شهدت شبكة الإنترنت خلال ديسمبر 2025 واحدة من أكثر الظواهر إثارة للجدل في مجال الأمن السيبراني، بعدما رصدت منصة Censys ارتفاعاً مفاجئاً في عدد خوادم Cobalt Strike المستضافة على شبكات محددة، قبل أن تختفي بشكل شبه كامل خلال أيام قليلة. هذه الظاهرة، التي تكررت على نطاقين مختلفين، أثارت تساؤلات حول طبيعة هذه البنية التحتية، والجهات التي تقف وراءها، ومدى ارتباطها بحملات هجومية منسقة.
تصاعد غير مسبوق في نشاط خوادم Cobalt Strike
وفقاً لبيانات Censys، بدأت شبكة AS138415 (YANCY) في الرابع من ديسمبر بأنشطة محدودة وُصفت بأنها “بذور أولية”، قبل أن تشهد في السادس من الشهر ذاته قفزة هائلة بإضافة 119 خادماً جديداً لتشغيل أدوات Cobalt Strike. لكن المفاجأة كانت في اختفاء هذه البنية التحتية بشكل شبه كامل خلال يومين فقط، وهو ما يشير إلى طبيعة تجريبية أو تكتيكية لهذه العمليات.
وفي الثامن من ديسمبر، تكرر المشهد ذاته تقريباً على شبكة AS133199 (SonderCloud LTD)، حيث ظهرت زيادة مفاجئة في عدد الخوادم ثم تراجع سريع، في صورة تكاد تكون انعكاساً لما حدث على الشبكة الأولى. هذا النمط المتشابه دفع خبراء الأمن إلى الاعتقاد بأن هناك جهة واحدة أو أكثر تختبر قدرات هجومية واسعة النطاق عبر منصات متعددة.
خلفيات تقنية وأبعاد أمنية
أداة Cobalt Strike تُعد من أبرز أدوات الاختراق التي يستخدمها المهاجمون السيبرانيون، إذ تتيح لهم إنشاء “مستمعين” للتحكم عن بُعد في الأجهزة المخترقة، وتنفيذ أوامر خفية، ونشر برمجيات خبيثة. ورغم أن الأداة صُممت في الأصل لأغراض اختبار الاختراق الشرعي، فإنها أصبحت خلال السنوات الأخيرة أداة مفضلة لدى مجموعات القرصنة المتقدمة، بما في ذلك تلك المرتبطة بجهات دولية.
البيانات التي نشرتها Censys أوضحت أن أكثر من 150 عنوان IP مرتبط بشبكة AS138415 تم رصده خلال هذه الفترة القصيرة، وهو رقم يعكس حجم النشاط غير المعتاد. اللافت أن النطاق الشبكي 23.235.160.0/19، الذي استُخدم في هذه العمليات، كان قد خُصص لشركة RedLuff, LLC في سبتمبر 2025، ما يفتح الباب أمام تساؤلات حول طبيعة العلاقة بين هذه الشركة والبنية التحتية المكتشفة.
انعكاسات على مشهد الأمن السيبراني العالمي
هذا التصاعد المفاجئ في نشاط خوادم Cobalt Strike لا يمكن النظر إليه بمعزل عن السياق العالمي المتوتر في مجال الأمن الرقمي. فخلال السنوات الأخيرة، شهد العالم موجات متكررة من الهجمات السيبرانية التي استهدفت مؤسسات مالية، وشركات تكنولوجيا، وحتى بنى تحتية حيوية مثل شبكات الطاقة والمياه.
الاختفاء السريع للبنية التحتية المكتشفة يوحي بأن الأمر قد يكون جزءاً من حملة تجريبية أو اختبارية، ربما تهدف إلى قياس قدرة أنظمة المراقبة العالمية على رصد مثل هذه الأنشطة. كما أن تكرار النمط على شبكتين مختلفتين يعزز فرضية وجود جهة منظمة تمتلك موارد كبيرة وتعمل وفق خطة مدروسة.
قراءة مستقبلية وتحذيرات الخبراء
يرى خبراء الأمن أن هذه الظاهرة تمثل إنذاراً مبكراً لاحتمال تصاعد هجمات أكثر تعقيداً خلال العام 2026، خاصة إذا كانت هذه البنى التحتية مجرد مرحلة إعداد لحملات أكبر. كما يشيرون إلى أن استخدام أدوات مثل Cobalt Strike على نطاق واسع يعكس تطوراً في أساليب المهاجمين، الذين لم يعودوا يعتمدون على برمجيات خبيثة تقليدية، بل على منصات متقدمة تتيح لهم مرونة عالية في إدارة الهجمات.
