أثبتت أداة Vshell، وهي إطار عمل موجه للأوامر والتحكم (C2) تم تطويره بلغة Go، قدرتها على اكتساب زخم متزايد بين الجهات الفاعلة في مجال التهديدات السيبرانية، وذلك كبديل لأدوات تجارية مكلفة مثل Cobalt Strike.
تجاوزت Vshell في تطورها كونها مجرد أداة وصول عن بعد بسيطة، لتشكل مصدر قلق حقيقي للمدافعين عن البنية التحتية للمؤسسات على مستوى العالم.
ظهرت Vshell لأول مرة في عام 2021، وتم تقديمها في البداية كمنصة C2 خفيفة الوزن يمكن التحكم بها عبر إطار عمل AntSword web shell. كان الهدف الأساسي منها هو إدارة الأجهزة التي تم اختراقها، سواء كانت تعمل بنظام Windows أو Linux، مع دعم قوي لأنشطة ما بعد الاختراق مثل التنقل الشبكي والحركة الجانبية.
في نسختها الثالثة، أوضحت الأداة هدفها بشكل مباشر من خلال شعار يستهدف مستخدمي Cobalt Strike، حيث جاء فيه: “هل تجد Cobalt Strike صعب الاستخدام؟ جرب Vshell بدلاً منه!”. هذا النداء المباشر استهدف الجهات الفاعلة في التهديدات التي تجد الأدوات التجارية لمحاكاة الخصوم باهظة الثمن أو معقدة التشغيل.
Vshell يكتسب زخماً كبديل عالي المرونة
كشف محللون في Censys عن عمليات نشر لأداة Vshell عبر الإنترنت من خلال مسح مستمر، حيث تم اكتشاف مجلدات ويب مكشوفة كشفت عن لوحات تحكم Vshell مرتبطة بمئات من عملاء (agents) متصلين.
أظهرت إحدى اللوحات المستردة 286 عميلاً نشطًا متصلين في وقت واحد، وكل منهم قادر على العمل كقناة لنقل حركة مرور البيانات والحركة الجانبية عبر الشبكات المخترقة.
هذه النتائج تضع Vshell في مرتبة متساوية مع أطر الاختراق الأخرى التي يتم إساءة استخدامها على نطاق واسع، مما يعزز دورها المتنامي في عمليات التهديدات الحقيقية.
لم يقتصر انتشار الأداة على المهاجمين الانتهازيين فقط. خلال عام 2025، ظهرت Vshell في حملات تهديدات متعددة موثقة، بما في ذلك عملية DRAGONCLONE، وحملة SNOWLIGHT المنسوبة إلى UNC5174، وعملية تصيد احتيالي تم الإبلاغ عنها في أغسطس 2025 حيث خدمت Vshell كإطار عمل أساسي لما بعد الاختراق.
يشير هذا النمط من التبني عبر مجموعات تهديد متميزة إلى أن Vshell لم تعد أداة متخصصة، بل نضجت لتصبح قدرة موثوقة على نطاق واسع ضمن المشهد الأوسع للتهديدات.
بحلول الإصدار الرابع، قدمت Vshell ضوابط ترخيص، وتصميم واجهة جديد، وانتحال هوية Nginx للاندماج مع حركة مرور الويب الشرعية. استمر تطويرها في شكل خاص مشتبه به بعد عام 2024، مما يشير إلى أن مشغليها يستثمرون بنشاط في استمرارية الأداة وقدراتها على التخفي.
حتى هذه النقطة، لاحظت Censys أكثر من 850 مستمعًا (listeners) نشطًا لأداة Vshell من خلال المسح، وهو رقم يؤكد مدى انتشار الإطار عبر البنية التحتية المواجهة للإنترنت.
بنية C2 متعددة البروتوكولات لـ Vshell
ما يميز Vshell عن أدوات RAT الأبسط هو نظام المستمعين المرن للغاية، والذي يمنح المشغلين مجموعة واسعة من قنوات الاتصال للحفاظ على السيطرة على الأجهزة المخترقة. من خلال واجهة “إدارة المستمعين” (监听管理 باللغة الماندرين)، يمكن للمشغل تكوين معالجات اتصال واردة عبر بروتوكولات متعددة، وكل ذلك من لوحة تحكم مركزية.
تدعم Vshell اتصالات TCP، KCP/UDP، WebSocket، DNS، DNS-over-HTTPS (DoH)، DNS-over-TLS (DoT)، وحتى Object Storage System (OSS) عبر S3 buckets. افتراضيًا، تستخدم معظم المستمعين المنفذ TCP/8084، على الرغم من أن المرونة في الانتقال عبر قنوات قائمة على DNS تجعل Vshell صعبة الحظر بشكل خاص على المحيط الشبكي.
قنوات DNS-over-HTTPS و DNS-over-TLS تمثل تحديًا خاصًا لأنها تدمج حركة مرور C2 ضمن استعلامات DNS المشفرة التي لا تقوم العديد من أدوات مراقبة الشبكات بفحصها افتراضيًا.
تعكس فلسفة التصميم هذه بنية Cobalt Strike مباشرة – خادم فريق مركزي يدير أجهزة مزروعة متعددة بينما يوفر للمشغل تحكمًا كاملاً في الجلسة، وقدرات نقل البيانات، وميزات الأنفاق.
اعتمدت لوحات Vshell الأحدث على المصادقة باستخدام الـ Digest، مما يقلل من الآثار القابلة للاكتشاف التي اعتمد عليها المدافعون سابقاً للكشف، مما يجعل تحديدها أصعب تدريجياً مع مرور الوقت.
يجب على المدافعين مراقبة جميع البنية التحتية المواجهة خارجيًا، وخاصة خوادم الويب وجدران الحماية، بحثًا عن علامات نشر Vshell. يجب على فرق الشبكات فحص حركة مرور DNS-over-HTTPS و DNS-over-TLS بحثًا عن الحالات الشاذة، حيث يتم إساءة استخدام هذه القنوات بشكل شائع لـ C2. نظرًا لأن Vshell مبنية على NPS، فقد تتداخل قواعد الكشف لحركة مرور NPS ويجب الاستفادة منها حيثما كان ذلك ممكنًا.
يجب على الفرق الأمنية تشغيل استعلامات البحث عن التهديدات في بيئاتها بانتظام وإنشاء تنبيهات لأي اتصالات صادرة تتطابق مع أنماط مستمعي Vshell.