افتتح العام دون تغيير كبير في طبيعة التهديدات السيبرانية، حيث استمر الضغط على الأنظمة، بل واحتد في بعض المناطق، مع ظهور ثغرات في أنظمة يُفترض أنها مستقرة. شهدت الفترة الأخيرة استغلال مسارات هجوم مألوفة، مع استمرار الجهات الفاعلة في شن هجماتها لفترات أطول من المتوقع.
تتشارك القصص التي برزت هذا الأسبوع نمطًا واحدًا: التركيز على استغلال الثقة في العمليات الروتينية مثل التحديثات، والإضافات، وعمليات تسجيل الدخول، والرسائل، وهي أمور غالبًا ما يتفاعل معها المستخدمون دون تفكير عميق. هذه هي النقاط التي تبدأ فيها الأضرار بالحدوث في الوقت الحالي.
يهدف هذا التقرير إلى تجميع هذه الإشارات، ليس بغرض الإرباك، بل لتسليط الضوء على نقاط الضعف التي تجاهلها البعض، وأهمية الانتباه لهذه التهديدات منذ بداية العام.
برمجيات RondoDox الخبيثة تستغل ثغرة React2Shell
كشفت حملة مستمرة منذ تسعة أشهر عن استهداف أجهزة إنترنت الأشياء (IoT) والتطبيقات الويب لضمها إلى شبكة برمجيات خبيثة تُعرف باسم RondoDox. اعتبارًا من ديسمبر 2025، لوحظ أن النشاط يستغل الثغرة الأمنية الحرجة React2Shell (CVE-2025-55182، درجة CVSS: 10.0) كمتجه وصول أولي. تُعد React2Shell ثغرة أمنية خطيرة في React Server Components (RSC) و Next.js، والتي قد تسمح للمهاجمين غير المصرح لهم بتنفيذ تعليمات برمجية عن بعد على الأجهزة المتأثرة.
بحسب إحصائيات مؤسسة Shadowserver Foundation، يوجد حوالي 84,916 جهازًا لا تزال عرضة لهذه الثغرة حتى 4 يناير 2026. تتوزع هذه الأجهزة عالميًا، حيث تقع 66,200 منها في الولايات المتحدة، تليها ألمانيا (3,600)، وفرنسا (2,500)، والهند (1,290)، مما يبرز انتشار الخطر.
أخبار بارزة في الأمن السيبراني
اختراق إضافة Trust Wallet Chrome مرتبط بهجوم سلسلة التوريد Shai-Hulud
أعلنت Trust Wallet أن الهجوم الثاني لسلسلة التوريد Shai-Hulud (المعروف أيضًا باسم Sha1-Hulud) في نوفمبر 2025، من المرجح أن يكون المسؤول عن اختراق إضافة المتصفح الخاصة بها على Chrome، مما أدى إلى سرقة ما يقرب من 8.5 مليون دولار من الأصول.
“تم اختراق أسرار المطورين لدينا في GitHub خلال الهجوم، مما منح المهاجم إمكانية الوصول إلى شفرة المصدر لإضافة المتصفح ومفتاح واجهة برمجة تطبيقات Chrome Web Store (CWS). تمكن المهاجم من الحصول على وصول كامل لواجهة CWS عبر المفتاح المسرب، مما سمح بتحميل إصدارات مباشرة دون عملية الإصدار القياسية لـ Trust Wallet التي تتطلب موافقة داخلية ومراجعة يدوية”، حسبما ذكرت الشركة. يُقال إن الجهات الفاعلة المجهولة سجلت نطاقًا لتسريب عبارات استعادة المحفظة الخاصة بالمستخدمين.
مجموعة DarkSpectre مرتبطة بحملات واسعة لإضافات المتصفحات
تم ربط مجموعة تهديدات صينية جديدة، تُعرف باسم DarkSpectre، بأحد أكثر عمليات البرمجيات الخبيثة انتشارًا عبر إضافات المتصفحات التي تم اكتشافها حتى الآن، حيث أثرت على أكثر من 8.8 مليون مستخدم لـ Chrome و Edge و Firefox و Opera على مدار السنوات السبع الماضية.
