تم العثور على دليل مفتوح على العنوان 185.221.239[.]162:8080 يحتوي على مجموعة من الحمولة الخبيثة، من بينها سكربت مكتوب بلغة Python، وملف ثنائي مخصص لهجمات DDoS، إضافة إلى عدة ملفات بلغة C لتنفيذ هجمات حجب الخدمة، وقائمة بعناوين IP مرتبطة ببيانات اعتماد SSH. هذا الاكتشاف يسلط الضوء على خطورة ترك مثل هذه الأدلة مكشوفة، حيث يمكن أن تكشف عن البنية التحتية الكاملة لنشاط خبيث.
آلية عمل سكربت ohhhh.py
أحد الملفات البارزة هو سكربت Python باسم ohhhh.py، والذي يقوم بقراءة بيانات اعتماد على صيغة host:port|username|password، ثم يفتح ما يصل إلى 500 جلسة SSH متزامنة. بعد ذلك يقوم السكربت بترجمة وتشغيل عميل البوت على كل مضيف بشكل تلقائي، مما يتيح للمهاجمين بناء شبكة واسعة النطاق من الأجهزة المصابة بسرعة كبيرة.
مراحل النشاط الموثقة
وفقًا لمنصة Hunt.io، فإن ملف .bash_history المكشوف أظهر ثلاث مراحل مميزة من العمل:
- إنشاء شبكة أنفاق للتواصل بين الأجهزة المصابة.
- بناء واختبار أدوات هجمات DDoS ضد أهداف حية.
- تطوير البوت نت بشكل متكرر عبر نسخ متعددة من السكربتات.
هذا التسلسل يوضح أن النشاط لم يكن عشوائيًا، بل كان جزءًا من عملية تطوير منهجية تهدف إلى تحسين قدرات الهجوم بشكل مستمر.
غياب الصلة بحملات موجهة من الدولة
رغم أن النشاط مرتبط بجهات إيرانية، إلا أن التحليلات لم تربطه بأي حملة موجهة من قبل الدولة. وهذا يشير إلى أن البوت نت قد يكون نتاج مجموعات إجرامية مستقلة أو أفراد يسعون إلى بناء أدوات هجومية لأغراض مالية أو تجريبية، بعيدًا عن الأطر الرسمية.
