كشف باحثون في مجال الأمن السيبراني عن شبكة كبيرة ومنظمة من البنية التحتية الخبيثة تعمل بهدوء داخل منظومة الاستضافة التجارية في روسيا، مما يسلط الضوء على التحديات المتزايدة في مكافحة الهجمات الإلكترونية.
خلال فترة ثلاثة أشهر، امتدت من 1 يناير إلى 1 أبريل 2026، تم اكتشاف ما يزيد عن 1,250 خادم قيادة وتحكم (C2) نشط عبر 165 مزود خدمة استضافة في روسيا، وشمل ذلك منصات الاستضافة المشتركة، وبيئات الخوادم الافتراضية، وشبكات الاتصالات.
شبكات خوادم القيادة والتحكم داخل الاستضافة الروسية
تُعد خوادم القيادة والتحكم العمود الفقري لمعظم الهجمات السيبرانية، فهي النظام الذي يستخدمه المهاجمون لإرسال التعليمات إلى الأجهزة المصابة واسترداد البيانات المسروقة. يشير اكتشاف أكثر من 1,250 خادمًا نشطًا في وقت واحد، وجميعها مستضافة داخل مزودي خدمات استضافة روسيين، إلى مدى تغلغل البنية التحتية الخبيثة في الشبكات التجارية الشرعية.
هذه الخوادم ليست متركزة في زوايا قليلة غير معروفة على الإنترنت، بل موزعة عبر 165 مزود خدمة منفصل، مما يجعل حظرها أكثر صعوبة ويسهل صيانتها دون لفت الانتباه.
قام محللو وباحثو Hunt.io بتحديد هذه الأنماط باستخدام أداة Host Radar، وهي وحدة استخباراتية أساسية مصممة لربط خوادم القيادة والتحكم، والبنية التحتية للتصيد الاحتيالي، والأدلة الخبيثة المفتوحة، ومؤشرات الاختراق العامة بمزودي خدمات الاستضافة التي تدعمها.
كشف تحليلهم عن أنماط متكررة في كيفية توزيع البنية التحتية الخبيثة وإعادة استخدامها عبر بيئات الاستضافة الروسية، مما يوفر رؤية على مستوى المزود تفصل المعلومات القابلة للتنفيذ عن تدفق عناوين IP قابلة للتصرف.
عبر مجموعة البيانات الكاملة، سجلت أداة Host Radar ما يقرب من 1,290 قطعة أثرية خبيثة خلال فترة المراقبة. تهيمن بنية القيادة والتحكم، حيث تشكل حوالي 88.6% من جميع الأنشطة المكتشفة مع تأكيد 1,252 خادمًا.
تشكل الأدلة الخبيثة المفتوحة حوالي 5.3%، ومواقع التصيد الاحتيالي حوالي 4.9%، ومؤشرات الاختراق المبلغ عنها علنًا حوالي 1.2%. تتصدر شركة TimeWeb القائمة بـ 311 خادم قيادة وتحكم تم اكتشافه على مدار 90 يومًا، تليها WebHost1 بـ 140، ثم REG.RU بـ 138، وVDSina بـ 86، و PROSPERO OOO بـ 80.
عائلات البرامج الضارة والحملات النشطة
باستخدام HuntSQL، استعلم المحللون عن بيانات عن الشبكات الروسية لتحديد عائلات البرامج الضارة التي تستضيف أكبر عدد من بنية القيادة والتحكم. يتصدر نظام Keitaro، وهو نظام توزيع حركة المرور الذي يُساء استخدامه بشكل متكرر لتوجيه الضحايا نحو البرامج الضارة، مجموعة البيانات بـ 587 عنوان IP فريد لخوادم القيادة والتحكم – وهو أكبر تركيز تمت ملاحظته.
يأتي بعده روبوتات Hajime، الموجهة نحو إنترنت الأشياء، بـ 191 خادم قيادة وتحكم، بينما تعكس Mozi و Mirai الاستخدام المستمر للموجهات والأجهزة المدمجة المخترقة.
تم اكتشاف أطر عمل الأمان الهجومية بما في ذلك Tactical RMM (87 نقطة نهاية)، ومتغيرات Cobalt Strike (55 مجتمعة)، و Sliver، و Ligolo-ng، وجميعها تم إعادة توظيفها للاستخدام الضار. تم أيضًا اكتشاف أدوات المسح والتصيد مثل Acunetix و Interactsh و Gophish، مما يؤكد أن هذه البنية التحتية تدعم الاستطلاع وسرقة بيانات الاعتماد بالإضافة إلى الاختراقات المباشرة.
تعزز الحملات النشطة المرتبطة بهذه البنية التحتية خطورة هذه النتائج. استخدمت إحدى الحملات على JSC TIMEWEB تقنية CAPTCHA مزيفة تسمى ClickFix لخداع المستخدمين لتنفيذ أمر PowerShell الذي قام بتنزيل برنامج Latrodectus v2.3 الضار الذي يتواصل مع نطاقات يتحكم فيها المهاجمون.
تم ربط البنية التحتية المستضافة على REG.RU بعملية Lumma Stealer التي أساءت استخدام موجهات Google Groups لدفع أرشيفات خبيثة عبر أنظمة Windows و Linux.
على البنية التحتية لشركة Hosting Technology LTD، قامت حملة SmartApeSG بتسليم Remcos RAT من خلال مطالبات CAPTCHA وهمية على مواقع مخترقة، مما أدى إلى تأسيس استمرار عبر تحميل DLL جانبي.
استضافت البنية التحتية لشركة Beget LLC نشاطًا مرتبطًا بحملة UAC-0252، التي انتحلت صفة مؤسسات حكومية أوكرانية وقامت بنشر أدوات سرقة المعلومات SHADOWSNIFF و SALATSTEALER عبر ثغرة في WinRAR تم تعقبها باسم CVE-2025-8088.
تم ربط البنية التحتية لشركة Proton66 OOO بشكل منفصل بعملية BoryptGrab infostealer التي أساءت استخدام أكثر من 100 مستودع عام على GitHub من خلال التلاعب لمحركات البحث.
يجب على فرق الأمن التعامل مع المراقبة على مستوى المزود كأولوية دفاعية أساسية. يمكن أن يؤدي تطبيق ضوابط ضد المزودين الأعلى حجمًا – خاصة TimeWeb و REG.RU و WebHost1 و VDSina و PROSPERO OOO – إلى تقليل التعرض بشكل كبير.
يجب على المؤسسات مراقبة الاتصالات الصادرة إلى شبكات ASNs الروسية التي تنشط فيها نشاط C2 مرتفع، وتطبيق معلومات التهديدات التي تغطي مؤشرات على مستوى البنية التحتية بما يتجاوز تجزئات الملفات، وتقييد سلاسل curl-to-PowerShell المعرضة لعمليات خداع من نوع ClickFix، والحفاظ على رؤية لأجهزة إنترنت الأشياء والأجهزة الطرفية بالنظر إلى النشاط المستمر لروبوتات Hajime و Mozi و Mirai.