يشهد الأسبوع الحالي تصاعدًا في التهديدات الأمنية السيبرانية، مع استغلال ثغرات أمنية جديدة ومعقدة في أنظمة الشبكات الحيوية، بالإضافة إلى حملات تجسس سيبراني ممنهجة تستهدف قطاعات متنوعة. تتعدد أشكال الهجمات، وتتسارع وتيرتها، مما يؤكد أهمية اليقظة المستمرة والتحسين المتواصل للإجراءات الأمنية.
تُظهر التطورات الأخيرة استغلالًا فعليًا لثغرة حرجة في أنظمة Cisco SD-WAN، مما يشير إلى مخاطر جسيمة قد تواجه البنية التحتية للشبكات. وفي الوقت نفسه، تبرز اتهامات ضد شركات ذكاء اصطناعي صينية باللجوء إلى تقنيات “تقطير” المعلومات، مما يعكس التنافس الشديد والمخاوف المتزايدة حول أخلاقيات الذكاء الاصطناعي ومصادر تدريبه.
⚡ ثغرة الأسبوع: استغلال ثغرة Cisco SD-WAN يوم الصفر
تم الإبلاغ عن استغلال ثغرة أمنية خطيرة ذات تصنيف “شدة قصوى” في Cisco Catalyst SD-WAN Controller و Catalyst SD-WAN Manager. هذه الثغرة، التي تحمل الرقم CVE-2026-20127، تسمح لمهاجم بعيد وغير مصادق عليه بتجاوز إجراءات المصادقة والحصول على امتيازات إدارية بالنظام. وقد كشفت شركة Cisco عن نشاط خبيث مرتبط بهذه الثغرة يعود إلى عام 2023، مشيرة إلى تورط جهة فاعلة سيبرانية متطورة للغاية.
تُعد هذه الثغرة ذات خطورة بالغة نظرًا لطبيعتها “يوم الصفر”، مما يعني عدم وجود تصحيحات متاحة فور اكتشافها. قامت Cisco بتتبع هذا الاستغلال والأنشطة اللاحقة تحت اسم UAT-8616، مؤكدة على مدى تعقيد الجهة المهاجمة.
🔔 أبرز الأخبار
اتهام شركات صينية بمحاولات “تقطير” نماذج الذكاء الاصطناعي
اتهمت شركة Anthropic ثلاث شركات صينية متخصصة في الذكاء الاصطناعي باللجوء إلى حملات “تقطير” منظمة على نطاق صناعي لسرقة المعلومات من نماذجها. جاء ذلك بعد شكاوى مشابهة تقدمت بها شركة OpenAI.
وتقول Anthropic إن شركات DeepSeek و Moonshot AI و MiniMax قامت بإغراق نماذجها بكم هائل من الأوامر المصممة خصيصًا لاستخلاص إجابات يمكنها استخدامها لتدريب نماذجها الخاصة. هذا التطور يعيد النقاش حول مصادر بيانات التدريب وتقنيات التقطير، لا سيما مع الجدل الدائر حول استخدام مواد محمية بحقوق النشر دون إذن.
Google تعطل حملة تجسس سيبراني تستخدم تقنية GRIDTIDE
أعلنت Google عن نجاحها، بالتعاون مع شركاء في القطاع، في تعطيل البنية التحتية لمجموعة تجسس سيبراني يشتبه في تبعيتها للصين، والتي حملت اسم UNC2814. اخترقت هذه المجموعة ما لا يقل عن 53 منظمة في 42 دولة.
تُعرف UNC2814 بأنها جهة فاعلة ماهرة ومرنة، وتاريخها يمتد لاستهداف الحكومات والاتصالات الدولية. تتميز هذه المجموعة باستخدام باب خلفي جديد يُدعى GRIDTIDE، والذي يستغل واجهة برمجة تطبيقات Google Sheets لإخفاء حركة مرور القيادة والتحكم (C2)، وتسهيل نقل البيانات وأوامر shell.
تعرض مفاتيح Google Cloud API للوصول إلى بيانات Gemini
كشفت أبحاث جديدة عن إمكانية إساءة استخدام مفاتيح Google Cloud API، والتي تُستخدم عادةً لتحديد المشاريع للأغراض المحاسبية، للمصادقة على نقاط النهاية الحساسة لـ Gemini والوصول إلى البيانات الخاصة. تحدث المشكلة عندما يقوم المستخدمون بتمكين Gemini API على مشروع Google Cloud، مما يمنح مفاتيح API الموجودة في هذا المشروع، بما في ذلك تلك التي يمكن الوصول إليها عبر رمز JavaScript الخاص بالموقع، وصولاً سريًا إلى نقاط نهاية Gemini دون أي إنذار.