يختلف هيكل DarkSpectre عن عمليات الجرائم السيبرانية التقليدية. وجدت المجموعة تدير مجموعات برمجيات خبيثة متباينة ولكن مترابطة، لكل منها أهداف مميزة. تركز حملة ShadyPanda، المسؤولة عن 5.6 مليون إصابة، على المراقبة طويلة الأمد للمستخدمين والاحتيال في البرامج التابعة للتجارة الإلكترونية. أما الحملة الثانية، GhostPoster، فتنتشر عبر إضافات Firefox و Opera التي تخفي حمولات خبيثة في صور PNG باستخدام تقنية إخفاء المعلومات (steganography). بعد فترة سكون، تستخرج الإضافات وتنفذ JavaScript المخفية داخل الصور، مما يتيح تنفيذ التعليمات البرمجية عن بعد بشكل خفي. أثرت هذه الحملة على أكثر من مليون مستخدم.
وزارة الخزانة الأمريكية ترفع عقوباتها عن 3 أفراد مرتبطين بشركة Intellexa
أزالت مكتب مراقبة الأصول الأجنبية (OFAC) التابع لوزارة الخزانة الأمريكية ثلاثة أفراد مرتبطين بتحالف Intellexa، الشركة القابضة لبرنامج التجسس التجاري Predator، من قائمة المواطنين المحددين بشكل خاص. وشمل الأفراد ميروم هارباز، وأندريا نيكولا كونستانتينو هيرميس جامبازي، وسارة ألكسندرا فيصل حمو. في بيان مشترك مع رويترز، ذكرت الخزانة أن هذا القرار اتُخذ “كجزء من العملية الإدارية العادية استجابة لطلب استئناف لإعادة النظر”. وأضافت الوزارة أن الأفراد “أظهروا اتخاذ إجراءات لفصل أنفسهم عن تحالف Intellexa”.
مجموعة Silver Fox تضرب الهند برسائل احتيالية ضريبية
وجهت مجموعة الجرائم السيبرانية الصينية المعروفة باسم Silver Fox تركيزها نحو الهند، مستخدمةً عروضًا متعلقة بضريبة الدخل في حملات تصيد احتيالي لتوزيع برنامج وصول عن بعد معياري يسمى ValleyRAT (المعروف أيضًا باسم Winos 4.0). في الحملة، تُستخدم رسائل البريد الإلكتروني الاحتيالية التي تحتوي على ملفات PDF وهمية تبدو من إدارة ضريبة الدخل الهندية لنشر ValleyRAT.
ValleyRAT هو نسخة من Gh0st RAT، ويعتمد على بنية موجهة بالمكونات الإضافية لتوسيع وظائفه بطريقة مخصصة، مما يسمح للمشغلين بنشر قدرات متخصصة لتسهيل تسجيل ضربات المفاتيح، وحصاد بيانات الاعتماد، وتجنب الكشف. جاء هذا الكشف بينما تم تحديد لوحة إدارة روابط مرتبطة بـ Silver Fox على أنها تُستخدم لتتبع صفحات الويب المستخدمة لتسليم مثبتات وهمية تحتوي على ValleyRAT وعدد النقرات لتنزيل المثبتات.
Mustang Panda تستخدم مشغل Rootkit لإيصال TONESHELL
استخدمت مجموعة القرصنة الصينية المعروفة باسم Mustang Panda (المعروفة أيضًا باسم HoneyMyte)، مشغل Rootkit في وضع النواة لم يتم توثيقه سابقًا، لإيصال نسخة جديدة من الباب الخلفي المعروف باسم TONESHELL في هجوم سيبراني تم اكتشافه في منتصف عام 2025، استهدف كيانًا غير محدد في آسيا.
الهدف الرئيسي للمشغل هو حقن حصان طروادة خلفي في عمليات النظام وتوفير الحماية للملفات الخبيثة، وعمليات وضع المستخدم، ومفاتيح التسجيل. الحمولة النهائية التي تم نشرها كجزء من الهجوم هي TONESHELL، وهي أداة تحتوي على قدرات Reverse Shell و Downloader لجلب البرامج الضارة من المرحلة التالية إلى المضيفين المخترقين. يُنسب استخدام TONESHELL إلى Mustang Panda منذ أواخر عام 2022 على الأقل.
أكواد ثغرات أمنية متداولة (CVEs)
يتصرف المخترقون بسرعة، ويمكنهم استغلال الثغرات الجديدة في غضون ساعات. قد يؤدي تحديث واحد تم تفويته إلى خرق كبير. فيما يلي أخطر الثغرات الأمنية لهذا الأسبوع. تحقق منها، أصلح ما يهم أولاً، وابق آمنًا.
