أعلنت وكالة الشرطة الأوروبية “يوروبول” يوم الإثنين عن إلقاء القبض على الشخص المشتبه بإدارته لمنتدى XSS.is (المعروف سابقًا باسم DaMaGeLaB)، وهو منصة سيئة السمعة ناطقة بالروسية تُستخدم في تداول أنشطة الجريمة الإلكترونية.
وقد تم تنفيذ الاعتقال في العاصمة الأوكرانية كييف بتاريخ 22 يوليو 2025، بقيادة الشرطة الفرنسية والنيابة العامة في باريس، وبالتعاون مع السلطات الأوكرانية و”يوروبول”. يأتي هذا الإجراء نتيجة تحقيق انطلق منذ يوليو 2021 على يد الشرطة الفرنسية.
وبالتزامن مع عملية الاعتقال، تمت السيطرة على نطاق المنتدى عبر الإنترنت، حيث استُبدلت صفحته الرئيسية بإشعار بالمصادرة يحمل رسالة تفيد بأن “هذا النطاق تمت مصادرته من قبل فرقة مكافحة الجرائم السيبرانية الفرنسية بمساعدة إدارة الأمن السيبراني التابعة لجهاز الأمن الأوكراني”.
منتدى خفي بـ50 ألف مستخدم يدير شبكة إجرامية واسعة
أوضحت يوروبول أن منتدى XSS كان يضم أكثر من 50,000 مستخدم مسجّل، وكان بمثابة سوق محوري لتداول البيانات المسروقة، وأدوات الاختراق، والخدمات غير المشروعة. وقد لعب المنتدى دورًا مركزيًا ضمن بعض الشبكات السيبرانية الإجرامية الأكثر نشاطًا وخطورة، حيث استخدم للتنسيق والترويج وتجنيد الأفراد.
لم يقتصر دور المشرف الموقوف على الجانب التقني للمنصة، بل أدى دور الوسيط الموثوق بين المجرمين، حيث تولى تسوية النزاعات وضمان أمان المعاملات، مما عزز من ثقة الأطراف الفاعلة في المنصة.
مشاريع جانبية وأرباح بملايين اليوروهات
تشير التحقيقات إلى أن الشخص المعتقل كان يدير أيضًا منصة الرسائل الخاصة thesecure.biz، وهي وسيلة تواصل مشفرة مصممة خصيصًا لتلبية احتياجات المجرمين الإلكترونيين. وقد حقق من خلال هذه الأنشطة أرباحًا قُدرت بـ7 ملايين يورو (نحو 8.24 مليون دولار أمريكي)، جاءت من رسوم الإعلانات والوساطة.
وأضافت يوروبول أن المشتبه به ظل فاعلًا في بيئة الجريمة الإلكترونية لنحو عقدين، وحافظ على صلات وثيقة بعدة جهات تهديد بارزة خلال تلك الفترة.
ووفقًا للنيابة العامة في باريس، فإن منتدى XSS ينشط منذ عام 2013، وقد شكّل مركزًا للجريمة السيبرانية من خلال توفير إمكانية الوصول إلى أنظمة مخترقة، وخدمات مرتبطة بهجمات الفدية. كما وفّر خادم رسائل مشفر عبر بروتوكول Jabber مكّن المستخدمين من التواصل بسرية تامة.
البنية التحتية للمنتدى ومنظومة الثقة الإجرامية
شكّل منتدى XSS، إلى جانب منتدى Exploit، العمود الفقري لمنظومة الجريمة الإلكترونية الناطقة بالروسية، حيث تركزت أنشطة المهاجمين في استهداف دول لا تتحدث الروسية. وتشير بيانات شركة KELA إلى أن عدد المستخدمين المسجلين في XSS بلغ 48,750 مستخدمًا، ويضم المنتدى أكثر من 110,000 نقاش.
ولتيسير المعاملات غير القانونية، يحتوي المنتدى على نظام تقييم سمعة داخلي، كما يمكن للأعضاء استخدام خدمة ضمان عبر وسيط معيّن من قِبل المنتدى لضمان إتمام الصفقات دون خداع، فضلاً عن إمكانية إضافة تأمين نقدي لتحسين السمعة.
عمليات متزامنة ضد مجموعات قرصنة موالية لروسيا
يأتي هذا التطور بعد أسبوع واحد فقط من عملية أخرى بقيادة يوروبول استهدفت البنية التحتية الرقمية لمجموعة هاكتيفيست موالية لروسيا تُعرف باسم NoName057(16)، وأسفرت عن توقيف شخصين متهمين بتنفيذ هجمات حجب الخدمة الموزعة (DDoS) ضد أوكرانيا وحلفائها، باستخدام أداة مفتوحة المصدر تُدعى DDoSia.
وبحسب تقرير صادر عن مجموعة Insikt التابعة لشركة Recorded Future، فقد استهدفت هذه المجموعة 3,776 نظامًا فريدًا في الفترة بين 1 يوليو 2024 و14 يوليو 2025، وتنوعت الأهداف ما بين مؤسسات حكومية، وهيئات عامة، وقطاعات النقل، والتكنولوجيا، والإعلام، والتمويل في دول أوروبية تعارض الغزو الروسي لأوكرانيا.
أوكرانيا على رأس قائمة الضحايا
تصدرت أوكرانيا قائمة الدول المستهدفة بنسبة بلغت 29.47% من الهجمات، تلتها فرنسا (6.09%)، ثم إيطاليا (5.39%)، والسويد (5.29%)، وألمانيا (4.60%)، وإسرائيل (4.50%)، والتشيك (4%)، وبولندا (4%)، والمملكة المتحدة (3.30%). في المقابل، لُوحظ غياب الولايات المتحدة رغم دعمها لأوكرانيا.
هيكلية متطورة وقدرات عالية على شن الهجمات
كشفت التحليلات أن بنية NoName057(16) تعتمد على هيكلية مرنة متعددة الطبقات، تضم خوادم تحكم من المستوى الأول يجري تغييرها باستمرار، وأخرى من المستوى الثاني محمية بقوائم تحكم في الوصول، بهدف الحفاظ على استمرارية السيطرة وتقييد النفاذ غير المرغوب فيه. وقد تم تحديد 275 خادمًا فريدًا من المستوى الأول خلال فترة الرصد.
ووفقًا لشركة الأمن السيبراني التابعة لماستركارد، فإن المجموعة تحافظ على وتيرة عمليات مرتفعة، حيث تستهدف في المتوسط 50 جهة يوميًا، مع تصعيد في الهجمات تزامنًا مع التطورات السياسية والعسكرية في أوكرانيا.
وتعتمد المجموعة مزيجًا من هجمات حجب الخدمة على مستوى الشبكة والتطبيق، وتركّز على تقنيات بسيطة لكنها فعالة، تقوم على إغراق الخوادم بالطلبات واستنزاف مواردها لإخراجها عن الخدمة.
