أطلق باحثو الأمن السيبراني تحذيرات جديدة بشأن نسخة مطوّرة من برمجية خبيثة تُعرف باسم Chaos، والتي باتت تستهدف بشكل مباشر النشرات السحابية غير المهيأة بشكل صحيح، في خطوة تعكس انتقالها من تركيزها التقليدي على أجهزة التوجيه والأنظمة الطرفية إلى بيئات أكثر حساسية. تقرير حديث صادر عن شركة Darktrace أوضح أن هذه النسخة الجديدة رُصدت عبر شبكة “هوني بوت” تم إعدادها خصيصاً لرصد الهجمات، حيث استغل المهاجمون ثغرة في نشرات Hadoop غير المؤمنة لتنفيذ أوامر عن بُعد.
خلفية تطور البرمجية من Kaiji إلى Chaos
تم توثيق Chaos لأول مرة في سبتمبر 2022 من قبل مختبرات Lumen Black Lotus Labs، باعتبارها برمجية متعددة المنصات قادرة على استهداف أنظمة Windows وLinux، وتنفيذ أوامر شِل عن بُعد، وتنزيل وحدات إضافية، والانتشار عبر كسر مفاتيح SSH، إضافة إلى التعدين الخفي للعملات الرقمية وشن هجمات الحرمان من الخدمة الموزعة (DDoS) عبر بروتوكولات متعددة مثل HTTP وTLS وTCP وUDP وWebSocket. ويُعتقد أن Chaos تمثل تطوراً لبرمجية Kaiji التي ركزت على استغلال نشرات Docker غير المهيأة. ورغم أن هوية الجهة المسؤولة عن تطويرها ما تزال مجهولة، فإن استخدام بنى تحتية في الصين ووجود حروف صينية في الشيفرة يوحي بارتباطها بجهات صينية.
تفاصيل الهجوم الأخير وعلاقته بحملات سابقة
الهجوم الأخير الذي رصدته Darktrace بدأ بطلب HTTP لإنشاء تطبيق جديد على نشرات Hadoop، حيث تضمّن التطبيق أوامر شِل لسحب ملف ثنائي خاص بالبرمجية من خادم يسيطر عليه المهاجمون، ثم منحه صلاحيات كاملة عبر الأمر “chmod 777″، وتنفيذه مباشرة مع حذف الأثر من القرص لتقليل فرص التتبع الجنائي. اللافت أن النطاق المستخدم في الهجوم كان قد استُخدم سابقاً في حملة تصيّد إلكتروني نفذتها مجموعة Silver Fox الصينية، والتي وزعت مستندات خادعة وبرمجية ValleyRAT ضمن عملية أطلق عليها اسم Operation Silk Lure في أكتوبر 2025.
إضافة خاصية بروكسي SOCKS وتغيير الوظائف
النسخة الجديدة من Chaos جاءت بملف ثنائي مهيأ بنظام ELF 64-bit، أعيدت هيكلته مع الحفاظ على معظم الخصائص الأساسية، لكن مع إزالة وظائف الانتشار عبر SSH واستغلال ثغرات أجهزة التوجيه. بدلاً من ذلك، أضيفت خاصية بروكسي SOCKS التي تسمح باستخدام الأجهزة المصابة كوسط لنقل الحركة الشبكية، ما يعقّد مهمة فرق الدفاع في تحديد مصدر الهجمات ويمنح المهاجمين قدرة أكبر على إخفاء أنشطتهم. كما أشارت Darktrace إلى أن بعض الوظائف التي كانت تُنسب سابقاً إلى Kaiji قد أعيدت صياغتها أو إعادة بنائها بالكامل، ما يدل على أن مطوري Chaos يعملون على إعادة هيكلة البرمجية بشكل واسع.
دلالات اقتصادية وأمنية في سوق الجريمة الإلكترونية
إضافة خاصية البروكسي تعكس توجهاً جديداً لدى المهاجمين نحو تنويع مصادر الربح، إذ لم يعد التعدين الخفي للعملات الرقمية أو خدمات DDoS المأجورة كافياً، بل يسعى هؤلاء إلى تقديم خدمات خبيثة متنوعة مثل تمرير الحركة الشبكية المجهولة مقابل المال. هذا التطور يضع المؤسسات أمام تحديات مضاعفة، حيث لم تعد هجمات الحرمان من الخدمة الخطر الوحيد، بل أصبح استغلال البنى السحابية غير المؤمنة وسيلة لتقديم خدمات إجرامية متكاملة في السوق السوداء الرقمية. ويؤكد خبراء الأمن أن استمرار تطور Chaos يبرز إصرار المهاجمين على تعزيز قدراتهم ومجاراة المنافسة في عالم الجريمة الإلكترونية.
