت وحدات هجومية أقل بكثير.
استخرج المحللون سلسلة نصية تحمل اسم “QTXBOT” من الملف التنفيذي. هذا المعرف الداخلي لم يظهر في أي وثائق سابقة لـ Condi، مما يشير إلى أن هذا قد يكون نسخة متفرعة أو بناءً منفصلاً يتم صيانته بواسطة مجموعة مطورين مختلفة.
تقوم البرمجية الخبيثة أيضاً بقتل عمليات شبكات البوت نت المنافسة التي تعمل على نفس الجهاز المصاب، بما في ذلك عملية باسم /bin/sora، وذلك لضمان السيطرة الكاملة على موارد النظام المخترق. كما تقوم بالتلاعب بالـ watchdog الخاص بالأجهزة للحفاظ على تشغيلها دون انقطاع، مما يجعل إزالة الإصابة صعبة للغاية دون تدخل مادي مباشر.
يجب على المؤسسات فرض استخدام كلمات مرور SSH قوية وفريدة، وتعطيل كلمات المرور الافتراضية على جميع الأجهزة المتصلة بالإنترنت. كما يُنصح بتطبيق مراقبة سلامة البرامج الثابتة على أجهزة التوجيه، وجدران الحماية، ومعدات إنترنت الأشياء. ويجب تطبيق التحديثات الأمنية بأسرع وقت ممكن، نظراً لأن فترات استغلال الثغرات قد تكون قصيرة مثل أيام الصفر. كما يُنصح بشدة بالمراقبة لأي حركة مرور صادرة غير طبيعية وعمليات غير متوقعة على أجهزة الشبكات.