حذر باحثون في الأمن السيبراني من توسّع حملات البرمجيات الخبيثة التي توزع شبكة RondoDox، إذ باتت تستغل أكثر من 50 ثغرة أمنية عبر ما يزيد على 30 مورّدًا مختلفًا. وأوضحت شركة Trend Micro أن هذا النمط من النشاط يشبه ما وصفته بـ”نهج بندقية الاستغلال” (exploit shotgun)، إذ يستهدف طيفًا واسعًا من البنى التحتية المكشوفة للإنترنت مثل أجهزة التوجيه (routers) ومسجلات الفيديو الرقمية (DVRs/NVRs) وأنظمة المراقبة CCTV والخوادم الشبكية وسائر الأجهزة المتصلة بالشبكات.
وأضافت الشركة أنها رصدت محاولة تسلل من RondoDox في 15 يونيو 2025 عبر استغلال ثغرة CVE-2023-1389 في أجهزة TP-Link Archer، وهي ثغرة تتعرض لاستغلال نشط متكرر منذ الكشف عنها أواخر عام 2022. وكانت مختبرات Fortinet FortiGuard قد وثّقت في يوليو 2025 أولى موجات الهجوم التي استهدفت مسجلات TBK DVRs وموجّهات Four-Faith لضمّها إلى شبكة بوتنت تُستخدم في تنفيذ هجمات حجب الخدمة الموزعة (DDoS) باستخدام بروتوكولات HTTP وUDP وTCP.
تسليح الثغرات وتوسّع البنية التحتية
تشير تقارير Trend Micro إلى أن RondoDox وسّعت نطاقها مؤخرًا عبر بنية “Loader-as-a-Service”، إذ تُعبّأ برمجية RondoDox مع حمولات Mirai وMorte ضمن حزم واحدة، ما يزيد من صعوبة الاكتشاف والاستجابة. تضم ترسانة الاستغلال الحالية نحو 56 ثغرة أمنية، من بينها 18 ثغرة غير مسجلة ضمن CVE، وتشمل منتجات من شركات عديدة مثل D-Link، TVT، LILIN، Fiberhome، Linksys، NETGEAR، Apache، TBK، TOTOLINK، QNAP، Zyxel، Cisco وغيرها.
وأشارت Trend Micro إلى أن الحملة الأخيرة تمثل “تطورًا مهمًا في أتمتة استغلال الشبكات”، إذ تجاوزت مرحلة استهداف الأجهزة المنفردة إلى عملية تحميل متعددة الاتجاهات تستخدم استغلالات متزامنة وأنظمة تحكم مركزية.
ترابط الشبكات الخبيثة وتطور البنية الهجومية
كشفت شركة CloudSEK الشهر الماضي عن بنية Loader-as-a-Service واسعة النطاق تُستخدم لتوزيع حمولات RondoDox وMirai وMorte عبر أجهزة توجيه SOHO ومنصات إنترنت الأشياء (IoT) وتطبيقات المؤسسات، معتمدة على كلمات مرور ضعيفة ومدخلات غير مُطهّرة وثغرات قديمة.
ويتزامن هذا مع تقارير الصحفي الأمني برايان كريبس (Brian Krebs) الذي أشار إلى أن شبكة AISURU الضخمة لهجمات DDoS تستمدّ معظم طاقتها من أجهزة IoT مخترقة مستضافة لدى مزودي إنترنت أميركيين مثل AT&T وComcast وVerizon. ويُعتقد أن أحد مشغّليها الملقب بـ”Forky” يقيم في ساو باولو، البرازيل، وله صلة بخدمة مزعومة لتخفيف هجمات DDoS تُعرف باسم Botshield.
تُقدَّر شبكة AISURU اليوم بأكثر من 300 ألف جهاز مُخترق حول العالم، وتُعد من أكثر شبكات DDoS نشاطًا وتدميرًا في الآونة الأخيرة، مبنية على أساس شيفرة Mirai التقليدية.
النشاطات الجغرافية وأنماط الهجوم الجديدة
أشارت بيانات شركة GreyNoise إلى عملية منسقة تضم أكثر من 100 ألف عنوان IP فريد من 100 دولة تستهدف خدمات Remote Desktop Protocol (RDP) في الولايات المتحدة، بدأت في 8 أكتوبر 2025. وأوضحت الشركة أن أغلب الحركة الخبيثة مصدرها البرازيل، الأرجنتين، إيران، الصين، المكسيك، روسيا، جنوب أفريقيا، والإكوادور.
تُظهر التحليلات أن الحملة توظف أسلوبين محددين للهجوم:
-
هجمات توقيت RD Web Access.
-
تعداد تسجيل الدخول في RDP Web Client.
كما تشترك معظم عناوين الـIP المشاركة في بصمة TCP متشابهة، ما يشير إلى تحكم مركزي واحد في الهجوم.