تشمل قائمة هذا الأسبوع: CVE-2025-13915 (IBM API Connect)، CVE-2025-52691 (SmarterTools SmarterMail)، CVE-2025-47411 (Apache StreamPipes)، CVE-2025-48769 (Apache NuttX RTOS)، CVE-2025-14346 (WHILL Model C2 Electric Wheelchairs and Model F Power Chairs)، CVE-2025-52871، CVE-2025-53597 (QNAP)، CVE-2025-59887، و CVE-2025-59888 (Eaton UPS Companion).
في عالم الأمن السيبراني
200 حادث أمني استهدف العملات المشفرة في 2025
وفقًا لـ “إحصائيات غير مكتملة” من شركة SlowMist لأمن البلوك تشين، وقع 200 خرق أمني في العام الماضي، مما أثر على مجتمع العملات المشفرة وأسفر عن خسائر بنحو 2.935 مليار دولار. “بالمقارنة، شهد عام 2024 وقوع 410 حوادث بخسائر بلغت حوالي 2.013 مليار دولار”، حسبما ذكرت الشركة. “بينما انخفض عدد الحوادث عامًا بعد عام، زاد إجمالي الخسائر بنسبة 46% تقريبًا.”
PyPI: 52% من المستخدمين النشطين لديهم المصادقة الثنائية مفعلة
أعلنت مؤسسة Python Software Foundation أن 52% من المستخدمين النشطين لـ PyPI يستخدمون الآن المصادقة الثنائية لتأمين حساباتهم، وأن أكثر من 50,000 مشروع يستخدمون النشر الموثوق. تضمنت بعض الإجراءات الأمنية الملحوظة الأخرى التي تم تطبيقها في PyPI تنبيه المستخدمين بشأن النطاقات غير الموثوق بها، ومنع الهجمات التي تتضمن ملفات ZIP ضارة، والإبلاغ عن محاولات الخطأ الإملائي المحتملة أثناء إنشاء المشروع، والتحقق الدوري من انتهاء صلاحية النطاقات لمنع هجمات استعادة النطاقات، وحظر التسجيلات من نطاقات محددة كانت مصدرًا للإساءة.
TikTok تزيل شبكة تأثير تستهدف المجر
أعلنت TikTok أنها أزالت شبكة مكونة من 95 حسابًا يتابعها 131,342 شخصًا، والتي عملت من المجر واستهدفت جماهير في البلاد. “أنشأ الأفراد الذين يقفون وراء هذه الشبكة حسابات غير حقيقية لتضخيم الروايات التي تخدم حزب فيدس السياسي”، حسبما ذكرت المنصة الاجتماعية. “تم اكتشاف أن الشبكة تنسق عبر منصات متعددة عبر الإنترنت.”
فريق Handala يخترق حسابات مسؤولين إسرائيليين على Telegram
اخترق الفريق الموالي لإيران المعروف باسم Handala حسابات Telegram لاثنين من الشخصيات السياسية الإسرائيلية البارزة، بما في ذلك رئيس الوزراء السابق نفتالي بينيت ورئيس أركان نتنياهو، تزاتشي برافرمان. “تشمل نواقل الهجوم الأكثر احتمالاً الهندسة الاجتماعية أو التصيد الاحتيالي المستهدف لكلمات المرور وأرقام OTP، وتسريب ملفات جلسة Telegram Desktop (tdata) من محطات العمل المخترقة، أو الوصول غير المصرح به إلى النسخ الاحتياطي السحابي”، حسبما ذكرت KELA. “بينما من المحتمل أن يكون نطاق الاختراق قد بالغ فيه Handala، فإن الحادث يسلط الضوء على الحاجة الماسة لإدارة الجلسات والمصادقة متعددة العوامل، حتى على تطبيقات المراسلة ‘الآمنة’.”
تفاصيل ثغرات في سماعات بلوتوث تستخدم شرائح Airoha
ظهرت المزيد من التفاصيل حول ثلاث ثغرات تؤثر على سماعات بلوتوث تستخدم شرائح Airoha: CVE-2025-20700، CVE-2025-20701، و CVE-2025-20702. أثرت هذه الثغرات على سماعات من Sony و Marshall و JBL و Beyerdynamic، وتم إصلاحها في يونيو. يمكن استغلال هذه المشكلات من قبل مهاجم في محيط مادي للاتصال بصمت بزوج من سماعات الرأس عبر BLE أو Bluetooth الكلاسيكي، وتسريب الذاكرة الوامضة (flash memory) للسماعات، واستخراج مفتاح رابط البلوتوث (Bluetooth Link Key).
