كشف باحثون في الأمن السيبراني عن برمجية خبيثة جديدة تُعرف باسم KadNap تستهدف بشكل رئيسي أجهزة التوجيه من نوع Asus، بهدف تجنيدها ضمن شبكة بروكسي خفية تُستخدم لتمرير حركة مرور ضارة. منذ اكتشافها في أغسطس 2025، توسعت البرمجية لتصيب أكثر من 14,000 جهاز، حيث تتركز أكثر من 60% من الإصابات في الولايات المتحدة، مع انتشار أقل في دول مثل تايوان، هونغ كونغ، روسيا، المملكة المتحدة، أستراليا، البرازيل، فرنسا، إيطاليا، وإسبانيا.
آلية عمل KadNap
تعتمد البرمجية على نسخة معدلة من بروتوكول Kademlia Distributed Hash Table (DHT)، الذي يُستخدم لإخفاء عناوين IP الخاصة بالبنية التحتية ضمن نظام نظير-إلى-نظير، مما يجعل اكتشافها وتعطيلها أكثر صعوبة.
بمجرد إصابة الجهاز، يتم تنزيل سكربت aic.sh من خادم التحكم والسيطرة (C2) ليقوم بإنشاء مهمة مجدولة (cron job) تستدعي السكربت كل ساعة، وتعيد تسميته إلى “.asusrouter”، ثم تنفذه. بعد ذلك يتم تنزيل ملف ELF خبيث يُعاد تسميته إلى “kad” ويُشغّل لتثبيت البرمجية.
شبكة بروكسي Doppelgänger
الأجهزة المصابة تُستخدم لاحقاً عبر خدمة بروكسي تُعرف باسم Doppelgänger (doppelganger[.]shop)، والتي يُعتقد أنها إعادة تسمية لخدمة Faceless المرتبطة ببرمجية TheMoon. الخدمة تدّعي توفير بروكسيات مقيمة في أكثر من 50 دولة مع “مجهولية كاملة”، وقد أُطلقت في منتصف 2025.
التحقيقات أظهرت أن الأجهزة المصابة لا تتواصل مع جميع خوادم C2 بنفس الطريقة، ما يشير إلى أن البنية التحتية تُصنف بحسب نوع الجهاز وطرازه.
خصائص إضافية للبرمجية
- إغلاق المنفذ 22 (SSH) على الأجهزة المصابة لتعطيل الوصول الإداري.
- الاتصال بخادم NTP للحصول على الوقت الحالي وتخزينه مع مدة تشغيل الجهاز، لاستخدامه في إنشاء تجزئة لتحديد نظراء آخرين في الشبكة.
- القدرة على العمل على معالجات ARM وMIPS.
توصيات للمستخدمين
ينصح الخبراء مستخدمي أجهزة التوجيه المنزلية (SOHO routers) بـ:
- تحديث الأجهزة بشكل دوري.
- إعادة تشغيلها بانتظام.
- تغيير كلمات المرور الافتراضية.
- تأمين واجهات الإدارة.
- استبدال الأجهزة التي وصلت إلى نهاية عمرها الافتراضي ولم تعد مدعومة.
تهديد جديد: ClipXDaemon
إلى جانب KadNap، كشفت شركة Cyble عن تهديد جديد يستهدف مستخدمي العملات الرقمية على أنظمة Linux، يُعرف باسم ClipXDaemon. هذه البرمجية تعمل كـ”مقص” خبيث يراقب الحافظة كل 200 مللي ثانية ويستبدل عناوين محافظ العملات المشفرة بعناوين يسيطر عليها المهاجم.
يستهدف ClipXDaemon عملات مثل Bitcoin وEthereum وLitecoin وMonero وTron وDogecoin وRipple وTON، ويتميز بأنه يعمل بالكامل في الذاكرة دون الحاجة إلى خوادم تحكم، مما يجعله أكثر خفاءً وصعوبة في الاكتشاف.
