كشف باحثون من شركة Resecurity للأمن السيبراني عن علاقات وثيقة تربط مجموعة Qilin للبرمجيات الفدية بجهات تعمل في مجال الاستضافة المحصّنة (Bulletproof Hosting – BPH) في أعماق الشبكة المظلمة، في إطار منظومة معقّدة تتيح لمجرمي الإنترنت العمل بعيدًا عن أعين القانون.
استضافة محمية لشبكة التسريبات
أظهرت نتائج التحليل أن مجموعة Qilin اعتمدت على شركة Cat Technologies Co. Limited لاستضافة موقعها الخاص بتسريب البيانات، وهي شركة تستضيف خوادمها على عنوان IP تابع لمجموعة Aeza Group. كما استخدمت المجموعة موقعها المعروف باسم WikiLeaksV2 للإعلان عن خدمات استضافة أخرى من نوع BEARHOST Servers (المعروفة أيضًا باسم Underground)، وهي منصة تقدم خدمات الاستضافة المحصّنة منذ عام 2016 بأسعار تتراوح بين 95 و500 دولار.
ورغم أن BEARHOST أعلنت بشكل مفاجئ إيقاف خدماتها في 28 ديسمبر 2024، إلا أن التحليل الأمني يُرجّح أن القائمين عليها نقلوا عملياتهم إلى وضع خاص يخدم فقط “العملاء الموثوقين” داخل المجتمع الإجرامي.
وفي 8 مايو 2025، عادت الخدمة إلى الظهور تحت اسم Voodoo Servers، لكنها توقفت مجددًا في نهاية الشهر ذاته، مبرّرة ذلك بـ”أسباب سياسية”. ووفقًا لتقرير Resecurity، فإن القائمين على المشروع “اختفوا عبر عملية احتيال تُعرف بـExit Scam، تاركين مجتمع القرصنة في حالة غموض تام”، ومع ذلك فإن الكيانات القانونية التي تقف وراء الخدمة لا تزال تواصل عملها بصورة طبيعية.
شبكة من الكيانات المظلمة
أشار التقرير أيضًا إلى أن شركة Cat Technologies Co. Limited ترتبط بعلاقات وثيقة مع كيانات أخرى غامضة، من بينها:
Red Bytes LLC، Hostway، Starcrecium Limited، وChang Way Technologies Co. Limited — والأخيرة تحديدًا مرتبطة بأنشطة برمجيات خبيثة واسعة النطاق، إذ استضافت خوادم التحكم والسيطرة (C2) الخاصة ببرمجيات مثل Amadey وStealC وCobalt Strike، والتي تُستخدم من قِبل جهات تهديد سيبرانية متعددة.
كما لفت الباحثون الانتباه إلى شركة أخرى تُدعى Next Limited، تشترك مع Chang Way Technologies في العنوان البريدي ذاته في هونغ كونغ، وقد ارتبطت أيضًا بأنشطة ضارة على صلة ببرمجية Proton66 الخبيثة.
