أعلنت السلطات في أوروبا وأميركا الشمالية عن نجاح عملية دولية واسعة النطاق لتفكيك خدمة VPN إجرامية كانت تُستخدم من قبل مجموعات الفدية لإخفاء مصدر هجماتها الإلكترونية. العملية التي حملت الاسم الرمزي Operation Saffron استهدفت خدمة First VPN، التي وفرت منذ عام 2014 بنية تحتية مصممة خصيصًا لخدمة المجرمين السيبرانيين، بما في ذلك إخفاء الهوية، المدفوعات المجهولة، وتجاوز الرقابة القضائية.
خلفيات العملية الدولية
قاد التحقيق كل من فرنسا وهولندا منذ ديسمبر 2021، بمشاركة دول عديدة مثل ألمانيا، الولايات المتحدة، كندا، المملكة المتحدة، إسبانيا، السويد، أوكرانيا، رومانيا، سويسرا، بولندا، البرتغال، ودول البلطيق. خلال يومي 19 و20 مايو 2026، نفذت السلطات إجراءات متزامنة شملت مقابلة مدير الخدمة، مداهمة منزل في أوكرانيا، إسقاط 33 خادمًا، ومصادرة البنية التحتية التي دعمت النشاط الإجرامي عالميًا.
طبيعة خدمة First VPN
وفق Europol، كانت الخدمة تُسوّق على منتديات روسية ناطقة مثل Exploit.in وXSS.is باعتبارها أداة موثوقة للمجرمين لتجنب الملاحقة القانونية. الموقع الرسمي لـ First VPN روّج لنفسه عبر وعود بالسرية المطلقة وعدم التعاون مع السلطات القضائية، مؤكدًا أنه لا يحتفظ بسجلات يمكن أن تكشف هوية المستخدمين. ومع ذلك، أثبتت العملية أن هذه الوعود كانت زائفة، حيث تم إخطار المستخدمين بأن هوياتهم أصبحت معروفة للسلطات.
البنية التحتية والزبائن
خدمة First VPN وفرت 32 خادم خروج (Exit Nodes) في 27 دولة، من بينها الولايات المتحدة، ألمانيا، روسيا، أوكرانيا، كندا، وإسبانيا. أكثر من 25 مجموعة فدية، مثل Avaddon Ransomware، استخدمت هذه البنية لتنفيذ هجمات استكشافية واختراقات. الاشتراكات تراوحت بين يوم واحد وسنة كاملة، بأسعار تبدأ من دولارين وتصل إلى 483 دولارًا، مع قبول مدفوعات عبر Bitcoin ووسائل دفع رقمية أخرى مثل Perfect Money وWebmoney.
بروتوكولات الاتصال والدعم الفني
الخدمة دعمت بروتوكولات متعددة مثل OpenConnect وWireGuard وOutline وVLess TCP Reality، إضافة إلى خيارات تشفير مثل OpenVPN ECC وL2TP/IPSec وPPtP. كما وفرت دعمًا فنيًا عبر خادم Jabber مستضاف ذاتيًا وقنوات مشفرة على Telegram. من بين ميزاتها المثيرة للجدل، القدرة على تمويه حركة مرور الإنترنت لتبدو كأنها اتصال HTTPS عادي، ما جعل اكتشافها أكثر صعوبة.
التداعيات على النظام الإجرامي السيبراني
شركة Bitdefender، التي ساهمت في التحقيق، أكدت أن تعطيل خدمات إخفاء الهوية يزيد من تكلفة العمليات الإجرامية ويقلص نافذة عملها. ورغم أن الطلب الاقتصادي على هذه الخدمات لم يتغير، فإن كل عملية تفكيك ترفع مستوى المخاطر أمام المجرمين وتجعلهم أكثر حذرًا عند استخدام خدمات مشابهة مستقبلًا.
العملية أثبتت أن الادعاءات بعدم التعاون مع السلطات أو عدم الاحتفاظ بالسجلات لا تحمي المستخدمين، بل تجعلهم عرضة لانكشاف هوياتهم بمجرد سقوط البنية التحتية.