وفقًا لشركة Truffle Security، يمكن للمهاجم باستخدام مفتاح صالح الوصول إلى الملفات التي تم تحميلها، والبيانات المخزنة مؤقتًا، وحتى تكبد رسوم استخدام LLM. قامت Google بالفعل بسد هذه الثغرة.
حملة UAT-10027 تستهدف قطاعي التعليم والرعاية الصحية في الولايات المتحدة
تم ربط نشاط تهديد جديد وغير موثق، يُعرف باسم UAT-10027، بحملة خبيثة مستمرة تستهدف قطاعي التعليم والرعاية الصحية في الولايات المتحدة منذ ديسمبر 2025 على الأقل. الهدف النهائي لهذه الهجمات هو نشر باب خلفي جديد لم يُرَ من قبل، يحمل الاسم الرمزي Dohdoor.
يستخدم Dohdoor تقنية DNS-over-HTTPS (DoH) للاتصالات في القيادة والتحكم (C2)، ولديه القدرة على تنزيل وتنفيذ ملفات ثنائية أخرى عن بعد. لم تُظهر التحليلات أي دليل على تسريب بيانات حتى الآن، ولكن يُعتقد أن دوافع UAT-10027 مالية في المقام الأول.
ثغرات في Claude Code تسمح بتنفيذ تعليمات برمجية عن بعد وسرقة مفاتيح API
أدت الثغرات الأمنية في Anthropic Claude Code إلى إمكانية قيام المهاجمين بتنفيذ تعليمات برمجية عن بعد على أجهزة المستخدمين وسرقة مفاتيح API عن طريق حقن تكوينات خبيثة في المستودعات. تستهدف هذه العملية المطورين الذين ينسخون ويفتحون مشاريع غير موثوقة. تم معالجة هذه الثغرات بين سبتمبر 2025 ويناير 2026.
وصفت شركة Check Point هذه الثغرات بأنها تخلق مخاطر كبيرة على سلسلة التوريد، حيث يمكن أن يؤدي التزام خبيث واحد إلى اختراق أي مطور يعمل مع المستودع المتأثر. تدل هذه الحوادث على أن دمج الذكاء الاصطناعي في سير عمل التطوير، رغم فوائده الإنتاجية، يفتح أيضًا أسطح هجوم جديدة.
️🔥 الثغرات الشائعة
تظهر ثغرات جديدة يوميًا، ويتفاعل المهاجمون بسرعة. يساعدك المراجعة والتصحيح المبكر في الحفاظ على مرونة أنظمتك.
فيما يلي أهم الثغرات الحرجة لهذا الأسبوع التي يجب التحقق منها أولاً: CVE-2025-40538، CVE-2025-40539، CVE-2025-40540، CVE-2025-40541 (SolarWinds Serv-U)، CVE-2026-20127، CVE-2026-20122، CVE-2026-20126، CVE-2026-20128 (Cisco Catalyst SD-WAN)، CVE-2026-25755 (jsPDF)، CVE-2025-12543 (HPE Telco Service Activator)، CVE-2026-22719، CVE-2026-22720، CVE-2026-22721 (Broadcom VMware Aria Operations)، CVE-2026-3061، CVE-2026-3062، CVE-2026-3063 (Google Chrome)، CVE-2025-10010 (CryptoPro Secure Disk for BitLocker)، CVE-2025-13942، CVE-2025-13943، CVE-2026-1459 (Zyxel)، CVE-2025-71210، CVE-2025-71211 (Trend Micro Apex One)، CVE-2026-0542 (ServiceNow AI Platform)، CVE-2026-24061 (telnetd)، CVE-2026-21902 (Juniper Networks Junos OS)، CVE-2025-29631، CVE-2025-1242 (Gardyn Home Kit)، CVE-2025-15576 (FreeBSD)، CVE-2026-26365 (Akamai)، CVE-2026-27739 (Angular)، و SVE-2025-50109 (Samsung Tizen OS).
🎥 ندوات عبر الإنترنت حول الأمن السيبراني
- أتمتة اختبارات الأمان الواقعية لإثبات ما يعمل بالفعل: تشرح هذه الندوة لماذا لم تعد تقييمات الأمان لمرة واحدة كافية، وتعرض كيف يمكن للمنظمات أتمتة اختبارات مستمرة وواقعية للدفاعات الخاصة بها للكشف عن الثغرات وقياس مدى فعالية الضوابط ضد تقنيات الهجوم الفعلية.
- عندما تصبح وكلاء الذكاء الاصطناعي سطح الهجوم الجديد الخاص بك: توضح هذه الندوة أنه مع تحول أدوات الذكاء الاصطناعي إلى وكلاء مستقلين يمكنهم تصفح الويب، واستدعاء واجهات برمجة التطبيقات، والوصول إلى الأنظمة الداخلية، يمتد خطر الأمان إلى ما وراء النموذج ليشمل البيئة بأكملها التي تعمل فيها، مما يتطلب ضوابط وصول أكثر صرامة، ومراقبة، وضمانات على مستوى النظام بدلاً من مجرد اختبار النموذج.
