شهدت حملة برمجيات خبيثة تعرف باسم “زيروبوت” (Zerobot) عودة قوية، مستهدفة هذه المرة الثغرات الأمنية في أجهزة راوترات “تيندا” (Tenda) ومنصة “إن 8 إن” (n8n) لأتمتة سير العمل. تتصاعد الجهود الآن لتفادي المخاطر التي تشكلها هذه البرمجيات الخبيثة نتيجة استغلالها لثغرات حقن الأوامر.
تستغل الحملة، التي دخلت الآن نسختها التاسعة المعروفة باسم zerobotv9، الثغرات المكتشفة حديثًا لنشر البرمجيات الخبيثة عبر الشبكات والأجهزة المتصلة. تسعى الجهات الأمنية إلى زيادة الوعي والتدابير الوقائية ضد هذه التهديدات المتطورة.
حملةZerobot تستغل ثغرات Tenda و n8n
ظهرت برمجيات “زيروبوت” لأول مرة في عام 2022، حيث رصد الباحثون الأمنيون عملياتها كبرمجيات خبيثة مكتوبة بلغة Go تستهدف الأجهزة الذكية. النسخة الأحدث، zerobotv9، تمثل تهديدًا مختلفًا بشكل ملحوظ.
على عكس سابقتها، لم تُكتب هذه النسخة الأخيرة بلغة Go، وتتميز بحجم ملف أصغر، وتشفير سلاسل نصية، مع تضمين نطاق قيادة وتحكم (C2) ثابت هو 0bot.qzz[.]io. يشير هذا التطور إلى أن مشغلي Zerobot يعملون باستمرار على صقل أدواتهم.
آلية الاستغلال والتوزيع
حدد باحثو Akamai محاولات استغلال نشطة لهذه الثغرات في منتصف يناير 2026، عبر شبكة المصائد الخاصة بالفريق حول العالم. يعود تاريخ الحملة إلى أوائل ديسمبر 2025، مما يجعلها من أوائل الحالات المؤكدة للاستغلال النشط لهذه الثغرات بمجرد الكشف عنها علنًا مؤخرًا.
تم إجراء هذا البحث بواسطة كايل ليفتون، الباحث الأمني في فريق Akamai SIRT، والذي يمتلك خبرة عميقة في أبحاث التهديدات والدفاع السيبراني. الثغرتان الرئيسيتان المستغلتان هما CVE-2025-7544 و CVE-2025-68613.
الثغرات المستهدفة
تُعد CVE-2025-7544، التي نُشرت في منتصف يوليو 2025، ثغرة تجاوز سعة المخزن المؤقت الحرجة في نقطة النهاية /goform/setMacFilterCfg لأجهزة Tenda AC1206 التي تعمل بإصدار البرنامج الثابت 15.03.06.23. يمكن للمهاجم استغلال هذه الثغرة عن بُعد عن طريق تمرير قيمة كبيرة جدًا عبر المعلمة deviceList، مما يتيح إمكانية رفض الخدمة (DoS) وتنفيذ التعليمات البرمجية عن بُعد (RCE).
أما CVE-2025-68613، التي نُشرت في منتصف ديسمبر 2025، فهي ثغرة RCE حرجة في نظام تقييم تعابير سير العمل الخاص بـ n8n، وتؤثر على الإصدارات من 0.211.0 إلى 1.22.0. يسمح غياب العزل المناسب للمهاجمين بتشغيل تعليمات برمجية عشوائية، وسرقة مفاتيح API، والوصول إلى ملفات الخادم، وإنشاء ثبات.
التبعات والتوصيات
ما يجعل هذه الحملة مقلقة بشكل خاص هو استهدافها لمنصة n8n جنبًا إلى جنب مع الأجهزة التقليدية. تاريخيًا، كانت شبكات الروبوت تستهدف أجهزة الراوتر والكاميرات وأجهزة DVR، وليس منصات الأتمتة المؤسسية. نظرًا لاعتماد العديد من المؤسسات على n8n لربط قواعد البيانات، وأتمتة معالجة البيانات، وإدارة الأنظمة الحساسة، فإن الاختراق الناجح يمكن أن يفتح مسارات خطيرة للحركة الجانبية داخل البنية التحتية الحيوية للمؤسسة.
بمجرد تحديد جهاز Tenda راوتر أو n8n ضعيف، تقوم Zerobot بتشغيل الاستغلال المناسب وتجبر الجهاز المستهدف على تنزيل وتنفيذ برنامج نصي خبيث يسمى tol.sh من عنوان IP أمريكي (144.172.100.228). ينسخ هذا البرنامج النصي busybox إلى الدليل /tmp، ويعين أذونات التنفيذ، ثم يقوم بجلب وتشغيل حمولة برمجيات Mirai الرئيسية – zerobotv9. تدعم الحمولة معماريات معالجات متعددة، وهي سمة شائعة في برامج التنزيل المستندة إلى Mirai المصممة لتوافق واسع مع الأجهزة.
يُحذر المسؤولون من أن المؤسسات التي تشغل أجهزة Tenda AC1206 بإصدار البرنامج الثابت 15.03.06.23 يجب عليها التحديث فورًا أو استبدال الأجهزة القديمة. يجب على مستخدمي n8n الترقية إلى ما بعد الإصدار 1.22.0، وتقييد الوصول إلى واجهة تنفيذ سير العمل، وتعزيز ضوابط امتيازات المستخدم الصارمة.
على المدافعين عن الشبكات حظر أو مراقبة عناوين IP المعروفة بالخبيثة – 103.59.160.237، 140.233.190.96، 144.172.100.228، 172.86.123.179، و 216.126.227.101 – ونطاق C2 0bot.qzz[.]io. سيساعد تطبيق قواعد الكشف YARA و Snort المنشورة من قبل Akamai SIRT بشكل أكبر في تحديد الأنشطة ذات الصلة والاستجابة لها عبر شبكاتهم.