كشف خبراء الأمن السيبراني عن عودة نشاط جماعة Funnull، التي سبق أن فرضت عليها الولايات المتحدة عقوبات، باستخدام أدوات هجومية جديدة تُعرف باسم RingH23. تهدف هذه الأدوات إلى اختراق أعداد كبيرة من خوادم شبكات توصيل المحتوى (CDN) وتسميم نظام إدارة المحتوى MacCMS، مما يؤدي إلى إعادة توجيه ملايين المستخدمين إلى مواقع إلكترونية غير قانونية.
يمثل هذا التطور تصعيداً ملحوظاً في قدرات جماعة Funnull، حيث تجاوزت مجرد اختطاف خدمات CDN المشروعة إلى بناء ونشر إطار عمل هجومي متكامل يعتمد على خوادم خاصة بها.
عودة Funnull بأدوات RingH23 المتطورة
تُعرف جماعة Funnull، أو Fangneng CDN، بأنها شركة مسجلة في الفلبين تدعي تقديم خدمات CDN، لكنها عملت تاريخياً كمنصة أساسية لشبكات مجرمي الإنترنت في جنوب شرق آسيا. كانت الجماعة متورطة في تسهيل عمليات احتيال واسعة النطاق ومنصات استثمار وهمية، حيث تجاوزت خسائر الضحايا 200 مليون دولار. وفي مايو 2025، فرضت وزارة الخزانة الأمريكية عقوبات رسمية على الجماعة، مما أدى إلى تعطيل عملياتها مؤقتاً.
ومع ذلك، فإن سلاسل توريد مجرمي الإنترنت تتمتع بمرونة لافتة، وقد أثبتت Funnull ذلك بإعادة بنائها لعملياتها بهدوء تحت هوية جديدة. اكتشف محللو XLab عودة نشاط الجماعة في يوليو 2025، عندما رصد نظامهم للكشف عن التهديدات السيبرانية وتحليلها (CTIA) توزيع ملف ثنائي مشبوه (ELF) من نطاق download.zhw[.]sh، وهو ملف سجل صفر اكتشافات على VirusTotal.
تفاصيل الهجوم وكيفية العمل
قامت Funnull باتباع مسارين منفصلين للإصابة. في المسار الأول، اخترقت المجموعة عقدة إدارة CDN من نوع GoEdge واستخدمت وحدة إصابة لإصدار أوامر SSH عن بعد، مما أجبر جميع العقد الطرفية المتصلة على تنزيل وتنفيذ مجموعة أدوات RingH23.
في المسار الثاني، قامت المجموعة بتسميم قناة التحديث الرسمية لـ maccms.la، وهو نظام إدارة محتوى فيديو مفتوح المصدر واسع الانتشار، لتوصيل باب خلفي خبيث بلغة PHP. عند تسجيل دخول المسؤول لأول مرة بعد التثبيت، تم جلب الحمولة الخبيثة وتنشيطها بصمت. ظل رابط التنزيل صالحاً لمدة ثلاث دقائق فقط وانتهت صلاحيته تلقائياً بعد ذلك، مما يعيق استعادة البيانات الجنائية.
تبلغ أعداد الأجهزة المخترقة المذهلة. حددت بيانات XLab أكثر من 10,748 عنوان IP مصاب، معظمها ينتمي إلى مواقع ذات صلة بالبث والأفلام. أحد النطاقات الخاطئة إملائياً الذي انتحل صفة Cloudflare (cdnjs.clondflare[.]com) سجل 340,000 زيارة عميل فريدة في يوم واحد في ذروته في أغسطس 2025. وبما أن مراقبة XLab تغطي حوالي 5% فقط من السوق المحلي، يقدر الباحثون بشكل متحفظ أن أكثر من مليون مستخدم يومياً تعرضوا لبرامج JavaScript خبيثة تعيد توجيههم نحو مواقع القمار والمحتوى غير اللائق.
داخل ترسانة RingH23: تصميم معياري مصمم للتحكم الكامل
تُعد مجموعة أدوات RingH23 إطار عمل مصمماً بعناية، ويتكون من عدة مكونات مع فصل واضح للمسؤوليات عبر كل مرحلة من سلسلة الهجوم، وهو سمة لتطويرات السوق السوداء الاحترافية، وليس الاختراق العرضي.
نقطة الدخول هي infect_init، وهو برنامج إصابة يعتمد على Golang ومغلف بـ UPX، يتطلب صلاحيات الجذر ويتحقق من رموز الجلسة ومفاتيح المجموعة مقابل خادم القيادة والتحكم (C2) قبل المتابعة. بعد المصادقة، يقوم بمسح قاعدة بيانات إدارة GoEdge لحصد بيانات اعتماد العقد الطرفية ثم ينشر المرحلة التالية — download_init — عبر كل خادم متصل عبر SSH.
يعمل download_init كمحرك مرحلي. يقوم بفحص تكوين Nginx للنظام المخترق، ويتسجل لدى خادم C2، ويسترجع عناوين URL للتنزيل لجميع الحمولات المتبقية — بما في ذلك الباب الخلفي、الجذر الخبيث、وحدة Nginx الخبيثة、 وقواعد استمرارية udev.
المكون الأكثر تقدماً من الناحية التقنية هو الباب الخلفي Badredis2s (ring04h_office_bin)، الذي يتواصل عبر أنفاق WebSocket مشفرة بـ AES-128-CBC، مع عناوين C2 التي يتم جلبها ديناميكياً من Azure Blob Storage. إذا تم حظر الاتصال الأساسي، فإنه يعود تلقائياً إلى أنفاق DNS باستخدام أداة iodine مفتوحة المصدر، مما يضمن الوصول المستمر إلى C2 بغض النظر عن قيود جدار الحماية. بجانب ذلك، تقوم وحدة Nginx Badnginx2s باعتراض حركة المرور الصادرة لحقن JavaScript خبيث، واستبدال عناوين محافظ Ethereum وTRON بصمت بعناوين يتحكم فيها المهاجم، وإدراج مقاطع فيديو مدتها 5 ثوانٍ في قوائم تشغيل البث HLS.
يُكمل الجذر الخبيث Badhide2s الصورة من خلال الكتابة في /etc/ld.so.preload لإخفاء جميع الملفات والعمليات واتصالات الشبكة الخبيثة عن الأدوات الشائعة مثل ps وls وnetstat. يمكن للمدافعين تعطيل هذا الجذر على الفور عن طريق تعيين متغير البيئة RING04H={hash}، والذي يكشف عن جميع المكونات المخفية فوراً.
توصي XLab بشدة بأن يتوقف مشغلو مواقع الويب عن استخدام maccms.la، ويقوموا بتدقيق ملفات الخادم باستخدام grep xxSJRox وgrep gzuncompress للكشف عن حقن القوالب والحمولات الخفية بلغة PHP، وإزالة active.php من دليل التطبيق لكسر دورة إعادة العدوى المستمرة.