تسلط شركة Tidal Cyber الضوء في تقريرها السنوي الصادر لعام 2025 على نقطة محورية تعيد صياغة مشهد التهديدات السيبرانية وتجبر المؤسسات على مراجعة أولوياتها الأمنية، وهي أن المهاجمين اليوم لا يغيرون تقنياتهم بالكامل، بل يبدّلون الإجراءات الدقيقة، ويعدلون التسلسل، ويغيرون الأوامر، ويعيدون تشكيل مسارات الوصول والتفادي، ضمن الحملة الواحدة.
تحدث هذه التعديلات فرقاً كبيراً في قدرة أدوات الرصد على اكتشاف الهجوم. لأن أغلب الضوابط الدفاعية تعتمد على أنماط أو بصمات تقنية محفوظة، أي أنها مبرمجة للتعرف على تسلسل معين أو أمر معين. وعندما تتغير هذه التفاصيل قد تفشل تلك الضوابط في التقاط الخطر.
بني تقرير Tidal Cyber على تحليل عشرات الآلاف من مشاهدات إجراءات وتقنيات الهجوم التي تم رصدها ضمن منصة الشركة، وربطها بإطار MITRE ATT&CK لتحديد كيف تتحرك سلوكيات المهاجمين عملياً عبر قطاعات وحملات متعددة. والنتيجة ظهرت بأن الفجوة تتمثل في مواكبة السلوكيات المتغيرة للمهاجمين، وليس فقط في نقص الأدوات.
تحولات داخل المجموعات لا في الأسماء فقط
يرصد التقرير تطوراً تكتيكياً لافتاً داخل مجموعات معروفة، يغير صورتها ويعيد تعريف أولويات المواجهة:
- Void Rabisu، المجموعة التي كانت تعرف بحملات فدية مالية، انتقل سلوكها في 2025 إلى نمط أقرب للتجسس السيبراني. توسعت أهدافها لتشمل قطاعات الاتصالات والطاقة، وجهات حكومية وعسكرية. كما تبنت أدوات وتقنيات استهداف تتلاءم مع بيئات المؤسسات والسحابة، مع تغييرات واضحة في آليات الوصول والتفادي.
- Scattered Spider، المجموعة المعروفة بنشاطها منذ 2022، واصلت توسعها عبر منصات متعددة، مع تركيز لافت على خدمات SaaS مثل Microsoft Teams وSalesforce وSlack وSharePoint وConfluence. اللافت أن التقرير رصد مئات الإجراءات المرتبطة بالمجموعة، بما يشير إلى قدرة عالية على التكيف مع اختلاف البيئات المستهدفة.
- Akira، واحدة من أبرز مجموعات برامج الفدية خلال العام، لم تتبن تقنيات جديدة بشكل جذري، لكنها حسّنت الإجراءات التفصيلية، وركزت على استهداف بيانات الاعتماد، وتسريب البيانات، وتعطيل أنظمة الاستعادة، باستخدام أدوات استطلاع داخلية تستخدم عادة من قبل فرق تقنية المعلومات.
تسارع استغلال ثغرات اليوم صفر
لا تقتصر التهديدات على التحولات السلوكية فقط؛ إذ يبرز التقرير أيضاً أن ثغرات اليوم صفر لم تعد مقتصرة على الجهات المدعومة من حكومات. في 2025، دخلت مجموعات مالية إلى هذا المجال، وبدأت باستغلال هذه الثغرات في هجمات ابتزازية ضد بيئات المؤسسات.
من الأمثلة البارزة، استغلال ثغرات في بيئة SharePoint وحملات مكثفة استهدفت أنظمة Ivanti VPN منذ ديسمبر 2024. المقلق هنا هو سرعة الانتقال من الاكتشاف إلى التنفيذ، إذ تقلصت النافذة الزمنية من أسابيع إلى أيام، ما يجعل الرصد السلوكي المبكر عاملاً حاسماً.
صعود جديد للهندسة الاجتماعية بدعم الأتمتة والذكاء الاصطناعي
عادت الهندسة الاجتماعية بقوة في 2025، لكن ليس بأساليب قديمة. جعلت الأتمتة وأدوات الذكاء الاصطناعي من حملات التصيد أكثر إقناعاً وتنظيماً، وتظهر أمثلة التشغيل التي رصدها التقرير أن المهاجم بات يستخدم قنوات متعددة تشمل المكالمات الصوتية والبنى التحتية والتطبيقات.
تحولت Luna Moth من حملة تصيد بسيطة إلى عملية معقدة متعددة القنوات. أما UNC6040 فاستهدفت منصة Salesforce عبر التصيد الصوتي واستغلال عمليات OAuth، حيث أقنعت الضحية بإعطاء صلاحيات لتطبيقات متصلة خبيثة، غالباً باستخدام أدوات رسمية معدلة مثل Salesforce Data Loader.
أما UNC6395 بدورها، فاستغلت تكامل Salesloft مع Salesforce، واعتمدت على رموز OAuth مخترقة للوصول إلى بيانات المؤسسات، ما دفع Salesforce وشركاءها إلى إلغاء الرموز في أغسطس 2025 في محاولة لاحتواء الاختراق.
منظومة الفدية تتفكك وتتشظى على حساب الضحية
تتحدث Tidal Cyber عن تحول نوعي في مشهد الفدية تعيد خلاله المجموعات استخدام إجراءات بعضها البعض، مع تقاطع في أدوات الاستطلاع والتسلل وتعطيل الاستعادة، وفق نموذج ثلاثي الأبعاد يقوم على سرقة البيانات، وتعطيل الأنظمة، واختراق الهوية.
بالتالي، فإن محاولة مواجهة الهجمات عبر التركيز على أسماء برمجيات خبيثة بعينها لم تعد كافية، لأن السلوكيات التشغيلية هي التي تتكرر، لا الأسماء أو الأدوات.
أين تكمن الفجوة؟
ينتهي تقرير Tidal Cyber إلى خلاصة حاسمة مفادها أن الدفاعات تفشل في التقاط سلوك المهاجم لا بسبب نقص الأدوات، بل لأن المؤسسات لا تراقب الطبقة الإجرائية بنفس الحزم الذي تراقب به الطبقة التقنية. بمعنى آخر، قد تعرف المؤسسة أن هناك هجوماً، لكنها لا تعرف كيف ينفذ أو لا تلاحظ أن الطريقة تغيرت.
وهذا بالضبط ما يجعل الفرق بين مؤسسة تتعرّض للاختراق، وأخرى تنجح في منعه.