- الكمّ قادم: الاستعداد لنهاية التشفير الحالي: تشرح هذه الندوة كيف يمكن لأجهزة الكمبيوتر الكمومية المستقبلية كسر التشفير الحالي، ولماذا تعد هجمات “احصد الآن، فك الشفرة لاحقًا” خطرًا حقيقيًا، وما هي الخطوات العملية التي يمكن للمنظمات اتخاذها الآن للبدء في الانتقال إلى التشفير ما بعد الكم.
📰 حول عالم التشفير
- UNC6384 تسقط إصدارًا جديدًا من PlugX: فصّلت شركتي IIJ-SECT و LAB52 نشاطًا جديدًا من مجموعة التجسس السيبراني الصينية UNC6384. تتوافق الهجمات مع أسلوب العمل المعروف باستخدام STATICPLUGIN، وهو أداة تنزيل موقعة رقميًا، لتوصيل إصدارات محدثة من PlugX باستخدام تحميل جانبي لـ DLL. يتم توزيع الأعباء الخبيثة عبر رسائل بريد إلكتروني تصيدية تستخدم دعوات اجتماعات أو عبر تحديثات برامج مزيفة.
- OpenAI تتخذ إجراءات ضد حسابات ChatGPT المستخدمة لأغراض ضارة: قالت OpenAI إنها قامت بإلغاء حسابات ChatGPT المستخدمة لعمليات التأثير، والتصيد الاحتيالي، وتطوير البرامج الضارة. وشمل ذلك عملية تأثير صينية محتملة استخدم فيها فرد مرتبط بإنفاذ القانون الصيني أداة الذكاء الاصطناعي لعمليات تأثير سرية ضد خصوم محليين وأجانب. كما تصرفت الشركة ضد مجموعات تقوم بجمع معلومات استخباراتية حول أشخاص أمريكيين ومواقع المباني الفيدرالية، واحتيال الرومانسية عبر الإنترنت، وعمليات تأثير روسية مستهدفة أفريقيا عن طريق إنشاء منشورات على وسائل التواصل الاجتماعي ومقالات تعليق طويلة.
- الحركة الجانبية المستحثة بالذكاء الاصطناعي: سلطت أبحاث جديدة من Orca Security الضوء على كيف يمكن للذكاء الاصطناعي أن يصبح “بعدًا ثالثًا” في عالم الحركة الجانبية، بعد الشبكة والهوية، مما يسمح للمهاجمين بتوسيع نطاق وصولهم.
- روسيا تطلق تحقيقًا مع الرئيس التنفيذي لتلجرام: أطلقت السلطات الروسية تحقيقًا جنائيًا مع مؤسس ورئيس تنفيذي تلجرام بافيل دوروف، بزعم تسهيل الأنشطة الإرهابية على المنصة.
- تطبيق صلاة مخترق يرسل رسائل استسلام: وفقًا لتقارير، استولى قراصنة مجهولون على تطبيق صلاة إيراني خلال هجوم أمريكي-إسرائيلي مشترك لإرسال رسائل تحث الجيش الإيراني على إلقاء أسلحته.
- التلفزيونات الذكية تتحول إلى أدوات لكشط المحتوى بالذكاء الاصطناعي: يقوم العديد من صانعي تطبيقات التلفزيون الذكية بنشر حزمة تطوير برامج (SDK) جديدة تحمل اسم Bright SDK، تسمح للمستخدمين برؤية إعلانات أقل، ولكنها تقوم أيضًا بتحويل التلفزيون بهدوء إلى عقدة في شبكة بروكسي عالمية تقوم بالزحف وكشط الويب.
- الكشف عن عائلات متعددة من برامج سرقة المعلومات: تم الكشف عن عائلات متعددة من برامج سرقة المعلومات (Information stealer Malware) في البرية، بما في ذلك Arkanix و CharlieKirk GRABBER.
- ترحيل مواطن تشيلي إلى الولايات المتحدة لمواجهة تهم الاحتيال المالي: تم ترحيل أليكس رودريغو فالينزويلا مونخي، وهو مواطن تشيلي يبلغ من العمر 24 عامًا، إلى الولايات المتحدة لمواجهة اتهامات تتعلق بتشغيل عملية احتيال سيبراني تورطت في الاتجار ببيانات بطاقات الدفع.
