في أواخر ديسمبر 2025، رُصدت حملة تصيّد موجهة ضد كيانات حكومية في أفغانستان عُرفت باسم Operation Nomad Leopard، حيث استُخدمت مستندات إدارية مزيفة كطُعم لتوزيع باب خلفي باسم FALSECUB عبر ملف ISO مستضاف على GitHub. الملف احتوى على ثلاثة عناصر: ملف LNK يعرض مستند PDF ويُنفذ الحمولة الخبيثة، ومستند PDF يحمل طابعاً حكومياً لإقناع الضحية، إضافة إلى ملف تنفيذي بلغة C++ قادر على استقبال أوامر من خادم خارجي. لم تُنسب الحملة إلى دولة أو مجموعة معروفة، لكن خبراء الأمن وصفوها بأنها من تنفيذ جهة إقليمية ذات مستوى متوسط من الاحتراف.
في المملكة المتحدة، حذرت السلطات من استمرار نشاط مجموعات هاكتيفست مرتبطة بروسيا مثل NoName057(16)، والتي تستهدف البنية التحتية والخدمات الحكومية بهجمات حجب الخدمة (DoS). ورغم أن هذه الهجمات تُعتبر منخفضة التعقيد، إلا أن نجاحها يؤدي إلى تعطيل أنظمة كاملة وخسائر مالية وتشغيلية كبيرة.
استغلال منصات وخدمات تقنية
كشفت منصة VirusTotal عن حملة سرقة بيانات تعتمد على تقنية DLL Side-Loading، حيث يتم خداع النظام لتحميل مكتبة DLL خبيثة باسم CoreMessaging.dll عبر ملفات ZIP تتظاهر بأنها مثبتات لتطبيقات شرعية مثل Malwarebytes. وفي سياق آخر، أطلق باحثون أداة BOF جديدة للتفاعل مع Windows Subsystem for Linux (WSL) دون تشغيل عمليات مرئية، ما يتيح للمهاجمين تنفيذ أوامر خفية على توزيعات WSL المثبتة.
كما رُصدت حملة إعلانات خبيثة تستغل مواقع تحويل الملفات مثل Easy2Convert وPowerDoc لتثبيت RATs تمنح المهاجمين وصولاً دائماً إلى الأجهزة. هذه الأدوات تعمل بشكل طبيعي في الواجهة الأمامية، لكنها في الخلفية تُنشئ مهام مجدولة لتثبيت حمولة خبيثة مكتوبة بـ.NET تتواصل مع خادم خارجي وتنفذ أوامر إضافية.
نشاط واسع للبنية التحتية الخبيثة
أعلنت Let’s Encrypt عن إتاحة شهادات TLS قصيرة الأجل بعمر 6 أيام كخيار اختياري، وهو ما يعزز الأمان لكنه يتطلب أتمتة كاملة لعملية التجديد. في المقابل، حذرت منصة Zendesk من استغلال أنظمة الدعم غير المؤمنة لإرسال رسائل سبام عبر ما يُعرف بـ Relay Spam، حيث يتم إنشاء تذاكر دعم وهمية تولّد رسائل تأكيد تبدو شرعية.
على مستوى البنية التحتية، كشف تقرير GreyNoise عن نشاط واسع لمسح إضافات WordPress، حيث استُهدف أكثر من 706 إضافة عبر 40 ألف محاولة تعداد بين أكتوبر 2025 ويناير 2026. أما مشروع Rust فقد أضاف تبويباً أمنياً جديداً في Crates.io يعرض الثغرات المعروفة في المكتبات، بينما أظهر تحليل من Hunt.io وجود أكثر من 18 ألف خادم C2 نشط في الصين، نصفها مرتبط ببوت نت Mozi، والبقية تستخدم أدوات مثل Cobalt Strike وMirai.
قضايا جنائية واحتيال مالي
في السويد، تم اعتقال مستشار عسكري سابق للاشتباه في تمرير معلومات إلى الاستخبارات الروسية منذ 2022. وفي الولايات المتحدة، أُدين خمسة مواطنين فنزويليين بتنفيذ هجمات ATM Jackpotting باستخدام برمجيات خبيثة لسحب الأموال من أجهزة الصراف الآلي.
أما في مجال العملات الرقمية، فقد قُدرت خسائر الاحتيال في 2025 بأكثر من 17 مليار دولار، مع اعتماد واسع على تقنيات الذكاء الاصطناعي والتزييف العميق لتضليل الضحايا. كما رُصدت حملات تصيّد في بيرو عبر عروض قروض وهمية تستهدف بيانات مصرفية حساسة، إضافة إلى مثبتات مزيفة لبرنامج Notepad++ تُستخدم لتوزيع Proxyware وبيع النطاق الترددي للمستخدمين دون علمهم.
