في خطوة تصعيدية جديدة، أضاف القائمون على عصابة Qilin العاملة بنظام برمجيات الفدية كخدمة (RaaS) ميزة جديدة تهدف إلى مضاعفة الضغط على الضحايا لدفع الفدية، وذلك من خلال توفير استشارات قانونية لشركائهم (المُنفذين للهجمات)، بحسب ما كشفت عنه شركة الأمن السيبراني الإسرائيلية Cybereason.
الميزة الجديدة التي أُطلق عليها اسم “اتصل بمحامٍ” تظهر ضمن لوحة تحكم الشركاء (الـAffiliate Panel)، وتُعد جزءًا من استراتيجية توسع تهدف إلى سد الفراغ الذي خلفته عصابات فدية شهيرة مثل LockBit، وBlackCat، وRansomHub، وEverest، وBlackLock بعد انهيارها أو توقف عملياتها أو تعرضها للتخريب.
وتُعرف المجموعة أيضًا بالأسماء Gold Feather وWater Galura، وكانت قد بدأت نشاطها في أكتوبر 2022.
Qilin: نهوض جديد في عالم الفدية الرقمية
وفقًا لبيانات من مواقع التسريبات على الدارك ويب، احتلت Qilin المرتبة الأولى بعدد الضحايا في أبريل 2025 بـ72 ضحية، وفي مايو تم ربطها بـ55 هجومًا، ما يضعها بعد Safepay (72) وLuna Moth (67). ومنذ بداية 2025، تُعد Qilin ثالث أكثر مجموعة نشاطًا بعد Cl0p وAkira، حيث أعلنت مسؤوليتها عن 304 هجمات.
وأشارت شركة Qualys إلى أن Qilin تتميز عن باقي المجموعات عبر منظومة ناضجة، وخدمات دعم متكاملة، وأدوات فعالة لشن هجمات دقيقة تستهدف تحقيق مبالغ فدية ضخمة.
البنية التحتية المتطورة لعصابة Qilin
تشير الأدلة إلى أن العديد من الشركاء السابقين في عصابة RansomHub قد انتقلوا للعمل مع Qilin، ما ساهم في تضاعف نشاط الأخيرة مؤخرًا.
ويقول الباحثان مارك تسيبرشتاين وإيفجيني أنانين:
“تمتلك Qilin بنية تحتية ناضجة تقنيًا، حيث تستخدم برمجيات مكتوبة بلغة Rust وC، ومحمّلات بقدرات متقدمة لتفادي الكشف، ولوحة تحكم للشركاء توفّر أدوات للتنفيذ في الوضع الآمن، والانتشار عبر الشبكة، وتنظيف السجلات، وأدوات تفاوض مؤتمتة.”
وتتجاوز خدمات المجموعة البرمجيات الخبيثة، إذ تقدّم أيضًا خدمات إرسال الرسائل المزعجة، وتخزين بيانات بحجم بيتابايت، ودعم قانوني، وميزات تشغيلية متكاملة، مما يجعلها منصة جرائم إلكترونية متكاملة وليست مجرد مجموعة رانسوموير.
ميزة المحامي.. وسيلة ضغط سيبرانية
الميزة الجديدة المُضافة تهدف إلى خلق جو من الرهبة القانونية لدى الضحية. وجاء في منشور نُشر عبر منتدى إلكتروني خاص بالمجموعة:
“إذا كنت بحاجة إلى استشارة قانونية بخصوص الضحية، اضغط فقط على زر ‘اتصل بمحامٍ’ ضمن لوحة التحكم، وسيتواصل معك فريقنا القانوني لتقديم دعم قانوني متخصص.”
وأضاف المنشور:
“مجرد ظهور محامٍ في الدردشة يمكن أن يُشكل ضغطًا نفسيًا غير مباشر على الشركة ويزيد من قيمة الفدية، لأن أغلب الشركات تريد تجنب التعقيدات القانونية.”
أدوات ابتزاز موازية
إلى جانب الميزة القانونية، أضافت Qilin ميزات أخرى مثل:
-
خدمة صحفيين داخليين لتضخيم الأخبار ضد الضحايا.
-
إرسال هجمات DDoS (حجب الخدمة) على من يرفض الدفع.
-
أداة لإرسال الرسائل المزعجة لجهات الاتصال التابعة للشركة المستهدفة، سواء عبر البريد الإلكتروني أو أرقام الهاتف.
السياق العالمي: موجة جديدة من التهديدات
يأتي هذا التطور في وقت تم فيه رصد استخدام أداة مفتوحة المصدر تُدعى Eye Pyramid C2 من قِبل إحدى الجهات التابعة لعصابة Rhysida، بهدف الاحتفاظ بالوصول إلى الأجهزة المخترقة بعد تنفيذ الهجوم.
وتُعد Eye Pyramid نفس الباب الخلفي الذي استخدمته RansomHub في الربع الأخير من 2024.
في سياق موازٍ، كشفت تحليلات جديدة لتسريبات دردشات عصابة Black Basta عن شخصية تُدعى “Tinker”، يُعتقد أنه الذراع الإبداعي للمجموعة، وكان يعمل سابقًا في مراكز اتصال تتبع لمجموعة Conti المنهارة، كما ساهم في تطوير سيناريوهات تصيد انتحالي (Phishing) عبر Microsoft Teams لإقناع الموظفين بتثبيت أدوات تحكم عن بُعد مثل AnyDesk.
وفقًا لشركة Intel 471، حصل “Tinker” على 105 آلاف دولار بالعملات الرقمية لقاء خدماته بين ديسمبر 2023 ويونيو 2024.
تطورات أمنية متسارعة
في تطور ذي صلة، سُلّم أحد أعضاء مجموعة Ryuk إلى الولايات المتحدة بتهمة تسهيل الوصول الأولي (IAB) إلى الشبكات، بعد اعتقاله في كييف بأوكرانيا في أبريل الماضي. وذكرت الشرطة الأوكرانية أن التحليل الجنائي لمعدات تمت مصادرتها في حملة سابقة هو ما قاد لتحديد هويته.
من جهة أخرى، أعلنت السلطات في تايلاند عن اعتقال عدد من الصينيين وآخرين من جنوب شرق آسيا بعد مداهمة فندق في باتايا، تبيّن أنه يُستخدم كمقر لعمليات رانسوموير. وذكرت التقارير أن المتورطين كانوا يرسلون روابط خبيثة إلى شركات صينية لابتزازها.
كما تم تنفيذ عملية باسم “Firestorm” أسفرت عن توقيف أكثر من 12 أجنبيًا بتهمة إدارة عملية احتيال استثمارية عبر الإنترنت استهدفت مواطنين أستراليين بإيهامهم بالاستثمار في سندات طويلة الأجل مقابل عوائد خيالية.