- اكتشاف بنية تحتية جديدة لـ FUNNULL: سلطت QiAnXin الضوء على بنية تحتية جديدة مرتبطة بـ FUNNULL، وهي شبكة توصيل محتوى (CDN) مقرها الفلبين وتم فرض عقوبات عليها العام الماضي.
- زيادة في عمليات المسح لأجهزة SonicWall: رصدت GreyNoise زيادة في عمليات المسح لأجهزة SonicWall قادمة من بنية تحتية لمزود بروكسي معروف.
- Google تزيل 115 تطبيقًا لأنظمة Android مرتبطة بالاحتيال الإعلاني: تضمنت عملية احتيال إعلاني جديدة تُعرف باسم Genisys اختطاف أجهزة Android لتشغيل أنشطة خبيثة في الخلفية.
- Zerobot يستغل ثغرات في n8n وأجهزة توجيه Tenda: لوحظ أن شبكة الروبوتات IoT المسماة Zerobot، والتي تستند إلى Mirai، تستغل الثغرات في منصة أتمتة الذكاء الاصطناعي n8n وأجهزة توجيه Tenda لتوسيع نطاق وصولها.
- رصد حملات ClickFix متنوعة: كشف صيادو التهديدات عن حملات ClickFix متعددة، بما في ذلك حملة أدت إلى هجوم يدوي قام بنشر برامج الفدية Termite.
- تفاصيل خطة التصيد الاحتيالي GTFire: تستغل حملة تصيد احتيالي تُعرف باسم GTFire خدمة Google Firebase لاستضافة صفحات التصيد الاحتيالي و Google Translate لإخفاء عناوين URL الخبيثة وتجاوز مرشحات البريد الإلكتروني والأمان.
- برامج الفدية C77L تستهدف روسيا: تم ربط عملية فدية تسمى C77L بما لا يقل عن 40 هجومًا على شركات روسية وبيلاروسية منذ مارس 2025.
- برنامج RESURGE الضار يمكن أن يظل خاملاً على الأجهزة المصابة من Ivanti: أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تنبيهًا محدثًا لـ RESURGE، وهو برمجية خبيثة تم نشرها كجزء من نشاط الاستغلال الذي يستهدف خلل أمني تم تصحيحه الآن في أجهزة Ivanti Connect Secure (ICS).
- اعتقال 30 عضوًا من “The Com”: قامت عملية إنفاذ قانون منسقة بقيادة Europol باعتقال 30 فردًا مرتبطين بمجتمع عبر الإنترنت تحت الأرض يعرف باسم The Com.
- الحكومة البريطانية تقلل أوقات إصلاح هجمات الإنترنت بنسبة 84%: تدعي الحكومة البريطانية أنها قللت من حجم مشكلات الثغرات الحرجة بنسبة 75% وقللت أوقات إصلاح الهجمات السيبرانية بنسبة 87%.
- بولندا تفكك جماعة جريمة منظمة: قامت بولندا بتفكيك جماعة منظمة استخدمت التصيد الاحتيالي للسيطرة على حسابات فيسبوك واستخراج رموز دفع BLIK من الضحايا.
- مخترق يستغل Claude لاستهداف مواقع الحكومة المكسيكية: استغل مخترق مجهول برنامج الدردشة الآلي Claude من Anthropic لتنفيذ هجمات ضد وكالات حكومية مكسيكية، وفقًا لتقرير صادر عن Gambit Security.
🔧 أدوات الأمن السيبراني
- Titus: أداة مفتوحة المصدر من Praetorian تقوم بفحص التعليمات البرمجية والملفات والمستودعات وحركة المرور للعثور على أسرار مسربة.
- Sirius: منصة فحص ثغرات مفتوحة المصدر على GitHub تعمل على أتمتة فحوصات الأمان للشبكات والأنظمة.
إخلاء المسؤولية: يتم توفير هذه الأدوات لأغراض البحث والتعليم فقط. لم يتم تدقيقها أمنيًا وقد تسبب ضررًا إذا تم إساءة استخدامها.
الخاتمة
عند النظر إليها بشكل فردي، تبدو هذه الحوادث معزولة. ولكن عند النظر إليها مجتمعة، فإنها توضح كيف يتدفق الخطر الآن عبر الأنظمة المتصلة التي تعتمد عليها المؤسسات يوميًا. البنية التحتية، ومنصات الذكاء الاصطناعي، والخدمات السحابية، والأدوات الخارجية متشابكة بعمق، وغالبًا ما يؤدي الإجهاد في منطقة ما إلى كشف منطقة أخرى.
الدرس المستفاد هو الوضوح، وليس الإنذار. يعمل الخصوم على تحسين الكفاءة، وتوسيع نطاق الوصول، والعمل داخل العمليات الطبيعية. يساعد استعراض كل تقرير في رسم خريطة لهذا التحول وفهم كيفية تغير البيئة الأوسع.