في خطوة جديدة تعكس تصاعد الجهود الدولية لمكافحة الجريمة السيبرانية المنظمة، أعلنت شركة Resecurity دعمها لوحدة الجرائم الرقمية التابعة لشركة Microsoft (Digital Crimes Unit – DCU) في عملية استهدفت تفكيك البنية التشغيلية لمجموعة Fox Tempest، وهي جهة تهديد سيبراني ذات دوافع مالية اشتهرت بتقديم خدمات توقيع البرمجيات الخبيثة كخدمة (Malware-Signing-as-a-Service – MSaaS)، بما يسمح للمهاجمين بإضفاء مظهر شرعي على الملفات الضارة وتجاوز آليات الحماية الأمنية.
في 19 مايو (أيار) 2026، كشفت Microsoft عن دعوى قضائية أمام المحكمة الفيدرالية الأميركية للمنطقة الجنوبية من ولاية نيويورك، استهدفت من خلالها نشاط Fox Tempest الإجرامي. ووفقاً لما أوضحته الشركة، استغلت المجموعة خدمة Microsoft Artifact Signing للحصول على شهادات توقيع رقمية بصورة احتيالية، الأمر الذي مكّن مجرمي الإنترنت من إخفاء البرمجيات الخبيثة تحت غطاء برامج موثوقة، ما يزيد من احتمالات تجاوز الضوابط الأمنية وتشغيل الملفات الضارة على أجهزة الضحايا.
شملت الإجراءات التي اتخذتها Microsoft ضمن عملية التعطيل والسيطرة عدداً من الخطوات الحاسمة، من بينها الاستيلاء على الموقع الإلكتروني التابع للمجموعة signspace[.]cloud، وتعطيل مئات الآلات الافتراضية المستخدمة في تنفيذ عملياتها، فضلاً عن قطع الوصول إلى البنية التحتية المستضيفة للشيفرات البرمجية الأساسية التي تعتمد عليها، وإلغاء أكثر من ألف شهادة توقيع رقمي مرتبطة بأنشطة Fox Tempest.
حلقة محورية في منظومة برامج الفدية
وعلى خلاف بعض الجماعات الإجرامية التي تستهدف الضحايا بشكل مباشر، اضطلعت Fox Tempest بدور محوري في المراحل المبكرة من سلسلة الهجمات السيبرانية، إذ وفرت خدمة متخصصة تتيح لجهات تهديد أخرى توقيع البرمجيات الخبيثة رقمياً، بما يعزز فعالية حملات التوزيع الخبيثة ويمنح البرمجيات الضارة قدراً أكبر من المصداقية الظاهرية أمام المستخدمين وأنظمة الحماية.
ربطت Microsoft الأنشطة المدعومة من قبل Fox Tempest بعدد من عمليات برامج الفدية والبرمجيات الخبيثة المعروفة، بما في ذلك تلك المرتبطة بمجموعات وعائلات برمجية مثل Vanilla Tempest وRhysida وOyster وLumma Stealer وVidar وINC وQilin وAkira، إلى جانب جهات أخرى مرتبطة أو متعاونة معها.
تعاون دولي بين القطاعين العام والخاص
في إطار التحقيقات والجهود الرامية إلى فهم آليات عمل المجموعة، تعاونت Resecurity مع وحدة الجرائم الرقمية في Microsoft للمساعدة في تحليل أساليب تشغيل Fox Tempest ونموذج أعمالها الإجرامي. كما أشارت Microsoft إلى التنسيق مع كل من المركز الأوروبي لمكافحة الجريمة السيبرانية التابع لـ Europol والمعروف باسم EC3، إضافة إلى مكتب التحقيقات الفيدرالي الأميركي FBI.
ويعكس هذا التعاون المشترك بين المؤسسات الحكومية والشركات الخاصة أهمية الشراكات متعددة الأطراف في مواجهة البنى التحتية الإجرامية العابرة للحدود، والتي أصبحت أكثر تعقيداً وتنظيماً من أي وقت مضى.
تحوّل متسارع في اقتصاد الجريمة السيبرانية
تسلط القضية الضوء على تحول أوسع تشهده بيئة التهديدات الرقمية، حيث بات المهاجمون يعتمدون بصورة متزايدة على خدمات تجارية متخصصة وقابلة للتجزئة، توفر لهم مكونات جاهزة ضمن سلسلة الهجوم السيبراني، وتقلل من التعقيدات التقنية اللازمة لتنفيذ العمليات الخبيثة.
من خلال استغلال تقنية التوقيع الرقمي وتحويلها إلى أداة هجومية، ساعدت Fox Tempest في منح البرمجيات الخبيثة مظهراً موثوقاً، الأمر الذي يقلل من مستوى الشك لدى المستخدمين ويرفع احتمالات نجاح عمليات الاختراق.
استهداف البنية التحتية قبل وصول الهجمات إلى الضحايا
تؤكد هذه العملية أن استهداف الخدمات الداعمة للهجمات السيبرانية في مراحلها المبكرة يمثل أحد أكثر الأساليب فعالية في الحد من التهديدات. فعندما تتعرض منظومات التوقيع الرقمي الخبيثة للتفكيك أو الإضعاف، تفقد مجموعات برامج الفدية وموزعو البرمجيات الضارة إحدى أهم القدرات التي يعتمدون عليها في تنفيذ عملياتهم على نطاق واسع.
وبالتالي، تصبح الهجمات أكثر صعوبة من حيث التوسع والانتشار، في حين يحصل المدافعون وفرق الأمن السيبراني على فرص أكبر لاكتشاف التهديدات وإيقافها قبل أن تصل إلى الضحايا وتُحدث أضراراً فعلية.
