كشفت Cloudflare في تقريرها السنوي الافتتاحي للتهديدات لعام 2026 عن تغير ملموس في سلوك الخصوم الرقميين خلال عام 2025 وما يليه، حيث تراجعت أولوية الهجمات التي تعتمد على اختراق الأنظمة بالقوة التقليدية أمام نمط مستحدث يستغل الثقة الممنوحة داخل المنظومات الرقمية. يرتكز هذا التوجه الجديد على سرقة رموز الجلسات واستغلال تكاملات منصات البرمجيات كخدمة (SaaS) ذات الصلاحيات الواسعة، مع تعمد إخفاء البنية التحتية للهجوم داخل خدمات سحابية مشروعة لتقليل فرص الاكتشاف وزيادة الصعوبة في تمييز النشاط الضار عن العمليات اليومية الطبيعية.
تعتمد استنتاجات وحدة Cloudforce One التابعة للشركة على بيانات مستمدة من شبكة عالمية تدير نحو 20% من حركة الويب، وتغطي الأنشطة المرصودة حتى نهاية 2025 مع تقديم رؤى استشرافية لعام 2026. تشير البيانات إلى أن شبكة Cloudflare تحجب يومياً أكثر من 230 مليار تهديد، وهو رقم يعكس تسارعاً كبيراً نحو أتمتة دورة الهجوم وتحويلها إلى عمليات روتينية واسعة النطاق ومنخفضة التكلفة بالنسبة للمهاجمين.
استراتيجية الوصول الشرعي وتجاوز الدفاعات التقليدية عبر الهوية والسحابة
يستعرض التقرير مفهماً تحليلياً يُعرف بمقياس الفاعلية (MOE)، وهو معيار يقيس التوازن الذي يجريه المهاجم بين الجهد المبذول والعائد المتوقع. يتجه المهاجمون وفق هذا المنطق نحو المسارات الأقل كلفة، مثل الحصول على رمز جلسة مسروق بدلاً من محاولة استغلال ثغرات “يوم صفر” (Zero-day) عالية التعقيد، أو استخدام خدمات سحابية موثوقة كدرع لحماية سمعة الهجوم بدلاً من بناء بنية خبيثة يسهل رصدها.
يركز المهاجم حالياً على الدخول بصفة شرعية عبر رموز جلسات حية تُستخرج من أجهزة مصابة ببرمجيات سرقة المعلومات، مثل LummaC2، وتسمح هذه الرموز بتجاوز نظام المصادقة الثنائية (MFA) عبر استغلال جلسة مفتوحة وموثقة مسبقاً.
ارتبطت 54% من هجمات الفدية في عام 2025 بسرقة بيانات الاعتماد، وتحديداً عبر أدوات سرقة المعلومات، وذلك بالاستناد إلى بيانات Verizon DBIR 2025. وقد شاركت Cloudforce One في عملية دولية منسقة خلال مايو 2025 لتعطيل بنية LummaC2، إلا أن سلالات لاحقة بدأت تظهر بقدرات أتمتة تسرع الانتقال من مرحلة الإصابة الأولية إلى نشر برمجيات الفدية خلال ساعات قليلة. وتؤكد الأرقام أن الروبوتات تشكل 94% من محاولات تسجيل الدخول على شبكة Cloudflare، بينما تتضمن 46% من محاولات الدخول البشرية بيانات اعتماد سُربت في خروقات سابقة، وهذا الوضع يفرض تحويل التحكم بالوصول إلى عملية تحقق مستمرة وشاملة.
توسع نمط الهجوم المعروف بـ “العيش على خدمات السحابة” (Living off the XaaS)، حيث يمرر المهاجمون نشاطهم عبر منصات مشروعة مثل AWS وGoogle Cloud وAzure، بالإضافة إلى أدوات مكتبية مثل Google Calendar وDropbox.
رصد التقرير مجموعات مرتبطة بالصين تستخدم أوصاف الأحداث في Google Calendar لتمرير أوامر مشفرة، بينما استغلت مجموعات مرتبطة بإيران صفحات قيادة وتحكم مستضافة على Azure Web Apps. كما واصلت مجموعات مثل Salt Typhoon وLinen Typhoon استهداف مزودي الاتصالات في أميركا الشمالية والخدمات التقنية، وسجل التقرير حادثة مرتبطة بـ Microsoft SharePoint في يوليو 2025 كجزء من سعي هذه الجهات لضمان وجود دائم داخل البنى التحتية الحرجة لاستخدامه في الابتزاز أو الضغط الجيوسياسي مستقبلاً.
مخاطر التكاملات البرمجية وأتمتة الهجمات السيبرانية واسعة النطاق
تمثل تكاملات SaaS وواجهات برمجة التطبيقات (APIs) ثغرة أمنية متزايدة عند منحها صلاحيات مفرطة، إذ يؤدي اختراق نقطة واحدة إلى سلسلة من التأثيرات المتلاحقة عبر بيئات مؤسسية متعددة. يبرز مثال حادثة GRUB1 المرتبطة بمنصة Salesloft كيفية توسع الاختراق إلى مئات الشركات عبر تكاملات الطرف الثالث، وهذا التحدي يضع المؤسسات أمام اختبارات حوكمة صارمة تتعلق بضبط أقل الصلاحيات اللازمة وإدارة الرموز البرمجية بشكل دقيق.
وفي قطاع البريد الإلكتروني، كشف تحليل 450 مليون رسالة عن هشاشة واسعة في بروتوكولات التوثيق، حيث فشلت 43% من الرسائل في فحص SPF وافتقر 44% منها لتوقيعات DKIM، بينما فشلت 46% في اختبار DMARC. تمنح هذه الفجوات بيئة مثالية لنماذج التصيد كخدمة، حيث تم انتحال علامات تجارية كبرى مثل Microsoft وWindows وStripe. كما تم اعتراض محاولات احتيال عبر البريد الإلكتروني للأعمال (BEC) تجاوزت قيمتها 123 مليون دولار في 2025، بمتوسط مبالغ مدروس بعناية لتجنب لفت انتباه الرقابة الإدارية داخل الشركات.
شهدت هجمات حجب الخدمة (DDoS) تضاعفاً كبيراً لتصل إلى 47.1 مليون هجمة في 2025، مع تسجيل أرقام قياسية بلغت 31.4 تيرابت في الثانية عبر هجوم UDP flood نفذته شبكة Aisuru في نوفمبر 2025. تمتاز معظم هذه الهجمات بقصر مدتها التي لا تتجاوز 10 دقائق، وهو توقيت يجعل الاستجابة البشرية غير فعالة ويفرض الاعتماد الكلي على الأتمتة.
كما رصد التقرير استخدام جهات مرتبطة بكوريا الشمالية لهويات مزورة وتقنيات التزييف العميق (Deepfake) للحصول على وظائف عن بعد في شركات غربية، بهدف تحويل الرواتب وتأمين وصول ضار للأنظمة الداخلية.. وفي سياق هجمات الفدية، استهدفت العصابات قطاعي التصنيع والبنية التحتية بنسبة تجاوزت 50% نظراً للتكلفة الباهظة للتوقف عن العمل في هذه المجالات.
