كشفت تقارير حديثة عن عودة قوية لمجموعة قرصنة سيبراني مرتبطة بشبكة FUNNULL لتقديم المحتوى، بعد أن قامت بإعادة بناء بنيتها التحتية بشكل أكثر تطوراً وصعوبة في التتبع. تُعرف المجموعة باسم “تراياد نيكسوس” (Triad Nexus)، وقد أعادت تفعيل عملياتها الاحتيالية العالمية بعد خضوعها لعقوبات أمريكية، حيث تنشر حالياً أكثر من 175 نطاق CNAME دوارة لتشغيل شبكة واسعة من بوابات الاحتيال التي تستهدف ضحايا في دول متعددة.
تُعد “تراياد نيكسوس” لاعباً معروفاً في مجال التهديدات السيبرانية، فلديها جذور عميقة في شبكات الجريمة المنظمة في آسيا، وتنشط في تنفيذ عمليات احتيال استثماري وغسيل أموال ومنصات قمار غير قانونية منذ عام 2022 على الأقل. كانت حملاتها السابقة تعتمد بشكل كبير على شبكة FUNNULL كبنية تحتية رئيسية، مما أتاح لها تسريع تقديم المواقع الاحتيالية المصممة لتبدو مطابقة تماماً لعلامات تجارية عالمية موثوقة. ومع ذلك، فإن ما تغير بعد العقوبات الأمريكية لم يكن النوايا الإجرامية للمجموعة، بل طرق إخفائها.
تطور البنية التحتية لـ “تراياد نيكسوس”
بعد فرض العقوبات الفيدرالية في مايو 2024، تحولت المجموعة بسرعة إلى ما يصفه الباحثون بـ “غسيل البنية التحتية”. فبدلاً من الاعتماد حصرياً على خوادم ذات سمعة منخفضة، بدأت “تراياد نيكسوس” في اختراق حسابات سحابية مشروعة لشركات كبرى لدى مزودين رئيسيين مثل Amazon Web Services، و Cloudflare، و Google، و Microsoft. من خلال توجيه حركة المرور الخبيثة عبر هذه المنصات الموثوقة، خلقت المجموعة انطباعاً بالشرعية، مما جعل اكتشاف أو حظر بواباتها المزيفة أكثر صعوبة.
حدد محللو وباحثو Silent Push هذا التحول التكتيكي كخطوة تطور هامة، مشيرين إلى أن المجموعة تخلت عن نطاقات CNAME الثابتة لصالح مجموعة دوارة تضم أكثر من 175 نطاق CNAME تم إنشاؤها عشوائياً. كل نطاق من هذه النطاقات يربط مجموعات من المواقع الاحتيالية بعناوين IP مسروقة أو تم الحصول عليها بطرق غير قانونية، مما يزيد من قدرتها على التخفي.
حجم الاحتيال والضحايا
يُعد حجم الاحتيال الذي تنفذه المجموعة مذهلاً، حيث تم ربط “تراياد نيكسوس” بأكثر من مليار دولار من الخسائر المبلغ عنها للضحايا، بمتوسط خسائر فردية يبلغ حوالي 47,000 دولار. تتركز عمليات المجموعة بشكل أساسي على احتيال “ذبح الخنازير” (pig butchering)، حيث يتم التلاعب بالضحايا على مدار أسابيع أو أشهر لدفعهم لاستثمار مبالغ كبيرة في منصات عملات مشفرة وهمية.
يشمل كتالوج بواباتهم الاحتيالية نسخاً طبق الأصل، من حيث التصميم، لعلامات تجارية فاخرة مثل Tiffany، و Cartier، و Chanel، ومنصات مالية مثل Western Union و MoneyGram، وبوابات بنكية مرتبطة بشكل زائف بـ Wells Fargo، و Goldman Sachs، و Bank of America. لتجنب لفت انتباه سلطات إنفاذ القانون بعد العقوبات، أطلقت المجموعة أيضاً سلسلة من الشركات الوهمية “النظيفة”، وهي كيانات ذات علامات تجارية احترافية وتواريخ تشغيل ملفقة، مصممة لخلق الثقة لدى المستخدمين غير المتشككين.
أحد الأمثلة اللافتة للنظر هو مزود شبكة توصيل محتوى (CDN) وهمي يعمل تحت اسم cdnbl.com، والذي يدعي زوراً أنه يخدم العملاء منذ عام 2007. تؤكد سجلات تسجيل النطاق أنه تم إنشاؤه في مارس 2024 فقط، مما يكشف عن الخداع في جوهره.
التهرب الجغرافي والبنية التحتية لنطاقات CNAME الدوارة
أحد الجوانب المقلقة تقنياً في العملية المعاد بناؤها لـ “تراياد نيكسوس” هو استخدامها المتعمد لسلاسل CNAME متعددة الطبقات لإخفاء الوجهة الحقيقية لحركة المرور الخاصة بها. يُعد سجل CNAME، أو اسم طبيعي، إدخالاً في نظام أسماء النطاقات (DNS) يعيد توجيه نطاق واحد إلى آخر. عادةً ما تتبع أدوات الأمان القياسية خطوة واحدة فقط في هذه السلسلة، مما يعني أن نقطة النهاية الحقيقية غالباً ما تظل غير مكتشفة بالكامل.
تستغل “تراياد نيكسوس” بذكاء هذه الثغرة. تقوم بنيتها التحتية بتوجيه حركة المرور عبر نطاقات CNAME وسيطة متعددة – تتراوح أحياناً من ثلاث إلى أربع طبقات – قبل الوصول إلى عنوان IP نهائي مستضاف على منصة سحابية لمؤسسة مرموقة. هذا التوجيه متعدد الطبقات يجعل من الصعب للغاية على أدوات الكشف الآلية تتبع حركة المرور إلى مصدرها الحقيقي.
لزيادة تجنب الرقابة، قامت المجموعة بفرض حظر أمريكي متعمد على العديد من بواباتها، حيث تعرض رسالة خطأ مفادها “تم منع المنطقة” للزوار الأمريكيين. وفي الوقت نفسه، تعمل على توسيع عمليات الاحتيال الخاصة بها في أسواق البلدان الناطقة بالإسبانية، وفيتنام، وإندونيسيا، للحفاظ على تدفق أرباح الاحتيال.
تُنصح المؤسسات بشدة بالتحرك بعيداً عن التدابير الأمنية التفاعلية. يجب على فرق الأمن اعتماد قدرات تحليل سلاسل CNAME، ومراقبة النطاقات الجديدة التي تشبه النطاقات المعروفة، وتطبيق سياسات صارمة لحل DNS، والحفاظ على رؤية عميقة عبر جميع طبقات الشبكة للكشف عن التهديدات من هذا النوع واعتراضها قبل وصولها إلى المستخدمين النهائيين.