برامج الفدية تحوّل الاختراقات إلى مزادات
لقد مهد تطور برامج الفدية من الابتزاز الرقمي إلى “مؤسسة إجرامية منظمة ذات دوافع ربحية” الطريق لنظام بيئي لا يحاول فقط ابتزاز البيانات المسروقة، بل يحقق أقصى ربح عن طريق بيعها لأعلى مزايد من خلال مزادات البيانات. “من خلال فتح مصادر ربح إضافية وجذب المزيد من المشاركين، يعزز هؤلاء الجهات الفاعلة كلاً من تكرار عمليات برامج الفدية وتأثيرها”، حسبما ذكرت Rapid7. “يعكس صعود مزادات البيانات اقتصادًا سفليًا ناضجًا، يشبه سلوك السوق الشرعي، ومع ذلك يدفع استمرار توسع وأضفاء الطابع المهني على نشاط برامج الفدية العالمية.”
إشعارات Teams تُستغل لهجمات التصيد الاحتيالي بالاتصال
يستغل الجهات الفاعلة في مجال التهديدات إشعارات Microsoft Teams لهجمات التصيد الاحتيالي بالاتصال. “تتم دعوة الضحايا إلى مجموعات تحتوي أسماء الفرق فيها على محتوى احتيالي، مثل فواتير وهمية، أو إشعارات تجديد تلقائي، أو مطالبات دفع PayPal، ويُحثون على الاتصال برقم دعم وهمي إذا لم يكن الشحن مصرحًا به. نظرًا لأن هذه الرسائل تأتي من عنوان المرسل الرسمي لـ Microsoft Teams ([email protected][.]microsoft)، فقد تتجاوز شكوك المستخدم وفلاتر البريد الإلكتروني”، حسبما ذكرت Trustwave.
هجوم Vishing عبر Teams يؤدي إلى برامج ضارة .NET
في حملة أخرى رصدتها شركة أمنية، تبين أن حملة Vishing تنطلق من Teams تخدع المستخدمين غير الحذرين لتثبيت برنامج Quick Assist، مما يؤدي في النهاية إلى نشر برامج ضارة متعددة المراحل .NET باستخدام ملف تنفيذي باسم updater.exe.
التسميم SEO يوزع Oyster
تستمر حملة تسميم تحسين محركات البحث (SEO) في الترويج لمواقع وهمية عندما يبحث المستخدمون عن Microsoft Teams أو Google Meet لتوزيع باب خلفي يسمى Oyster. كان هذا التهديد بتوزيع البرامج الضارة نشطًا منذ نوفمبر 2024 على الأقل. في يوليو 2025، لاحظت Arctic Wolf موجة مماثلة من الهجمات التي استغلت مواقع وهمية تستضيف إصدارات مصابة من أدوات شرعية مثل PuTTY و WinSCP لتسليم البرامج الضارة.
ملحقات SAP Concur الوهمية تسلم برامج Malicious FireClient
تقوم حملة جديدة اكتشفتها BlueVoyant بخداع المستخدمين لتنزيل ملحقات متصفح SAP Concur وهمية. يحتوي مثبت ملحق المتصفح الوهمي على محمل (loader) مصمم لجمع معلومات حول المضيف وإرسالها إلى خادم التحكم والقيادة (C2). يقوم المحمل لاحقًا باستخراج باب خلفي مضمن يسمى FireClient يحتوي على وظائف لتنفيذ أوامر عن بعد باستخدام لوحة التحكم و PowerShell.
OpenAI: قد لا تختفي حقن الـ Prompts أبدًا في وكلاء المتصفح
أفصحت OpenAI أنها قامت بتحديث أمني لمتصفح ChatGPT Atlas الخاص بها مع نموذج مدرب جديد بشكل تنافسي وتعزيز الضمانات المحيطة لمكافحة حقن المطالبات (prompt injections) بشكل أفضل، مما يجعل من الممكن إخفاء التعليمات الضارة داخل المحتوى عبر الإنترنت وجعل وكيل الذكاء الاصطناعي يتجاوز ضوابطه. أقرت الشركة بأن “وضع الوكيل” في ChatGPT Atlas يوسع سطح التهديد الأمني. “جاء هذا التحديث مدفوعًا بفئة جديدة من هجمات حقن المطالبات التي تم الكشف عنها من خلال اختبارات المنحى الآلي الداخلية لدينا”.
