كشف خبراء الأمن السيبراني عن خدمة تجريب أمن التطبيقات خارج النطاق (OAST) خاصة، تعمل عبر البنية التحتية لشبكة جوجل السحابية. تتميز هذه العملية الغامضة بنشاطها المنظم الذي يستهدف مناطق محددة، مستغلةً أكثر من 200 ثغرة أمنية مختلفة، مما يمثل تطوراً في أساليب التهديدات الإلكترونية.
خلال شهري أكتوبر ونوفمبر 2025، رصد الباحثون ما يقارب 1400 محاولة استغلال، شملت أكثر من 200 معرف ضعف مشترك (CVE). على عكس معظم المهاجمين الذين يعتمدون على خدمات OAST العامة، يدير هذا الطرف المهاجم نطاقه الخاص، detectores-testing.com، وهو ما لفت انتباه الباحثين.
خدمة OAST خاصة تستغل 200 ثغرة باستخدام جوجل السحابي
لاحظ باحثو شركة VulnCheck الأمنية هذه الحملة بعد رصدهم لأنماط غير اعتيادية في حركة مرور بيانات الاستخبارات الاستشعارية الخاصة بهم. يتميز هذا النشاط باستخدام قوالب فحص Nuclei القياسية مع تحميلات إضافية مخصصة لزيادة نطاق الوصول.
ما يجعل هذه العملية لافتة للانتباه هو تركيزها الكامل على الأنظمة المنتشرة في البرازيل، مما يشير إلى هدف إقليمي واضح. ورغم أنه تم رصد عناوينIP للمهاجم نفسه في صربيا وتركيا، إلا أن بيانات VulnCheck أظهرت تركيز النشاط على الأهداف البرازيلية حصراً.
تشمل البنية التحتية لهذه العملية عناوين IP متعددة تابعة لجوجل السحابي، حيث تم استخدام ستة عناوين كأدوات فحص للاستغلال، وعنوان واحد كمضيف لخدمة OAST. يوفر استخدام جوجل السحابي مزايا عملية للمهاجمين، حيث نادراً ما يتم حظر خدمات مقدمي السحابة الأمريكيين الكبار، كما يندمج الازدحام في شبكات جوجل بسهولة مع حركة المرور الخلفية العادية.
الآلية التقنية لتنفيذ الاستغلال
تعمل هذه العملية منذ نوفمبر 2024 على الأقل، مما يدل على جهد مستمر طويل الأمد بدلاً من مجرد عمليات فحص انتهازية سريعة. كشفت أدلة من دليل مفتوح على المنفذ 9000 عن ملف Java معدل يدعى TouchFile.class، وهو ملف تم توثيقه في الأصل كجزء من استغلال Fastjson 1.2.47.
قام المهاجمون بتوسيع النسخة الأساسية لتتمكن من استقبال أوامر وطلبات HTTP مخصصة عبر المعاملات (parameters)، مما يوضح أنهم يقومون بتعديل أدوات الاستغلال المتاحة للجمهور بدلاً من استخدامها كما هي. يوضح الكود المفكك أنه إذا لم يتم تقديم أي معاملات، فإنه ينفذ أمراً افتراضياً، ولكن عند وجود معاملات cmd أو http، فإنه ينفذ تلك الأوامر أو يقوم بطلبات HTTP خارجية بدلاً من ذلك.
يستخدم المهاجمون مزيجاً من قوالب Nuclei الحديثة والقديمة لاستكشاف الثغرات. أحد الأمثلة على ذلك هو قالب grafana-file-read.yaml القديم، والذي تم إزالته من مستودع قوالب Nuclei الرسمي في أوائل أكتوبر 2025. يشير العثور على هذا القالب القديم قيد الاستخدام النشط إلى أن المهاجمين يستخدمون إما أدوات فحص تعتمد على Nuclei من جهات خارجية، أو ببساطة لم يقوموا بتحديث أدوات الفحص الخاصة بهم.
تتبع حمولات الاستغلال نمطاً قياسياً حيث تؤدي الثغرة الناجحة إلى قيام النظام المخترق بإجراء طلبات HTTP مرة أخرى إلى نطاقات OAST الفرعية التي يتحكم فيها المهاجم. على سبيل المثال، في محاولة ضد CVE-2025-4428 التي تؤثر على Ivanti Endpoint Manager Mobile، تجبر الحمولة النظام الضحية على الاتصال بـ d4bqsd6e47mo47d93lpgq55d3j111y6em.i-sh.detectors-testing.com.
تسمح آلية الاستجابة هذه للمهاجمين بالتحقق من الأنظمة الضعيفة دون الحاجة إلى وصول مباشر، مما يجعل عملية الكشف أكثر صعوبة على المدافعين. يقدم مضيف OAST، الموجود على العنوان 34.136.22.26، خدمات Interactsh باستمرار عبر المنافذ 80 و 443 و 389، مما يؤكد دوره كنقطة تحكم وأوامر مخصصة لجمع ردود الاستغلال من الأنظمة المخترقة.