شنت برمجية خبيثة جديدة تُعرف باسم Kimwolf هجوماً سيبرانياً واسع النطاق، نجحت من خلاله في اختراق أكثر من مليوني جهاز حول العالم، وتحويلها إلى خوادم وكيلة غير قانونية دون علم ملاكها.
تنامت هذه الشبكة الخبيثة بسرعة مقلقة، وتشير المعلومات إلى أنها تُستخدم حالياً في تنفيذ عمليات احتيال عبر الإنترنت، وإطلاق هجمات سيبرانية واسعة النطاق، وسرقة المعلومات من ملايين المستخدمين.
كشف باحثون في مجال الأمن السيبراني عن هذا التهديد الخطير في أواخر عام 2025، مشيرين إلى طريقة هجوم متطورة تستغل ثغرة في كيفية حماية شبكات البروكسي الشهيرة لأنظمتها.
يستهدف الاختراق أجهزة تلفاز أندرويد الرخيصة وإطارات الصور الرقمية المباعة عبر الإنترنت، والتي غالباً ما تصل من المصانع بتكوينات أمنية ضعيفة أو حتى معطلة.
بدأ الباحث الأمني بنجامين برونداج، مؤسس شركة Synthient، التحقيق في برمجية Kimwolf في أكتوبر 2025، حيث اكتشف نمطاً مقلقاً يشير إلى انتشار البرمجية عبر ضعف في طريقة عمل أكبر خدمات البروكسي السكنية في العالم.
Kimwolf Botnet: هجوم يهدد الأمن الرقمي لأكثر من مليوني جهاز
كشفت أبحاث برونداج أن المهاجمين تمكنوا من تجاوز قواعد السلامة عن طريق تغيير إعدادات نظام أسماء النطاقات (DNS) للوصول إلى الشبكات المنزلية الخاصة عبر الأجهزة المصابة.
ووفقاً للتقارير، فإن أكبر شبكات البروكسي، المسماة IPIDEA، تركت ثغرة أمنية خطيرة مفتوحة سمحت للمجرمين بالتسلل إلى الشبكات المنزلية وزرع البرمجيات الخبيثة على الأجهزة المتصلة دون وجود أي حواجز مصادقة.
وقد سلط الباحث الأمني برايان كريبس الضوء على هذه الاكتشافات الحيوية بعد أن قام الباحث بإخطار العديد من مقدمي خدمات البروكسي بالثغرة الأمنية.
آلية الهجوم وسلسلة الاختراق
تكمن المشكلة الأمنية المزدوجة في أن العديد من أجهزة البث غير الرسمية تأتي ببرمجيات خبيثة مثبتة مسبقاً من المصنع، وأن هذه الأجهزة غالباً ما تكون ميزة “Android Debug Bridge” مفعلة، مما يسمح لأي شخص على نفس الشبكة بالسيطرة الكاملة عليها بأمر بسيط.
ينتشر الهجوم عبر مزيج من ضعف الأمان في أجهزة البث الرخيصة وشبكات البروكسي الضعيفة. يقوم المهاجمون بتحديد نقاط نهاية البروكسي المصابة عن طريق فحص الأجهزة التي تم تمكين وضع “Android Debug Bridge” فيها، ثم يستخدمون تقنية مباشرة: يرسلون أمراً يتضمن “adb connect [device-ip]:5555” للحصول على وصول المستخدم الخارق.
بمجرد الدخول، يقومون بإسقاط حمولة البرمجية الخبيثة عن طريق توجيه الأنظمة لزيارة عنوان ويب محدد واستخدام عبارة مرور معينة لفتح التنزيل الخبيث.
تُظهر البيانات أن ثلثي الأجهزة المخترقة هي أجهزة تلفاز أندرويد، مع انتشار الإصابات المتبقية عبر إطارات الصور الرقمية والهواتف المحمولة التي تشغل تطبيقات بروكسي مخفية.
تجبر البرمجية الخبيثة هذه الأجهزة على إعادة توجيه رسائل البريد العشوائي، وارتكاب الاحتيال الإعلاني، ومحاولة الاستيلاء على الحسابات، والمشاركة في هجمات حجب الخدمة الموزعة (DDoS) التي يمكن أن توقف المواقع الإلكترونية الكبرى لفترات طويلة.
يكشف اكتشاف طرق استمرار Kimwolf كيف تعيد البرمجية الخبيثة بناء نفسها بعد الاضطرابات. لوحظت الشبكة وهي تتعافى من جهود تعطيل، حيث عادت إلى مليوني جهاز مخترق في غضون أيام قليلة فقط عن طريق الأنفاق عبر مخزون IPIDEA الضخم من نقاط نهاية البروكسي الجديدة.
تأتي هذه القدرة على التعافي السريع من مجموعة IPIDEA الهائلة التي تضم ما يزيد عن 100 مليون عنوان بروكسي سكني متاح. يقوم مشغلو البرمجيات الخبيثة بتحقيق الربح من شبكتهم عبر قنوات متعددة: بيع خدمات تثبيت التطبيقات، وتأجير نطاق ترددي للبروكسي، وتقديم قدرات هجوم DDoS لمجرمين آخرين.
يتوقع باحثو الأمن السيبراني انتشار هذا النمط من الهجوم مع اكتشاف المزيد من الجماعات الإجرامية لهذه الثغرات، مما يحول شبكات البروكسي السكنية إلى أهداف رئيسية للاختراق واسع النطاق للأجهزة وانتهاكات الشبكة.