في مطلع فبراير 2026، برز تهديد سيبراني كبير شمل استخدام نماذج اللغات الكبيرة (LLMs) بشكل متطور في حملات اختراق نشطة. كشف موقع أمني عن استغلال جهات خبيثة لنماذج نماذج اللغات الكبيرة في هجمات إلكترونية تستهدف أجهزة FortiGate حول العالم.
تم اكتشاف بنية تحتية لبرمجيات خبيثة تم فيها دمج أدوات مثل DeepSeek و Claude في سير عمل الهجوم. يسلط هذا الاكتشاف الضوء على تطور خطير في الجريمة السيبرانية الحديثة، حيث لم تعد أدوات الذكاء الاصطناعي تولد النصوص فحسب، بل أصبحت جزءًا متكاملًا من سلسلة الهجوم لأتمتة المهام الهجومية المعقدة ضد أهداف عالمية.
استغلال متقدم لأجهزة FortiGate
استهدفت البنية التحتية للهجوم بشكل خاص أجهزة FortiGate SSL VPN، مستخدمة بيانات تكوين مسروقة لاختراق الشبكات بفعالية. من خلال استغلال بيانات الاعتماد المخترقة هذه، نجح المشغلون في رسم خرائط للبنى التحتية الداخلية وتحديد الأصول الحيوية.
استخدمت العملية أدوات مخصصة لتنظيم هذه الهجمات، مما سمح بالمعالجة المتزامنة لآلاف الأهداف دون الحاجة إلى تدخل يدوي لكل خطوة من خطوات عملية الاختراق. أشارت الأدلة إلى معالجة أكثر من 2,500 جهاز في 106 دول عبر دفعات متوازية.
اكتشف محللون في مجال الأمن السيبراني أن المهاجمين اعتمدوا على نهج مزدوج للنماذج، حيث استخدموا DeepSeek لتوليد خطط هجوم استراتيجية بناءً على بيانات الاستطلاع، بينما استخدموا قدرات Claude البرمجية لتنفيذ تقييمات الثغرات الأمنية. هذا المستوى من الأتمتة مكّن حتى المشغلين ذوي المهارات المنخفضة من إدارة حجم هائل من الاختراقات بكفاءة.
سير عمل استغلال مؤتمت
يعتمد جوهر هذه العملية على مكونين مخصصين يُعرفان باسم ARXON و CHECKER2. يعمل CHECKER2 كمنظم يعتمد على Docker ويتولى فحص VPN بشكل متوازٍ، بينما يعمل ARXON كخادم بروتوكول سياق النموذج (MCP). يسمح هذا الرابط للمهاجمين بتغذية بيانات شبكة محددة إلى نماذج اللغات الكبيرة، والتي بدورها تُخرج خطوات استغلال قابلة للتنفيذ.
على سبيل المثال، يوضح المخطط المعماري لسلسلة الاختراق كيف ينتقل النظام من الوصول الأولي إلى الاستغلال النشط. بمجرد الدخول إلى شبكة، يستخدم النظام Claude لتشغيل أدوات هجومية مثل Impacket و Metasploit بشكل مستقل.
تُظهر مقتطفات من تقارير تقييم الثغرات الأمنية التي تم العثور عليها على الخادم كيف توثق النماذج نتائجها وتقترح خطوات تالية ذات أولوية، مثل تصعيد الامتيازات. تؤكد السجلات المكشوفة أن هذا النظام المؤتمت يستهدف بنشاط قطاعات متنوعة، بما في ذلك الاتصالات.
التوصيات والتخفيف
للتخفيف من هذه التهديدات المدفوعة بالذكاء الاصطناعي، يجب على المؤسسات إعطاء الأولوية لترقيع الأجهزة الطرفية فورًا، حيث أن سرعة الهجمات المؤتمتة لا تترك مجالًا للتأخير. يجب على فرق الأمن مراجعة حسابات مستخدمي VPN بانتظام بحثًا عن أي إنشاءات غير مصرح بها ومراقبة جلسات SSH غير المتوقعة.
بالإضافة إلى ذلك، يمكن التحقق من تكوينات الشبكة مقابل خطوط الأساس المعروفة أن يساعد في الكشف عن التعديلات الدقيقة التي تميز هذه الحملة. يتطلب التصدي لهذه التهديدات المتطورة استراتيجيات أمنية استباقية وتكييفًا مستمرًا مع التهديدات الناشئة.