كشف تقرير حديث صادر عن Insikt Group التابعة لشركة Recorded Future أن 53 في المائة من عمليات استغلال الثغرات المنسوبة في النصف الأول من عام 2025 كانت من تنفيذ جهات مدعومة من دول، بهدف تحقيق مكاسب استراتيجية وجيوسياسية مثل التجسس والمراقبة. وأوضح التقرير أن هذه الجهات باتت قادرة على تسليح الثغرات بسرعة كبيرة فور الإعلان عنها، في حملات موجهة تستهدف قطاعات حساسة وأنظمة ذات قيمة عالية. وأكد الباحثون أن معظم هذه العمليات نُفذت بواسطة مجموعات مرتبطة بالصين، حيث ركزت على استهداف البنية التحتية الطرفية والحلول المؤسسية، وهو نهج استمر منذ عام 2024. وتصدرت مجموعة UNC5221 المشبوهة ارتباطها بالصين قائمة المجموعات الأكثر استغلالا للثغرات، حيث فضلت منتجات Ivanti مثل Endpoint Manager Mobile وConnect Secure وPolicy Secure. كما جاء في التقرير أن 17 في المائة من الاستغلالات استهدفت منتجات مايكروسوفت تحديدا.
تزايد الاعتماد على الهجمات غير الموثقة وتقنيات الوصول الأولي مثل ClickFix
أشار التقرير إلى أن 69 في المائة من الثغرات المستغلة لم تتطلب أي توثيق، بينما كان بالإمكان استغلال 48 في المائة منها عن بُعد عبر الشبكة. هذا يعني أن المهاجمين قادرون على شن الهجمات مباشرة عبر الإنترنت من دون الحاجة إلى بيانات دخول أو وصول داخلي. وبيّن أن 30 في المائة من الثغرات المستغلة أتاح تنفيذ أوامر عن بُعد (RCE)، وهو ما يمنح المهاجم سيطرة شبه كاملة على النظام المستهدف. وفيما يتعلق بالجهات ذات الدوافع المالية، أوضح التقرير أن 47 في المائة من الاستغلالات ارتبطت بمصالح مادية، منها 27 في المائة مرتبطة بسرقة واحتيال لا يشمل برامج الفدية، و20 في المائة مرتبطة بمجموعات الفدية والابتزاز. ورصد التقرير زيادة ملحوظة في اعتماد مجموعات الفدية على تقنيات الوصول الأولي الجديدة، وعلى رأسها هجوم ClickFix الذي يقوم على إيهام المستخدم برسائل خطأ أو تحقق وهمية تدفعه لنسخ وتنفيذ سكربت خبيث. وأكد أن هذه التقنية تستغل رغبة المستخدمين في إصلاح الأعطال بأنفسهم، مما يجعلها وسيلة فعالة لتجاوز أدوات الحماية. كما أشار التقرير إلى تطور هذه التقنية لاحقاً عبر هجوم FileFix، حيث يُخدع المستخدم لإدخال مسار ملف ضار في مستكشف ويندوز.
