من التصيّد إلى البرمجيات الخبيثة: الذكاء الاصطناعي يتحول إلى سلاح سيبراني روسي جديد في الحرب على أوكرانيا

من التصيّد إلى البرمجيات الخبيثة: الذكاء الاصطناعي يتحول إلى سلاح سيبراني روسي جديد في الحرب على أوكرانيا
من التصيّد إلى البرمجيات الخبيثة: الذكاء الاصطناعي يتحول إلى سلاح سيبراني روسي جديد في الحرب على أوكرانيا
شارك هذا الخبر

أفادت الخدمة الحكومية الأوكرانية للاتصالات الخاصة وحماية المعلومات (SSSCIP) أن اعتماد القراصنة الروس على تقنيات الذكاء الاصطناعي في الهجمات السيبرانية ضد أوكرانيا بلغ مستوىً متقدّمًا خلال النصف الأول من 2025.
وقالت الوكالة إن المهاجمين لا يكتفون الآن باستخدام AI لتوليد رسائل تصيّد (phishing) فحسب، بل إن بعض عينات البرمجيات الخبيثة المحلّلة أظهرت دلائل واضحة تشير إلى أنها طُورت باستعمال أدوات ذكاءٍ اصطناعي، مع احتمال توسع المهاجمين في هذا الاتجاه مستقبلاً.

ارتفاع الحوادث وهجمات موجهة على مؤسسات محددة

سجّلت SSSCIP 3,018 حادثة سيبرانية في النصف الأول من 2025، بزيادة عن 2,575 حادثة في النصف الثاني من 2024. وسُجلت زيادة في الهجمات الموجّهة ضد الجهات المحلية والوحدات العسكرية، في حين انخفضت الهجمات على قطاعات الحكومة والطاقة مقارنة بالفترة السابقة.
ومن الحوادث الملحوظة ما يتعلق بمجموعة UAC-0219 التي استخدمت برمجية خبيثة تُدعى WRECKSTEEL في هجمات استهدفت هيئات إدارة الدولة ومنشآت البُنى التحتية الحيوية، وهناك دلائل تُشير إلى أن برمجية PowerShell الخاصة بسرقة البيانات طُوّرت بمساعدة أدوات AI.

نماذج الحملات والأسلحة الرقمية المُستخدمة

سجّلت الوكالة حملات متنوّعة استهدفت جهات عسكرية ومدنية وصناعات دفاعية بأدوات وأساليب متطورة، من بينها:

  • حملات تصيّد منسوبة إلى UAC-0218 تستهدف القوات الدفاعية لتسليم برمجية HOMESTEEL عبر أرشيفات RAR مفخخة.

  • حملات UAC-0226 تستهدف منظمات تعمل على تطوير الابتكار في القطاع الدفاعي والهيئات المحلية ووحدات عسكرية لتوزيع أداة سرقة بيانات اسمها GIFTEDCROOK.

  • حملات UAC-0227 تستهدف السلطات المحلية ومرافق البُنى التحتية ومراكز التجنيد والدعم الاجتماعي عبر تكتيكات شبيهة بـClickFix أو عبر مرفقات SVG لتوزيع أدوات سرقة مثل Amatera Stealer وStrela Stealer.

  • عمليات من UAC-0125، المرتبطة بجماعة Sandworm، استخدمت رسائل بريد إلكتروني تحمل روابط لمواقع تنتحل صفة شركة أمنية (مثل ESET) بهدف تسليم باب خلفي مكتوب بلغة C# يُعرف باسم Kalambur (المعروف أيضًا SUMBUR) تحت ستار برنامج إزالة التهديدات.

استغلال ثغرات الويب وخدمات شرعية كقنوات هجوم

لاحظت SSSCIP أن مجموعات مرتبطة بروسيا مثل APT28 (UAC-0001) استغلت ثغرات سكربت (XSS) في برمجيات بريد ويب مثل Roundcube وZimbra (من بينها CVE-2023-43770 وCVE-2024-37383 وCVE-2025-49113 وCVE-2024-27443 وCVE-2025-27915) لتنفيذ هجمات «بلا نقرة» (zero-click).
وعند استغلال هذه الثغرات، كان المهاجمون يحقنون شيفرة خبيثة تستفيد من واجهة برمجة التطبيقات (API) لسرقة بيانات الاعتماد وقوائم الاتصال وضبط قواعد لترحيل الرسائل إلى صناديق بريد يسيطرون عليها. كما استُخدمت تقنية إخفاء حقول HTML مع خاصية autocomplete=’on’ لاستخراج بيانات مخزنة بالمتصفحات.

كذلك واصلت مجموعات مثل Sandworm (UAC-0002) شن عمليات مدمجة متناغمة مع هجمات kinetic على أرض المعركة، مستهدفة قطاعات الطاقة والدفاع ومزودي خدمات الإنترنت والبحث العلمي. ولجأ العديد من الفاعلين إلى إساءة استخدام خدمات شرعية (Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram, Telegra.ph, Teletype.in, Firebase, ipfs.io, mocky.io) لاستضافة شفرات خبيثة أو صفحات تصيّد، أو لتحويلها إلى قنوات لاستخراج البيانات.
وقالت SSSCIP: «إن استخدام الموارد الإلكترونية الشرعية لأغراض خبيثة ليس تكتيكًا جديدًا، لكن عدد المنصات التي يستغلها القراصنة الروس في تزايد ملحوظ في الآونة الأخيرة.»

وسوم
محمد الشرشابي
محمد الشرشابي
المقالات: 214

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة