تتجه جهود الجهات الفاعلة في التهديدات السيبرانية المتقدمة (APT) بشكل متزايد نحو استهداف الأجهزة الطرفية للشبكات، مستغلة الثغرات الأمنية الحرجة في جدران الحماية وأجهزة التوجيه وأجهزة الشبكات الافتراضية الخاصة (VPN) لترسيخ وجودها طويل الأمد داخل البيئات المستهدفة.
يمثل هذا التطور في الهجمات السيبرانية تحولاً خطيراً، حيث تتجاوز الجهات المعادية إجراءات الأمن التقليدية للأجهزة، مستهدفة البنية التحتية التي غالباً ما تفتقر إلى آليات المراقبة الدقيقة.
تتيح هذه الاستراتيجية المهاجمين اختراق الدفاعات المحيطية والحفاظ على استمرارية وجودهم حتى بعد تطبيق التصحيحات الأمنية أو إعادة تشغيل الأنظمة.
يأتي هذا الاهتمام المتزايد بالأجهزة الطرفية كرد فعل على تعزيز المؤسسات لأنظمة الكشف والاستجابة للأجهزة الطرفية، مما يجبر الجهات التهديدية على تكييف تكتيكاتها.
تزايد استهداف الأجهزة الطرفية من قبل قراصنة APT
شهد المشهد السيبراني نمواً غير مسبوق في حجم الهجمات وتطورها، حيث تم توثيق ما يزيد عن 510 عمليات تهديدات متقدمة (APT) على مستوى العالم في عام 2025، مؤثرة على 67 دولة.
وقد كشف باحثون في TeamT5 عن 27 ثغرة أمنية حرجة خلال عام 2025، كان معظمها يؤثر على البنية التحتية الطرفية للشبكات.
لقد طورت جهات تهديدية مرتبطة بالصين أبواباً خلفية مخصصة لأنواع مختلفة من الأجهزة، محولة بذلك الوصول المؤقت إلى موطئ قدم دائم.
تستطيع هذه الأبواب الخلفية البقاء بعد تحديثات البرامج الثابتة وإعادة تشغيل النظام، مما يجعل اكتشافها وإزالتها تحدياً كبيراً لفرق الأمن.
استغلال الخدمات الموثوقة ونموذج “فشل الثقة”
أصبح استغلال الخدمات الموثوقة حجر الزاوية في الحملات السيبرانية المتقدمة الحديثة. حيث تستغل الجهات التهديدية الآن علاقات سلسلة التوريد من خلال ما يسميه الباحثون “نموذج فشل الثقة”.
في هذا النهج، يقوم المهاجمون باختراق مزودي خدمات تكنولوجيا المعلومات، أو شركات إدارة الخدمات، أو منصات السحابة لاكتساب وصول متوارث إلى العملاء النهائيين.
سجلت مجموعات صينية، بما في ذلك Huapi و SLIME86، نجاحاً في اختراق مزودين أساسيين قبل الانتقال إلى شبكات حكومية وعسكرية وشبكات البنية التحتية الحيوية.
دور أجهزة إنترنت الأشياء والوصول الخفي
تلعب أجهزة إنترنت الأشياء (IoT) دوراً متزايداً في هذه العمليات. يقوم المهاجمون بربط نقاط نهاية إنترنت الأشياء المخترقة في شبكات صناديق الترحيل التشغيلية، مما يحجب أصول الهجمات أثناء توجيه حركة المرور الضارة عبر بنية تحتية تبدو مشروعة.
تُستخدم أنظمة التخزين المتصلة بالشبكة (NAS) كقنوات عبور لنفق SSH العكسي، مما يتيح سرقة البيانات عبر وسطاء تبدو غير ضارة لأنظمة مراقبة الأمان.
هيكلة البرمجيات الخبيثة والحملات المتعددة الأدوات
دخل تطوير البرمجيات الخبيثة مرحلة صناعية تتميز بحمولات مخصصة وغير دائمة، تم بناؤها لعمليات فردية.
تتبع الباحثون أكثر من 300 عينة ضارة تظهر هذا النمط، مع استخدام محملات وبرامج تنزيل خفيفة الوزن تتجنب الكشف المستند إلى التوقيع.
هذه الأدوات سريعة التطوير، وسهلة التخصيص لأهداف محددة، ومصممة ليتم التخلص منها بعد الاستخدام.
أصبحت مكدسات الاختراق المتعددة الأدوات ممارسة قياسية، حيث تقوم الجهات الفاعلة بنشر عائلات برمجيات خبيثة متعددة جنباً إلى جنب مع أدوات القرصنة المشروعة ضمن حملات واحدة.
يضمن هذا التكرار أنه إذا تم اكتشاف أو حظر أحد المكونات، فإن المكونات الأخرى تحافظ على الوصول أو تعيد إنشاء قنوات القيادة والتحكم.
تعمل البصمة المجزأة المعقدة على تعقيد جهود الاستجابة للحوادث وتطيل الوقت اللازم لاستئصال التهديد بالكامل.
ينبغي للمؤسسات تطبيق صيد التهديدات الاستباقي الذي يركز على الأنماط السلوكية بدلاً من التوقيعات المعروفة.
تتيح الاستخبارات الإقليمية المتعمقة التي تفسر أنظمة الجهات الفاعلة التهديدية للمدافعين توقع التحركات المستقبلية وتطبيق اضطراب في نقاط حرجة من سلسلة الهجوم.