كشفت تقارير أمنية حديثة عن تطور ملحوظ في أساليب عامل التهديد المعروف باسم “ShadowSyndicate”، حيث تبنى المجموعة تقنية جديدة في إدارة بنيتها التحتية تعتمد على تدوير مفاتيح SSH عبر خوادم متعددة، مما يعقّد عملية تتبع أنشطتها بشكل كبير.
يُعرف “ShadowSyndicate” بأنه كيان ذو نشاط خبيث تم تحديده لأول مرة في عام 2022، وقد اكتسب شهرة في البداية لاستخدامه بصمة SSH واحدة عبر العديد من الخوادم الضارة، مما خلق نمطاً قابلاً للتتبع بالنسبة للباحثين الأمنيين. هذا التغيير الجديد يمثل نقلة نوعية في كيفية إدارة مجرمي الإنترنت لبنية الهجمات.
تطور أساليب ShadowSyndicate في إدارة البنية التحتية
كانت بصمة SSH الأصلية التي استخدمها “ShadowSyndicate” هي 1ca4cbac895fc3bd12417b77fc6ed31d. وقد سمحت هذه البصمة الموحدة للباحثين بربط العديد من الخوادم الضارة بهذا الفريق.
ومع ذلك، فقد رصد محللو Group-IB بصمتي SSH إضافيتين، وهما ddd9ca54c1309cde578062cba965571e و 55c658703c07d6344e325ea26cf96c3b. وتُظهر هاتان البصمتان أنماط سلوك مشابهة للبصمة الأصلية، مما يشير إلى استراتيجية جديدة للمجموعة.
وقد جاء اكتشاف هذه البصمات الجديدة بعد أن أبلغ باحثون من Intrinsec عن بصمة SSH أخرى في عام 2025، مما حفز على إجراء المزيد من التحقيقات في تكتيكات عامل التهديد المتطورة.
الربط مع مجموعات برامج الفدية
تكشف البنية التحتية المكتشفة حديثاً عن ارتباطات بما لا يقل عن 20 خادماً تعمل كمراكز قيادة وسيطرة لأطر هجوم مختلفة. وتُظهر التحليلات أن “ShadowSyndicate” يواصل استخدام مجموعات أدوات مألوفة له، بما في ذلك Cobalt Strike، و MetaSploit، و Havoc، و Mythic، و Sliver، و AsyncRAT، و MeshAgent، و Brute Ratel.
تسمح أطر العمل هذه للمجموعة بالحفاظ على وصول مستمر إلى الشبكات المخترقة ونشر حمولات برامج الفدية. وتُشكل كل بصمة SSH مكتشفة مجموعات متميزة من الخوادم التي تشترك في خصائص متشابهة.
من جهة أخرى، كشف الفحص الإضافي لعناوين IP ذات الصلة عن ارتباطات بمجموعات متعددة من برامج الفدية، بما في ذلك Cl0p، و ALPHV/BlackCat، و Black Basta، و Ryuk، و Malsmoke. هذا النمط يوحي بأن “ShadowSyndicate” قد يعمل إما كوسيط للوصول الأولي (Initial Access Broker) أو يقدم خدمات استضافة مقاومة للإغلاق (bulletproof hosting) لمجرمي الإنترنت.
ويُظهر عامل التهديد تفضيلاً ثابتاً لمقدمي خدمات استضافة محددين عبر جميع المجموعات المكتشفة. وعلى الرغم من أن هذه الخوادم لها مالكون مختلفون وتنشأ من مناطق جغرافية متنوعة، فإن التوافق مع أرقام الأنظمة المستقلة المألوفة يخلق أنماطاً قابلة للتنبؤ، مما يفيد في ربط البنية التحتية والكشف الاستباقي.
توصيات أمنية
ينصح الخبراء المنظمات بدمج مؤشرات الاختراق (Indicators of Compromise) في منصات استخبارات التهديدات الخاصة بها، ومراقبة الأنشطة المتعلقة بعناوين IP الموجودة ضمن الأنظمة المستقلة المستخدمة بشكل متكرر. يجب على الفرق الأمنية الانتباه إلى تكرار فشل المصادقة متعددة العوامل، وارتفاع أحجام محاولات تسجيل الدخول، ومحاولات تسجيل الدخول السريعة باستخدام بيانات اعتماد صالحة.
إضافة إلى ذلك، فإن مراقبة مواقع تسجيل الدخول غير العادية وعدم تطابق محاولات تسجيل الدخول مع مواقع الأجهزة التي تتلقى مطالبات المصادقة يمكن أن تساعد في اكتشاف محاولات الاختراق. وتُعد اليقظة المستمرة ضرورية في مواجهة التكتيكات المتطورة باستمرار لجهات التهديد السيبراني.