ظهرت عملية برمجيات فدية جديدة تحمل اسم 0APT على الويب المظلم في أواخر يناير 2026، مدعية اختراق أكثر من 200 منظمة خلال أسبوعها الأول. وقد استطاعت هذه المجموعة بسرعة بناء سمعة، خاصة في مجال برمجيات الفدية كخدمة (RaaS)، لجذب الشركاء.
سرعان ما توصل باحثو الأمن السيبراني إلى أن غالبية الضحايا المعلن عنهم كانوا وهميين، حيث لم يتم تقديم أي بيانات مسروقة حقيقية. تشير الأدلة إلى أن العملية صُممت لخداع مجرمي الإنترنت الطموحين بدلاً من ابتزاز المنظمات بشكل مباشر.
عملية 0APT: واجهة خادعة في عالم الأمن السيبراني
قامت مجموعة 0APT ببناء بنية تحتية متقنة، بما في ذلك موقع تسريب بيانات احترافي يعمل عبر شبكة Tor، ولوحة تحكم وظيفية لخدمة برمجيات الفدية كخدمة (RaaS)، وأنظمة دردشة خاصة بالمفاوضات. كل قائمة ضحية تعرضت أشجار ملفات يفترض أنها تحتوي على جيجابايت من بيانات الشركة.
عند محاولة تنزيل هذه الملفات، اكتشف الباحثون أنها ذات أحجام مستحيلة، تتجاوز 4 جيجابايت لأشجار ملفات يفترض أن لا تتجاوز بضعة كيلوبايت. توقفت عمليات التنزيل تلقائيًا بعد خمس دقائق، مما أكد للخبراء استخدام تكتيكات خداع متعمدة لخلق وهم نجاح الاختراقات دون تقديم معلومات حقيقية.
هذا التكتيك، الذي رصدته تحليلات THE RAVEN FILE، يهدف إلى إعطاء انطباع بوجود اختراقات فعلية، دون الحاجة إلى امتلاك هذه البيانات. وبحسب فرق الأمن السيبراني، مثل GuidePoint Security وHalcyon وSOCRadar، لم يتم العثور على دلائل تدعم ادعاءات الاختراق للمنظمات المدرجة.
بعض المنظمات المعلنة ضحايا، مثل Epworth HealthCare، أكدت علناً عدم وجود أي اختراقات لديها. كما اكتشف الباحثون إدراج 0APT لكيانات خيالية مستوحاة من القصص المصورة، مما يبرز طبيعة التضليل التي تتبعها المجموعة. تجاوزت معدلات الادعاءات المسجلة لهذه المجموعة العمليات الراسخة في مجال برمجيات الفدية.
استراتيجية التضليل عبر لوحة PaaS (RaaS)
برز الغرض الحقيقي للمجموعة عند وصول الباحثين إلى لوحة PaaS الخاصة بها. سمحت المنصة للشركاء بإنشاء خمس عينات من برمجيات الفدية لكل حساب، مع دعم لأنظمة Windows وLinux وmacOS. بدت هذه العينات، التي تم تجميعها باستخدام Rust، ذات أحجام تتراوح بين 5.6 ميجابايت لنظام Windows و1.3 ميجابايت لنظام Linux.
استخدمت هذه البرمجيات خوارزميات تشفير مختلفة، بما في ذلك AES256 وSalsa20/ChaCha، بالإضافة إلى خوارزمية Speck النادرة المرتبطة بالكود الناتج عن الذكاء الاصطناعي. تقوم البرمجيات الخبيثة التي تتم إنشاؤها بإلحاق الامتداد “.0apt” بأسماء الملفات المشفرة، وتترك ملف README0apt.txt يتضمن معرفات فريدة للضحية.
عملت العملية على تجنيد الشركاء عبر إشعارات واضحة مثل “JOIN RAAS”، لجمع رسوم من مجرمي الإنترنت الذين اعتقدوا انضمامهم إلى نظام بيئي ناجح. تشير التقارير إلى أن أحد هؤلاء المحتالين استطاع خداع المجرمين المهتمين بمبلغ 85,000 دولار على الأقل. تضمنت اللوحة ميزات لتتبع المدفوعات، والتفاوض عبر الدردشة، ودعم الإدارة، والتوثيق الفني.
على الرغم من أن البرمجيات الخبيثة التي تم إنشاؤها فعالة عند تشغيلها، إلا أن قائمة الضحايا بأكملها كانت مصممة لجذب الشركاء الذين يدفعون. وبحسب مؤسسات الأمن السيبراني، يجب على فرق الأمن تأكيد ادعاءات الاختراق عبر قنوات رسمية قبل الاستجابة لمطالبات الفدية.
بدون ملاحظات فدية حقيقية، أو ملفات مشفرة، أو اتصالات مباشرة، يجب اعتبار قوائم مواقع التسريب مفبركة. يُنصح المنظمات بمراقبة مؤشرات الـ 0APT، حيث لا تزال نسخ برمجيات الفدية الوظيفية متداولة. ويشكل اكتشاف هذه العمليات الخادعة جزءًا هامًا من جهود الأمن السيبراني لحماية البيانات.