كشف تقرير حديث عن احتمال تشكيل تحالفات جديدة في ساحة التهديدات السيبرانية العالمية، حيث تشير الأدلة إلى تعاون محتمل بين مجموعتين من أخطر الجهات الفاعلة في التهديدات المستمرة المتقدمة (APT)، وهما مجموعتا “جاماريدون” المرتبطة بروسيا ومجموعة “لازاروس” التابعة لكوريا الشمالية. هذا التعاون، إذا تأكد، يمثل تحولاً كبيراً في طبيعة الهجمات السيبرانية من قبل الدول.
يعكس هذا التعاون المتزايد بين روسيا وكوريا الشمالية، والذي يتعمق في مختلف المجالات، بما في ذلك التعاون العسكري، تزايد التهديدات السيبرانية المنظمة. يأتي هذا الكشف في وقت تتزايد فيه المخاوف بشأن الأمن الرقمي العالمي، خاصة مع تجدد التحالف الاستراتيجي بين البلدين في عام 2024.
البداية: اكتشاف الارتباط عبر خوادم مشتركة
بدأت القصة عندما اكتشف باحثون أمنيون من شركة “جين ديجيتال” دليلًا على وجود بنية تحتية تشغيلية مشتركة بين المجموعتين. وذلك عندما رصدت أنظمة المراقبة لدى الشركة وجود عنوان IP مشترك يربط بين “جاماريدون” و”لازاروس” في 28 يوليو 2025.
تم رصد الخادم المتهم، الذي يحمل عنوان IP 144.172.112.106، لأول مرة أثناء تتبع البنية التحتية للقيادة والتحكم الخاصة بمجموعة “جاماريدون” عبر قنوات معروفة على تطبيقي Telegram وTelegraph.
نقلة نوعية في الهجمات السيبرانية
بعد أربعة أيام فقط من رصد استخدام هذا الخادم، وجدت نفس البنية التحتية نفسها تستضيف نسخة مشفرة من برمجية “InvisibleFerret” الخبيثة، والتي تعزى إلى مجموعة “لازاروس”. وهذا مؤشر قوي على تبادل الموارد والتقنيات بين المجموعتين.
تم توصيل الحمولة الخبيثة من خلال بنية عنوان URL مطابقة لحملات “لازاروس” السابقة، وتحديدًا عملية “ContagiousInterview” التي استهدفت الباحثين عن عمل عبر رسائل توظيف وهمية. وقد أكد تجزئة الحمولة (SHA256: 128da948f7c3a6c052e782acfee503383bf05d953f3db5c603e4d386e2cf4b4d) انتماءها لأدوات “لازاروس”.
تداعيات التعاون المحتمل بين جاماريدون ولازاروس
يحمل اكتشاف البنية التحتية المشتركة آثارًا هامة على صانعي السياسات الأمنية والمدافعين عن الأمن السيبراني على مستوى العالم. تعمل مجموعة “جاماريدون” منذ عام 2013 وتركز في المقام الأول على التجسس السيبراني ضد وكالات حكومية في أوكرانيا، وقد ربطتها أوكرانيا بجهاز الأمن الفيدرالي الروسي (FSB) في عام 2021، حيث نُسبت إليها أكثر من 5000 هجوم سيبراني.
من جانبها، تعد مجموعة “لازاروس” نشطة منذ عام 2009، وقد تحولت اهتماماتها من التجسس إلى الهجمات ذات الدوافع المالية، حيث قامت بسرقة أكثر من 1.7 مليار دولار من العملات المشفرة من منصات بارزة مثل Bybit وWazirX وAtomicWallet. هذا التنوع في أهداف المجموعتين يجعل التعاون بينهما أكثر خطورة.
آليات التسليم والآثار الأمنية
استخدمت الحمولة الخبيثة التي تم اكتشافها على الخادم المشترك مسار توصيل مطابق لتلك التي لوحظت في عمليات “لازاروس” السابقة، مثل المسار التالي: http://144.172.112.106/payload/99/81. وهذا يدل على وجود تعاون قوي في تصميم وتنفيذ عمليات الهجوم.
إذا تأكد هذا التداخل بين “جاماريدون” و”لازاروس”، فإنه سيمثل أول حالة موثقة للتعاون السيبراني الروسي-الكوري الشمالي في العالم الفعلي. وهذا يستدعي من فرق الأمن تعزيز تحليل الارتباطات بين البنى التحتية المختلفة، وإعطاء الأولوية لتبادل المعلومات الاستخباراتية عبر القطاعات للكشف عن هذه التحالفات الناشئة في وقت مبكر.
إن الاستعداد لهذه التحالفات وتعزيز القدرات الدفاعية أمر بالغ الأهمية لحماية الأصول الحيوية من هذه التهديدات المنسقة التي قد تتزايد في المستقبل.