كشف باحثون في أمن المعلومات عن حملات متنامية تستغل ثغرات أمنية معروفة وتستهدف خوادم Redis، ما يفتح المجال أمام أنشطة خبيثة متعددة تشمل تحويل الأجهزة المخترقة إلى شبكات بوت نت للأجهزة الذكية (IoT botnets)، واستخدامها كوكلاء سكنيين (residential proxies)، أو تسخيرها للتعدين غير المشروع للعملات الرقمية.
من أبرز هذه الهجمات استغلال الثغرة الحرجة CVE-2024-36401 (بمعدل خطورة 9.8 وفق CVSS) في أداة OSGeo GeoServer GeoTools، والتي جرى تسليحها في هجمات سيبرانية منذ أواخر العام الماضي.
وبحسب تقرير وحدة 42 التابعة لشركة Palo Alto Networks، استخدم مجرمو الإنترنت هذه الثغرة لنشر أدوات تطوير شرعية أو تطبيقات معدلة تهدف إلى تحقيق دخل خفي عبر مشاركة الشبكة أو الوكلاء السكنيين، في تكتيك يوصف بالتمويه البارع لأنه يحاكي استراتيجيات ربح مشروعة يستخدمها مطورو التطبيقات.
آلية الاستغلال الخفي
أوضح الباحثون أن المهاجمين بدأوا بفحص نسخ GeoServer المكشوفة على الإنترنت منذ مارس 2025، ثم أسقطوا ملفات تنفيذية مخصصة من خوادم يتحكمون بها. وتتميز هذه البرمجيات بأنها مكتوبة بلغة Dart وتستهلك موارد محدودة، بينما تستغل عرض النطاق الترددي (bandwidth) للضحايا بصمت من خلال خدمات ربحية شرعية.
التطبيقات المصابة تعمل في الخلفية دون إثارة الانتباه، وتشارك الإنترنت الخاص بالضحايا لتحقيق دخل للمهاجمين، وهو ما يعكس انتقال الجريمة السيبرانية من الاستغلال العدائي إلى الربح المستتر طويل الأمد.
شبكة PolarEdge: بنية تحتية لبوت نت متطور
في موازاة ذلك، أعلنت شركة Censys عن تتبعها لبنية تحتية تدعم شبكة PolarEdge، وهي بوت نت واسع النطاق يضم جدران حماية مؤسسية وأجهزة منزلية مثل أجهزة التوجيه (Routers) والكاميرات ووسائل الاتصال عبر بروتوكول VoIP.
تستغل PolarEdge ثغرات معروفة لزرع باب خلفي مشفر يعتمد على Mbed TLS يتيح إدارة الأوامر والاتصالات وتحديثات البنية بشكل متخفي، حيث يتم تشغيله على منافذ غير قياسية لتفادي الاكتشاف.
تشير البيانات إلى أن الحملة بدأت منذ يونيو 2023، ووصلت حتى أغسطس 2025 إلى نحو 40 ألف جهاز نشط، أغلبها في كوريا الجنوبية والولايات المتحدة وهونغ كونغ والسويد وكندا. وتتشابه خصائصها مع ما يُعرف بشبكات ORB (Operational Relay Box) التي تُستخدم كعُقد وسيطة لتمرير الهجمات دون التأثير على الوظائف الأساسية للأجهزة.
برمجية Gayfemboy: تطور جديد لسلالة Mirai
إلى جانب ذلك، رصدت شركة Fortinet برمجية خبيثة جديدة تحمل اسم gayfemboy، تُعتبر نسخة متطورة من عائلة Mirai. وتستهدف هذه الحملة دولًا متعددة منها البرازيل والمكسيك والولايات المتحدة وألمانيا وفرنسا وسويسرا وإسرائيل وفيتنام، وتضرب قطاعات متنوعة تشمل الصناعة والتقنية والاتصالات والإعلام.
البرمجية تدعم هجمات DDoS باستخدام بروتوكولات UDP وTCP وICMP، كما تتيح الوصول الخلفي للأوامر من خوادم المهاجمين. وهي قادرة على العمل على معمارية نظم متعددة مثل ARM وMIPS وIntel، وتتميز بخصائص إخفاء وتعقيد تجعلها أكثر قدرة على التملص من أنظمة الكشف التقليدية.
استهداف Redis للتعدين الخفي للعملات الرقمية
وفي سياق متصل، كشفت شركة CloudSEK عن حملة جديدة يقودها فاعل تهديد يُعرف بـ TA-NATALSTATUS تستهدف خوادم Redis المكشوفة على المنفذ 6379 لتنصيب برمجيات تعدين خفية.
تبدأ الهجمة بفحص الخوادم غير المؤمنة ثم استخدام أوامر مشروعة مثل CONFIG وSET وSAVE لزرع مهام مجدولة (Cron Jobs) تُثبّت سكربتات خبيثة تقوم بتعطيل آليات الحماية، وإغلاق المنافذ أمام منافسين محتملين، وحذف العمليات التابعة لبرمجيات تعدين أخرى.
كما تعمل الحملة على تثبيت أدوات مسح واسعة مثل masscan وpnscan للبحث عن خوادم Redis أخرى قابلة للاختراق، إضافة إلى استخدام تقنيات متقدمة للتخفي عبر إعادة تسمية ملفات النظام مثل ps وtop لإخفاء العمليات الضارة، وإعادة تسمية أدوات curl وwget لتجاوز أنظمة المراقبة الأمنية.
