كشفت تقارير أمنية حديثة عن عودة توسع البنية التحتية للبرمجية الخبيثة المعروفة باسم SystemBC، محذرة من تحول استراتيجي في نشاطها عبر السيطرة على أكثر من 10 آلاف جهاز مخترق حول العالم.
ورصدت التقارير تركيزاً متزايداً للمهاجمين على استهداف خوادم الاستضافة VPS Hosting بدلاً من الأجهزة المنزلية التقليدية، في خطوة تهدف إلى تعزيز القدرة على التخفي وتوفير سعة مرور بيانات أكبر وأكثر استقراراً للأنشطة الإجرامية.
آليات التخفي والعمل كبوابة خلفية
تعمل SystemBC في جوهرها كأداة بوظيفة SOCKS5 Proxy وباب خلفي، ما يتيح للمهاجمين تمرير اتصالات القيادة والسيطرة عبر أجهزة الضحايا. ويسهم هذا المسار في تعقيد عمليات الإسناد والتحليل الجنائي الرقمي، ويمنح سلاسل الهجوم فترات زمنية أطول للبقاء داخل البيئات المخترقة دون اكتشافها.
وأوضحت مادة منشورة في 4 فبراير 2026، أن الشبكة تعتمد معمارية Backconnect التي تحول الأجهزة المصابة إلى مرحلات لحركة المهاجمين. وأظهرت المنظومة قدرة على الصمود أمام محاولات التعطيل السابقة، بما في ذلك العمليات الأمنية الدولية التي استهدفت موزعي البرمجيات (Droppers) في أواخر مايو 2024.
إعادة التموضع الجغرافي والاستراتيجي
تشير المعطيات إلى أن البنية التحتية للبرمجية لم تتراجع بعد ضربات عام 2024، بل أعادت التموضع عبر استهداف مزودي الاستضافة، وهو خيار يضمن بقاء العدوى لفترات تتجاوز الحملات التقليدية. وبلغ متوسط بقاء الاختراق نحو 38 يوماً، بينما سجلت بعض الحالات استمراراً للاختراق لأكثر من 100 يوم.
وبحسب تحليلات Silent Push، جاءت الولايات المتحدة في مقدمة الوجهات المستهدفة بأكثر من 4300 جهاز مخترق، تلتها ألمانيا وفرنسا وسنغافورة. كما رصدت التحليلات اختراقات داخل بيئات حكومية حساسة، شملت خوادم عالية الكثافة تستضيف مواقع رسمية في فيتنام وبوركينا فاسو.
الارتباط بهجمات “الفدية”
تعد SystemBC في كثير من الحالات مرحلة تمهيدية تسبق هجمات الفدية (Ransomware)، حيث تستخدم لتمرير قنوات الاتصال وتسهيل سرقة البيانات أو التحرك الجانبي داخل الشبكات. ويتسق ذلك مع قراءة أوسع لسوق الجريمة السيبرانية خلال عام 2025، تشير إلى تحويل خوادم VPS المخترقة إلى مسارات بروكسي تخدم أنشطة إجرامية متعددة الأغراض، مع معدل يومي مرتفع في تجنيد الخوادم ضعيفة التحصين.
التطور الفني وسلالات Perl الجديدة
على المستوى التقني، تم اكتشاف سلالة جديدة من البرمجية مكتوبة بلغة Perl، صممت خصيصاً لتفادي أدوات الكشف التقليدية. وظهرت هذه السلالة في ملفات تتواصل مع بنية القيادة والسيطرة، مع تسجيل صفر اكتشافات أولية لدى محركات مكافحة الفيروسات وقت الرصد. كما شملت الأدوات المستخدمة برمجيات Droppers بصيغة ELF تحمل مسميات مثل SafeObject وStringHash، مع استخدام تقنية UPX لإخفاء الشيفرة البرمجية.
الجهود الدولية لإنفاذ القانون
في سياق المواجهة الأمنية، أعلنت وكالة Europol أن عملية Operation Endgame استهدفت في نهاية مايو 2024 بنى تحتية شملت SystemBC وعائلات برمجية أخرى. ووصف البيان العملية بأنها الأكبر من نوعها ضد منظومات نشر البرمجيات الخبيثة الداعمة لسلاسل Ransomware. كما أكد بيان صادر عن FBI مشاركة جهات دولية متعددة لتفكيك هذه البنى التي سببت خسائر مادية فادحة، ما دفع تلك الشبكات الإجرامية إلى تطوير أساليب أكثر مراوغة للعودة إلى النشاط.
