برمجية كادناپ الخبيثة تصيب أكثر من ١٤ ألف جهاز طرفي لبناء شبكة روبوتات وكيلة خفية
كشف باحثون في الأمن السيبراني عن حملة برمجيات خبيثة متطورة، أطلقوا عليها اسم "كادناپ"، تقوم باختراق أجهزة الشبكات الطرفية بشكل منهجي—وخاصة موجهات آسوس—لضمها إلى شبكة روبوتات واسعة النطاق مصممة لتوكيل حركة مرور إنترنت ضارة. وفقاً لتقرير مفصل من "بلاك لوتس لابز" التابعة لشركة لومين، لوحظت البرمجية الخبيثة لأول مرة في أغسطس ٢٠٢٥ وتمكنت منذ ذلك الحين من إصابة أكثر من ١٤ ألف جهاز على مستوى العالم. تتحمل الولايات المتحدة العبء الأكبر لهذه الحملة، حيث تمثل أكثر من ٦٠٪ من العقد المصابة. كما تم رصد إصابات كبيرة في تايوان وهونغ كونغ وروسيا والمملكة المتحدة وأستراليا والبرازيل وفرنسا وإيطاليا وإسبانيا، مما يشير إلى استراتيجية استهداف دولية واسعة.
تتمثل التطور التقني لبرمجية كادناپ في استخدامها تنفيذاً مخصصاً لبروتوكول جدول التجزئة الموزع كاديمليا. هذا النهج للشبكة الند للند يرتبط عادة بأنظمة لامركزية مثل شبكات مشاركة الملفات. تعيد كادناپ توظيفه لإخفاء بنيتها التحتية للقيادة والتحكم. من خلال تضمين معلومات خوادم القيادة والتحكم داخل شبكة جدول التجزئة الموزع، تسمح البرمجية الخبيثة للأجهزة المخترقة بتحديد موقع والاتصال بوحدات التحكم دون الاعتماد على عنوان بروتوكول إنترنت ثابت أو نطاق يمكن حظره بسهولة. هذا التصميم يجعل شبكة الروبوتات شديدة المرونة، متجنبة جهود المراقبة والإيقاف التقليدية للشبكات التي تستهدف خوادم قيادة وتحكم مركزية.
بعد إصابة الجهاز بنجاح ودمجه في الشبكة الند للند، يتحول إلى سلعة لخدمة وكيلة مسماة "دوبلغانغر". يقيم محللو الأمن هذه الخدمة على أنها إعادة تسمية لخدمة "فيسليس" المعروفة سابقاً والمرتبطة ببرمجية ثمون الخبيثة. يعلن موقع دوبلغانغر على الويب، الذي أطلق حوالي مايو/يونيو ٢٠٢٥، عن "وكلاء مقيمين" في أكثر من ٥٠ دولة، واعداً المستخدمين—على الأرجح مجرمي الإنترنت الساعين لإخفاء أنشطتهم—"بخصوصية بنسبة ١٠٠٪" خلف حجاب عناوين بروتوكول إنترنت سكنية مخترقة تبدو شرعية. يحول هذا النموذج التجاري الموجهات المنزلية والصغيرة الضعيفة إلى أدلة للاحتيال وحشو بيانات الاعتماد وغش الإعلانات وغيرها من العمليات غير المشروعة.
يبدأ الاختراق الأولي بنص قشرة باسم "aic.sh"، يتم تنزيله من خادم قيادة وتحكم بعنوان ٢١٢.١٠٤.١٤١.١٤٠. يؤسس هذا النص استمرارية على الجهاز الضحية من خلال إنشاء مهمة "كرون" تنفذ في الدقيقة ٥٥ من كل ساعة. تتمثل وظيفة مهمة كرون في جلب أحدث إصدار من حمولة البرمجية الخبيثة الأساسية، مما يضمن تحديث الأجهزة المخترقة باستمرار وتعليمات التشغيل من الشبكة الند للند. تسمح هذه الآلية للمهاجمين بالحفاظ على السيطرة وتعديل السلوك عن بُعد دون الكشف عن أنفسهم.
يكشف هذا الاكتشاف عن تهديد متزايد يستهدف البنية التحتية للشبكات الطرفية، مما يحول أجهزة تبدو عادية إلى أصول قوية للجرائم الإلكترونية. تؤكد حملة كادناپ على الحاجة الملحة لأصحاب الأجهزة لتحديث كلمات المرور الافتراضية وتثبيت آخر تحديثات البرامج الثابتة ومراقبة نشاط الشبكة غير المعتاد. يجب على مزودي الخدمة والباحثين تعزيز التعاون لتحديد ومحو هذه الشبكات الخفية قبل أن يتم استغلالها بشكل أوسع في هجمات أكثر تدميراً.
