كشفت أحدث التقارير الأمنية عن عودة نشاط شبكة الروبوت (البوت نت) القديمة “فوربيكس” (Phorpiex)، التي تعمل منذ عام 2011، ولكن هذه المرة بقدرات محسنة وخطيرة. تتطور الشبكة باستمرار لتقدم مجموعة من الهجمات السيبرانية المدمرة، بما في ذلك برامج الفدية، ورسائل الابتزاز الجنسي، وسرقة العملات المشفرة، مما يضع الشركات والأفراد أمام تحديات أمنية متزايدة.
تُعد شبكة “فوربيكس” واحدة من أكثر التهديدات السيبرانية استمرارية، حيث أثبتت قدرتها على التكيف مع الإجراءات الأمنية. تطورت من مجرد أداة لإرسال البريد العشوائي إلى منصة إجرامية شاملة، قادرة على تنفيذ عمليات هجوم متعددة في وقت واحد، مما يجعلها مصدر قلق كبير للمؤسسات حول العالم.
تطور شبكة فوربيكس وقدراتها المتعددة
شهدت شبكة “فوربيكس” تطورات كبيرة، حيث لم تعد تقتصر على نوع واحد من الهجمات. فقد تمكنت النسخة الحديثة، والمعروفة باسم “Twizt”، من الاندماج بين خوادم القيادة والتحكم التقليدية (C2) وشبكة نظير إلى نظير (P2P). هذا التكيف الهيكلي يجعلها أكثر صموداً ضد جهود الإيقاف، حيث تستمر الشبكة في العمل حتى لو تم تعطيل بعض خوادمها المركزية.
تُشير التقديرات الحالية إلى أن شبكة “فوربيكس” تصيب ما بين 70,000 إلى 80,000 جهاز نشط يومياً، مع رصد أكثر من 1.7 مليون عنوان IP فريد خلال الـ 90 يوماً الماضية. وتتركز الإصابات بشكل كبير في دول مثل إيران، أوزبكستان، الصين، كازاخستان، وباكستان.
العمليات الإجرامية المتوازية
بحسب باحثين أمنيين، تنفذ شبكة “فوربيكس” ثلاث عمليات إجرامية رئيسية بالتزامن. تشمل هذه العمليات التسليم الجماعي لبرامج الفدية، وحملات بريد إلكتروني واسعة النطاق للابتزاز الجنسي، واختطاف محافظ العملات المشفرة في الوقت الفعلي. وتُظهر التحليلات وجود حوالي 125,000 إصابة نشطة يومياً، منها حوالي 70,000 ضمن الشبكة اللامركزية P2P.
حملات برامج الفدية العدوانية
برزت حملات برامج الفدية التي تشنها “فوربيكس” بقوتها. في أكتوبر 2025، استُخدمت الشبكة لنشر برنامج الفدية LockBit Black على أجهزة تم تأكيد وجودها داخل شبكات الشركات أو نطاقات ويندوز. لاحقاً، في يناير 2026، استهدفت سلالة شبيهة بسلالة Global ransomware أجهزة في الصين، مستخدمة واجهات برمجة تطبيقات عامة للبحث عن موقع الهدف قبل إرسال حمولتها الخبيثة.
تبع ذلك حملة أخرى استهدفت أجهزة في 21 دولة، بما في ذلك الولايات المتحدة، المملكة المتحدة، ألمانيا، وفرنسا. ويُقدر أن كل حملة بريد إلكتروني عشوائي تستهدف ما بين 2 إلى 6 ملايين عنوان بريدي.
رسائل الابتزاز الجنسي
بالإضافة إلى برامج الفدية، تستخدم الشبكة نفس البنية التحتية لإرسال رسائل ابتزاز جنسي. تدعي هذه الرسائل كذباً أن المهاجمين قاموا بتسجيل الضحايا عبر كاميرات الويب أثناء زيارتهم لمواقع إباحية، مطالبين بمبلغ 1,800 دولار بعملة البيتكوين مقابل عدم نشر هذه المقاطع. تم تصميم هذه الرسائل لإثارة الذعر لدى المتلقين ودفعهم للدفع بسرعة، وهي منتشرة منذ عام 2023 مع تزايد المبلغ المطلوب تدريجياً.
آليات استمرار الشبكة وإخفائها
بمجرد إصابة الجهاز، تعمل “فوربيكس” بسرعة لتثبيت أقدامها وضمان بقائها غير مكتشفة. تقوم بنسخ نفسها إلى مجلدات النظام وإنشاء مفتاح بدء تشغيل تلقائي في سجل النظام لضمان استمرار عملها بعد كل إعادة تشغيل. كما تنتشر عبر محركات أقراص USB القابلة للإزالة والمجلدات المشتركة على الشبكة، حيث تضع ملفاً تنفيذياً مخفياً (“DrvMgr.exe”) بجوار ملف اختصار مموه (.lnk) يقوم بتشغيل “فوربيكس” عند توصيل المحرك المصاب بأي جهاز.
أساليب التخفي من الاكتشاف
لتجنب الكشف، تضيف البرمجيات الخبيثة نفسها بصمت إلى قائمة البرامج المسموح بها في جدار حماية ويندوز تحت اسم “Microsoft Corporation”، مما يجعلها تبدو كجزء شرعي من النظام. كما تستخدم تقنية تشفير دوال واجهة برمجة التطبيقات (API Hashing) لإخفاء وظائف ويندوز التي تستدعيها أثناء التشغيل، وتقوم ببناء سلاسل نصية مشبوهة في الذاكرة بايت ببايت لتجاوز أدوات الفحص الأمني الثابتة.
كل أمر يتم إرساله إلى شبكة البوت نت يكون مغلفاً برأس مشفر بنظام RSA بحجم 256 بايت. هذا يعني أن المهاجم فقط يمتلك المفتاح لإصدار تعليمات صالحة، مما يمنع الأطراف الخارجية من السيطرة على الشبكة.
نصائح للحماية والوقاية
تنصح المؤسسات بشدة بحظر عناوين IP المعروفة لخوادم القيادة والتحكم الخاصة بـ “فوربيكس”، ومراقبة التغييرات غير المتوقعة في مفاتيح التشغيل التلقائي، وتقييد الوصول إلى أجهزة USB على أجهزة العمل. كما يمكن تعطيل ميزة UPnP على أجهزة التوجيه الشبكية، وتحديث أنظمة التشغيل بشكل مستمر، ونشر حلول متدرجة لتصفية البريد الإلكتروني أن تقلل بشكل كبير من خطر الإصابة.
تتوفر جميع مؤشرات الاختراق (IOCs) وعناوين محافظ العملات المشفرة المرتبطة بالشبكة علناً على منصة Malware Bazaar تحت وسم “dropped-by-phorpiex”.