ندوات عبر الإنترنت حول الأمن السيبراني
- هزيمة “العيش من الأرض”: أمن استباقي لعام 2026 – للبقاء في صدارة التهديدات المتطورة، يجب على المدافعين تجاوز الكشف التقليدي المستند إلى الملفات إلى رؤية استباقية مدعومة بالذكاء الاصطناعي. يكشف هذا العرض التقديمي عن كيفية اكتشاف هجمات “العيش من الأرض” والهجمات التي لا تستخدم ملفات، والتي تستخدم أدوات نظام شرعية لتجاوز أنظمة الأمان القديمة. ستتعلم كيف تؤمن سير عمل المطورين وحركة المرور المشفرة باستخدام مبادئ Zero Trust، مما يضمن تحييد حتى أكثر التهديدات خفية وغير الثنائية قبل وصولها إلى نقاط النهاية الخاصة بك.
- كيفية توسيع نطاق وكلاء الذكاء الاصطناعي دون توسيع نطاق سطح الهجوم الخاص بك – بينما يستخدم المطورون وكلاء الذكاء الاصطناعي مثل Claude Code و Copilot لشحن التعليمات البرمجية بسرعة، فإنهم يقدمون مخاطر جديدة دون قصد من خلال خوادم “MCP” غير المُدارة ومفاتيح API المخفية. توضح هذه الندوة عبر الإنترنت كيفية تأمين هذه الأدوات المستقلة قبل أن تصبح أبوابًا خلفية لسرقة البيانات أو الهجمات عن بعد. انضم إلينا لتتعلم كيف تحدد الأدوات الضارة في بيئتك وتطبق سياسات الأمان المطلوبة للحفاظ على مؤسستك سريعة ولكن آمنة.
- توسيع نطاق MSSP الخاص بك: خدمات CISO عالية الهامش مدعومة بالذكاء الاصطناعي – في عام 2026، يتطلب البقاء تنافسيًا بصفتك مزود خدمة أمنية مُدارة (MSSP) الانتقال من العمل اليدوي إلى الإدارة الأمنية المدفوعة بالذكاء الاصطناعي. تستكشف هذه الجلسة كيف يستخدم المزودون الرائدون الأتمتة لتقليل عبء العمل وتقديم خدمات CISO عالية القيمة دون زيادة عدد الموظفين. بالانضمام إلى الخبراء ديفيد برايمور وتشاد روبنسون، ستتعلم استراتيجيات مجربة لتعبئة عروض الخدمات بالسعر المناسب، وزيادة هوامش الربح، وتمكين فريقك الحالي من تقديم نتائج ذات مستوى الخبراء على نطاق واسع.
أدوات الأمن السيبراني
- rnsec – هو ماسح أمني خفيف الوزن يعمل عبر سطر الأوامر لتطبيقات React Native و Expo. يعمل دون أي تكوين، ويحلل التعليمات البرمجية بشكل ثابت، ويشير إلى المشكلات الأمنية الشائعة مثل الأسرار المثبتة، والتخزين غير الآمن، والتشفير الضعيف، واستخدام الشبكة غير الآمن. يتم تقديم النتائج كتقرير HTML أو JSON بسيط، مما يسهل مراجعتها محليًا أو دمجها في خطوط أنابيب CI.
- Duplicati – هي أداة نسخ احتياطي مجانية ومفتوحة المصدر تقوم بتشفير بياناتك قبل إرسالها إلى التخزين السحابي أو الخوادم البعيدة. تدعم النسخ الاحتياطي التدريجي والمضغوط، وتعمل على Windows و macOS و Linux، وتعمل مع العديد من المزودين مثل S3 و Google Drive و OneDrive و SFTP. يمكن جدولة النسخ الاحتياطي تلقائيًا وإدارته من خلال واجهة ويب بسيطة أو سطر الأوامر.
إخلاء مسؤولية: هذه الأدوات لأغراض التعلم والبحث فقط. لم يتم اختبارها بالكامل من الناحية الأمنية. إذا تم استخدامها بطريقة خاطئة، فقد تسبب ضررًا. تحقق من التعليمات البرمجية أولاً، واختبر فقط في أماكن آمنة، واتبع جميع القواعد والقوانين.
خاتمة
ما يهم ليس حادثًا واحدًا، بل ما تظهره معًا. نقاط الضعف نفسها تستمر في الاختبار من زوايا مختلفة. عندما ينجح شيء ما مرة واحدة، يتم إعادة استخدامه ونسخه وتوسيعه. هذا النمط واضح قبل أن تكون التفاصيل مهمة.
استخدم هذا الملخص كفحص، وليس كتحذير. إذا كانت هذه المشكلات تبدو مألوفة، فهذا هو المقصود. المشكلات المألوفة هي الأكثر عرضة للتجاهل مرة أخرى.