تقرير يرصد تمركز خوادم التحكم الخبيثة في شبكات الشرق الأوسط

كشف تقرير حديث صادر عن Hunt.io أن نشاط خوادم القيادة والتحكم (C2) المرتبط ببنى تحتية خبيثة في منطقة الشرق الأوسط يتمركز بشكل مكثف لدى مجموعة محدودة من مزودي خدمات الاتصالات والاستضافة. ووفقاً للتقرير، فإن هذا التركز يعيد توجيه بوصلة الاهتمام الأمني من ملاحقة المؤشرات الفردية قصيرة العمر إلى تحليل أنماط البنية التحتية التي يعتمد عليها المهاجمون.

وبحسب التقرير، استندت Hunt.io إلى تحليل بيانات رصد دقيقة خلال الفترة من 1 فبراير إلى 1 مايو 2026، حيث حددت ما يزيد عن 1,350 خادماً نشطاً للقيادة والتحكم موزعة على 98 مزوداً للبنية التحتية في 14 دولة بالشرق الأوسط، شملت منصات استضافة مشتركة، ومزودي خوادم افتراضية، وشبكات اتصالات.

استحوذت Saudi Telecom Company (STC) بمفردها على أكثر من 72% من النشاط الإقليمي المرصود لخوادم القيادة والتحكم، بواقع 981 خادماً، وهو ما يمثل أكبر تمركز مرصود داخل مزود واحد ضمن العينة المحللة. ويرجح التقرير أن يكون هذا النشاط ناتجاً في معظمه عن أنظمة عملاء مخترقة، وليس استضافة خبيثة مقصودة من قبل المزود.

وفي هذا السياق، تؤكد المعطيات المنشورة أن ظهور اسم مزود اتصالات أو استضافة في هذه البيانات لا يعني تورطه أو علمه بالنشاط الخبيث؛ إذ توضح Hunt.io أن جزءاً كبيراً من هذه البنية قد يعتمد على أجهزة عملاء مخترقة أو موارد مؤجرة عبر قنوات تجارية اعتيادية.

كما رصد التقرير مزودين آخرين في مراتب متقدمة من حيث النشاط، ومن بينهم SERVERS TECH FZCO في الإمارات، وOMC في إسرائيل، وTürk Telekom في تركيا، وRegxa في العراق. وأشار التحليل إلى أن Türk Telekom سجلت أعلى تنوع في عائلات البرمجيات الخبيثة، بينما صُنفت Regxa كبيئة تحمل مؤشرات مرتفعة مرتبطة بما يعرف بـ “bulletproof hosting”، مع ربط بعض بنيتها التحتية بحملة تجسس في فبراير 2026 نُسبت إلى مجموعة Eagle Werewolf.

وشملت الأدوات والبرمجيات المرصودة طيفاً واسعاً يضم Tactical RMM وCobalt Strike وSliver وAsyncRAT وMirai وMozi وHajime، بالإضافة إلى بنى مرتبطة بالتصيد والبوتنت وأطر ما بعد الاختراق. ووفقاً لـ Hunt.io، شكلت خوادم القيادة والتحكم الحصة الأكبر من مجمل الأنشطة الخبيثة المرصودة داخل بيئات الاستضافة الإقليمية، مقارنة بحالات أقل للتصيد أو الأدلة المنشورة عن مؤشرات الاختراق.

وتبرز أهمية هذه النتائج في أن حظر عناوين البروتوكول (IP) المنفردة أو النطاقات الخبيثة قد لا يكون كافياً في ظل التغير السريع للمؤشرات، بينما توفر أنماط الاستضافة المتكررة رؤية أكثر ثباتاً لسلوك المهاجمين. ومع ذلك، يلفت التقرير الانتباه إلى معضلة عملية تواجه فرق الدفاع؛ حيث يختلط النشاط الخبيث بشبكات تجارية مشروعة، ما يجعل خيارات الحظر الواسع لمزودين أو مناطق بالكامل أمراً صعباً قد يتسبب في أضرار للخدمات النظامية.

وتخلص هذه النتائج إلى ضرورة اعتماد آليات رصد أكثر دقة تستهدف المزودين والأنظمة المستضافة وأنماط إعادة الاستخدام، دون تحويل ذلك إلى اتهام مباشر للشركات المالكة للبنية التحتية. فبحسب التقرير، تكمن القيمة الأمنية المضافة في ترتيب أولويات المراقبة والاستجابة بناء على نقاط تكرار البنية الخبيثة، بدلاً من الاكتفاء بمؤشرات متغيرة بشكل يومي.