كشفت تقارير أمنية عن وجود سوق خلفي جديد للروابط (Backlink Marketplace) يديره مجموعة تطلق على نفسها اسم Haxor، وهو مصطلح عامي يشير إلى “الهاكرز”. هذه المجموعة أنشأت منصتها تحت اسم HxSEO أو HaxorSEO، وتعمل عبر قنوات Telegram وWhatsApp لتقديم خدماتها للمجرمين الإلكترونيين. الفكرة تقوم على بيع روابط خلفية (Backlinks) يتم إدراجها في مواقع شرعية مخترقة، ما يمنح الصفحات الخبيثة دفعة قوية في ترتيب نتائج البحث ويجعلها أكثر إقناعاً للمستخدمين.
استغلال مواقع قديمة وموثوقة
المواقع المستهدفة عادةً ما تكون قديمة، يتراوح عمرها بين 15 و20 عاماً، وتحمل ما يُعرف بـ “درجة الثقة” (Trust Score)، وهي مؤشر على قوة الموقع في تحسين ترتيب الصفحات المرتبطة به. كل موقع يتم اختراقه بزرع Web Shell يتيح للمهاجمين رفع روابط خبيثة، ليتم استخدامها لاحقاً في دعم صفحات التصيّد أو المواقع التي تنشر برمجيات ضارة. بهذه الطريقة، يصبح من السهل على المهاجمين دفع صفحاتهم إلى مقدمة نتائج البحث، متجاوزين المواقع الشرعية.
استهداف ووردبريس والبحث عن كلمات حساسة
تركز المجموعة على استغلال ثغرات إضافات WordPress ومكونات PHP الضعيفة، وهي نقاط ضعف شائعة في ملايين المواقع حول العالم. العملية لا تكلف سوى 6 دولارات للرابط الواحد، ما يجعلها في متناول العديد من المجرمين. وعندما يبحث المستخدمون عن كلمات مفتاحية حساسة مثل “تسجيل الدخول البنكي”، تظهر الصفحات الخبيثة المدعومة بروابط HxSEO في مقدمة النتائج، متقدمة على المواقع الرسمية للبنوك، مما يزيد احتمالية وقوع الضحايا في فخ التصيّد.
أدوات خبيثة وتقنيات SEO غير أخلاقية
بحسب شركة الأمن السيبراني Fortra، فإن ما يميز HxSEO هو تركيزها على تقنيات تحسين محركات البحث غير الأخلاقية، حيث تقدم خدمة كاملة لدعم حملات التصيّد عبر تعزيز مصداقية الصفحات الخبيثة. المجموعة تستخدم مجموعة من الأدوات الخبيثة إلى جانب تقنيات SEO Poisoning، وهي أساليب تهدف إلى تسميم نتائج البحث وإخفاء المواقع الشرعية خلف صفحات مزيفة. هذه الاستراتيجية تجعل من الصعب على المستخدمين التمييز بين الصفحات الآمنة والخبيثة، وتزيد من احتمالية سرقة بيانات الدخول أو تثبيت برمجيات ضارة على أجهزتهم.
