كشفت تقارير حديثة عن نشوء تهديد سيبراني جديد وسريع الانتشار، حيث يقوم قراصنة مرتبطون بالصين ببناء شبكات ضخمة من أجهزة التوجيه (الراوترات) والأجهزة الطرفية المخترقة بشكل سري لتنفيذ عمليات سيبرانية خفية تستهدف منظمات حول العالم.
بدلاً من تأسيس بنيتهم التحتية الخاصة من الصفر، اعتمد هؤلاء المهاجمون على نهج أكثر ذكاءً وأقل تكلفة.
تقوم الفكرة على اختراق أجهزة الشبكة الشائعة، مثل أجهزة التوجيه المنزلية وأجهزة المكاتب الصغيرة، وتحويلها بصمت إلى نقاط عبور لهجماتهم.
هذه الطريقة تمكنهم من مزج حركتهم الخبيثة مع نشاط الإنترنت الطبيعي، مما يجعل من الصعب على المدافعين تتبع الهجمات إلى مصدرها.
ينتج عن ذلك شبكة قوية ومخفية، تتغير باستمرار ويصعب تحديدها باستخدام الأدوات الأمنية التقليدية.
دور الراوترات المخترقة في العمليات السيبرانية الخفية
تُستخدم هذه الشبكات السرية، بفضل حجمها ومرونتها، من قبل جهات فاعلة مرتبطة بالصين في جميع مراحل “سلسلة القتل السيبراني” (Cyber Kill Chain). تشمل هذه المراحل عمليات المسح والاستطلاع الأولية، وصولاً إلى تسليم البرمجيات الخبيثة، ثم الاتصال بأوامر التحكم، وانتهاءً بسرقة البيانات.
هذا يعني أن الهجوم قد يبدو وكأنه قادم من شبكة منزلية في بلد ما في يوم، وموقع مختلف تمامًا في اليوم التالي.
بالتعاون مع وكالات شريكة، حدد محللون في المجلس الوطني للأمن السيبراني في المملكة المتحدة هذا النمط المتنامي من التهديدات ونشروا تحذيرًا بشأنه في 23 أبريل 2026.
وأشاروا إلى أن هذه الشبكات السرية لا تُستخدم من قبل جهة واحدة فقط، بل تتشارك عدة جهات فاعلة مرتبطة بالصين نفس مجموعة العقد المخترقة، مما يجدد ويعيد تشكيل الشبكة باستمرار.
هذا يخلق ما وصفه المجلس الوطني للأمن السيبراني بـ “انقراض مؤشرات الاختراق” (IOC extinction)، مما يعني أن البصمات الرقمية التي يعتمد عليها المدافعون عادةً لاكتشاف الهجمات تختفي تقريبًا بمجرد العثور عليها.
التأثير على المنظمات المستهدفة خطير، حيث يمكن سرقة البيانات الحساسة وتعطيل الخدمات الحيوية، بينما يظل المهاجمون غير مرئيين خلف جدار من الأجهزة الاستهلاكية المخترقة.
المنظمات التي تعتمد بشكل حصري على الدفاعات الثابتة، مثل قوائم حظر عناوين IP الثابتة، معرضة للخطر بشكل خاص، لأن البنية التحتية للهجمات لا تظل ثابتة لفترة كافية لجعل هذه القوائم مفيدة.
يمثل هذا تحولاً حقيقياً في كيفية إجراء عمليات التجسس السيبراني على نطاق واسع.
كيف تعمل الشبكة السرية كدرع واقٍ
الآلية الأساسية وراء هذا التهديد بسيطة بشكل مخادع ولكنها مدهشة من الناحية التشغيلية. عندما يرغب المهاجمون في شن هجوم، بدلاً من الاتصال مباشرة من خادم معروف، يقومون بتوجيه حركتهم عبر سلسلة من أجهزة التوجيه وأجهزة إنترنت الأشياء (IoT) المخترقة بالفعل، غالبًا ما تخص أسرًا عادية أو شركات صغيرة.
عادةً ما تعمل هذه الأجهزة ببرامج ثابتة قديمة مع ثغرات غير مصححة، مما يجعلها أهدافاً سهلة للاختراق الأولي. بمجرد الدخول، يقوم المهاجمون بتثبيت أدوات خفيفة تقوم بتمرير حركة المرور بصمت عبر السلسلة، تاركة أثراً ضئيلاً جداً على الجهاز نفسه.
نظرًا لأن الأجهزة المستخدمة في الشبكة يتم تبديلها باستمرار، فإن البنية التحتية تجدد نفسها تلقائيًا.
فرق الأمن التي تقوم بحظر مجموعة من عناوين IP ستجد أن عقدًا جديدة قد حلت محلها بالفعل، مما يجعل دفاعاتها قديمة في غضون ساعات.
هذا ما يجعل الكشف عن الشذوذ القائم على التعلم الآلي والتنميط الجغرافي أمراً بالغ الأهمية، حيث أن القواعد الثابتة لا يمكنها ببساطة مواكبة شبكة مصممة لتغيير شكلها باستمرار.
يقدم المجلس الوطني للأمن السيبراني إرشادات واضحة للمنظمات من جميع الأحجام لمعالجة هذا التهديد.
ينصح جميع المنظمات بتعيين وتوصيف حركة مرور أجهزتها الطرفية، خاصة اتصالات VPN والوصول عن بعد، واعتماد تصفية ديناميكية لمصادر التهديدات تعكس مؤشرات الشبكة السرية المعروفة. يجب فرض المصادقة الثنائية لجميع عمليات الوصول عن بعد.
حيثما أمكن، يجب تطبيق ضوابط الثقة الصفرية (Zero Trust)، وقوائم السماح بعناوين IP، والتحقق من شهادات الجهاز.
بالنسبة للمنظمات الكبيرة وعالية المخاطر، يُنصح بشكل إضافي بإجراء عمليات بحث استباقية عن التهديدات عبر حركة مرور SOHO و IoT المشبوهة، وتطبيق التنميط الجغرافي، ونشر أدوات التعلم الآلي القادرة على اكتشاف الأنماط غير المعتادة قبل حدوث الضرر.