ظهور “تسوندره بوت نت”: تهديد متطور يستهدف أنظمة متعددة عبر تقنيات مبتكرة
برز تهديد سيبراني جديد يُعرف باسم “تسوندره بوت نت” (Tsundere Botnet)، وهو يمثل نقلة نوعية في أساليب عمل شبكات الروبوت الخبيثة. يستغل هذا التهديد حزم Node.js الشائعة وتقنيات البلوك تشين لتوزيع البرمجيات الخبيثة على أنظمة ويندوز ولينكس وماك أو إس، مما يجعله تحدياً أمنياً معقداً.
تم رصد هذه الظاهرة لأول مرة من قبل باحثين في Kaspersky GReAT في منتصف عام 2025، لتكشف عن تطور ملحوظ في هجمات سلسلة التوريد. يأتي هذا في الوقت الذي تتجه فيه الجهات المعنية في قطاع الأمن السيبراني إلى تعزيز الإجراءات الوقائية لمواجهة التهديدات المتزايدة.
التهديد الحديث: من هجمات سلسلة التوريد إلى استغلال الألعاب
بدأت القصة بنشاط لوحظ في أكتوبر 2024، حيث قام المهاجمون بإنشاء 287 حزمة npm خبيثة عبر تقنية “typosquatting” (الانتحال الإملائي). استهدفت هذه الحزم أسماء مكتبات شائعة مثل Puppeteer وBignum.js، بهدف خداع المطورين وتشجيعهم على تثبيتها.
تطور مسار العدوى بشكل كبير منذ ذلك الحين. ينتشر “تسوندره بوت نت” عبر مسارات متعددة، بما في ذلك أدوات المراقبة والإدارة عن بعد (RMM) ومثبتات الألعاب المقنعة التي تستغل مجتمعات القرصنة. تم اكتشاف عينات بأسماء مثل “valorant” و”cs2″ و”r6x”، مستهدفة بشكل خاص عشاق ألعاب إطلاق النار من منظور الشخص الأول (FPS).
استغلال الثقة في التطبيقات الشائعة
أثبت هذا النهج فعاليته العالية في التهرب من إجراءات الأمان التقليدية، حيث يتوقع المستخدمون هذه التطبيقات بالفعل. هذا الاستهداف المباشر يقلل من الشكوك ويفتح أبواباً للتسلل.
على الرغم من أن حملات التشفير الأولية قد كشفت أنظمة تشغيل متعددة، إلا أن “تسوندره بوت نت” يشكل تهديداً خاصاً لمستخدمي ويندوز. التكتيكات الجديدة تزيد من صعوبة اكتشاف الإصابات.
بنية تحتية متقدمة: استخدام البلوك تشين في القيادة والتحكم
تكشف البنية التحتية لـ “تسوندره بوت نت” عن فهم عميق لأساليب الهجوم الحديثة. بدلاً من الاعتماد على بنية قيادة وتحكم مركزية تقليدية، تستخدم الشبكة الروبوتية عقودًا ذكية على بلوك تشين الإيثيريوم لتخزين واسترجاع عناوين القيادة والتحكم (C2).
هذا الأسلوب يضيف مرونة كبيرة، مما يجعل من الصعب إيقاف الخوادم بالطرق التقليدية. الجهة الفاعلة، التي تم تحديدها بأنها “koneko” – وهي شخصية متحدثة بالروسية – تدير سوقًا احترافية حيث يمكن لمجرمي الإنترنت الآخرين شراء خدمات شبكات الروبوت أو نشر وظائفهم الخاصة.
تطور من جهود سابقة
حدد محللو الأمن في Securelist البرمجيات الخبيثة بعد اكتشاف روابط بين الحملة الحالية وهجمات سابقة على سلسلة التوريد. كشفت تحقيقاتهم أن الجهة الفاعلة قد عادت بقدرات معززة، مطلقة “تسوندره” كتطور لجهود البرمجيات الخبيثة السابقة.
مرونة في التسليم
يدعم لوحة التحكم كلاً من آليات تسليم المثبتات MSI وسيناريوهات PowerShell، مما يمنح المهاجمين مرونة في استراتيجيات النشر عبر بيئات الشبكات والدفاعات المختلفة. هذا التنوع في آليات التسليم يوسع نطاق التهديد.
كيف يحافظ “تسوندره بوت نت” على استمراريته عبر استغلال Node.js
تبدأ آلية الإصابة عندما يقوم مثبت MSI أو برنامج PowerShell بالتنفيذ على نظام الضحية، حيث يقوم بإسقاط ملفات Node.js runtime الشرعية في مجلد AppData جنبًا إلى جنب مع JavaScript الخبيث.
يستخدم الإعداد أمر PowerShell مخفيًا يقوم بتشغيل عملية Node.js لتنفيذ تعليمات برمجية مُبهمة (obfuscated loader code). تقوم هذه التعليمات بفك تشفير البوت الرئيسي باستخدام تشفير AES-256-CBC قبل إنشاء بيئة الشبكة الروبوتية. يقوم البوت تلقائيًا بتثبيت ثلاث حزم npm ضرورية: ws لاتصال WebSocket، و ethers للتفاعل مع بلوك تشين الإيثيريوم، و pm2 للحفاظ على استمرارية العمليات.
تلعب حزمة pm2 دورًا حاسمًا في الحفاظ على وجود البوت على الأجهزة المخترقة. تقوم بإنشاء إدخالات في السجل (registry entries) تضمن إعادة تشغيل البوت تلقائيًا كلما قام المستخدم بتسجيل الدخول، مما يحقق استمرارية فعالة.
يقوم البوت بعد ذلك بالاستعلام من عقد بلوك تشين الإيثيريوم عبر مزودي RPC العامين، واسترجاع عنوان خادم القيادة والتحكم الحالي من متغير في العقد الذكي. هذا النهج الذكي يعني أن المدافعين لا يمكنهم ببساطة حظر عنوان IP معروف – يقوم المهاجمون بتدوير البنية التحتية القيادة والتحكم حسب الرغبة من خلال معاملات البلوك تشين، مما يجعل الحظر المستند إلى IP عديم الفائدة.
بمجرد الاتصال، يقيم البوت اتصالاً مشفرًا وينتظر الأوامر من المشغلين، والتي تأتي كتعليمات JavaScript ديناميكية للتنفيذ.