كشفت شركة Resecurity عن بنية Fast Flux تستخدمها مجموعة الابتزاز السيبراني Silent Ransom Group SRG لإخفاء بنيتها التشغيلية وتعزيز قدرتها على مواصلة أنشطتها. وشاركت الشركة المعلومات المتاحة مع مجتمع الأمن السيبراني بهدف تعطيل الأنشطة الخبيثة، وتمكين مزودي خدمات الإنترنت وموفري DNS من مواجهة التهديد بصورة أسرع وأكثر فاعلية.
وتشير النتائج إلى أن المجموعة اعتمدت على بنية DNS Fast Flux لإخفاء مواردها التشغيلية وتقليل فرص تعطيلها، وذلك عبر تدوير عناوين IP المرتبطة بنطاقاتها بسرعة وبصورة متكررة. ويساعد هذا الأسلوب الجهات الإجرامية على إبقاء مواقعها وخدماتها متاحة رغم محاولات الحجب أو الإزالة، خصوصاً عندما ترتبط تلك الخدمات بمواقع تسريب البيانات أو قنوات الضغط على الضحايا.
وأوضحت Resecurity أن خبراءها رصدوا كذلك استخدام آلية مخصصة لمنع فهرسة موقع تسريب البيانات الخاص بالمجموعة؛ حيث تعتمد المجموعة على التحقق من وجود قيمة مخصصة تشبه رموز الحماية من تزوير الطلبات عبر المواقع لتقييد الوصول. ويعتمد هذا الأسلوب على سلسلة فريدة وسرية وغير قابلة للتنبؤ تنشئها التطبيقات من جهة الخادم وترتبط بجلسة المستخدم، بما يضيف طبقة تعقيد أمام محركات الفهرسة ومحاولات الرصد الآلي.
ويأتي هذا النشاط في سياق تحذيرات متزايدة من تحركات SRG، إذ أصدر مكتب التحقيقات الفيدرالي (FBI) تنبيهاً حديثاً بشأن المجموعة، مشيراً إلى استهدافها مكاتب محاماة أميركية وقطاعات أخرى من خلال الهندسة الاجتماعية وهجمات تنفذ حضورياً. ويمنح الجمع بين الهندسة الاجتماعية والبنية التحتية المرنة المجموعة قدرة أكبر على تنفيذ حملات ضغط متتابعة ضد مؤسسات حساسة.
إصابة أجهزة IoT وCPE الضعيفة توسع حضور العقد وتدعم استهداف شركات قانونية كبرى
حددت Resecurity عقد Fast Flux في نطاق جغرافي واسع شمل أميركا اللاتينية وأوروبا الشرقية وآسيا الوسطى والشرق الأوسط وأفريقيا وشرق آسيا ومنطقة الكاريبي. وبرزت العقد في البرازيل والمكسيك والأرجنتين والإكوادور وكولومبيا وبوليفيا وكوستاريكا وبيرو وبنما، إلى جانب بلغاريا وكرواتيا ومقدونيا الشمالية، وأوزبكستان وقيرغيزستان، ومصر والسعودية وتونس، وكوريا الجنوبية، وجامايكا وجمهورية الدومينيكان.
ويرجح أن تكون العقد جزءاً من شبكة أجهزة مصابة، تشمل أجهزة إنترنت الأشياء ومعدات تزويد العملاء بالخدمة في مقراتهم (CPE) مثل أجهزة التوجيه والمودم والبوابات المنزلية أو المؤسسية. وتوفر هذه الأجهزة، عند ضعف حمايتها أو إهمال تحديثها، مورداً مناسباً للمهاجمين لإخفاء مصدر النشاط الحقيقي وتوزيع حركة الاتصال عبر مواقع متعددة.
وتكتسب هذه البنية أهميتها من قدرتها على خدمة نموذج الابتزاز الذي تتبعه SRG ضد شركات قانونية كبرى، بما في ذلك شركات ضمن قائمة AmLaw 100. فمكاتب المحاماة تمتلك غالباً بيانات شديدة الحساسية تتعلق بقضايا وعمليات اندماج واستحواذ وعقود وتحقيقات داخلية، ما يجعلها هدفاً ذا قيمة عالية عند الجهات الإجرامية التي تراهن على الضغط المالي والسمعي.
كما رصدت Resecurity مشاريع سرية جديدة قد تكون مرتبطة بالمجموعة من حيث الملف التشغيلي والأهداف والبنية المرصودة، ومن بينها Spy Corporate الذي ظهر في مايو 2026. ويشير ذلك إلى احتمال توسع المنظومة المرتبطة بالمجموعة أو إعادة تغليف بعض أنشطتها تحت أسماء جديدة، بما يصعب عملية التتبع ويزيد الحاجة إلى مشاركة معلومات التهديدات بين القطاعين العام والخاص.
وكانت وكالة الأمن القومي الأمريكية (NSA)، ووكالة الأمن السيبراني وأمن البنية التحتية (CISA)، ومكتب التحقيقات الفيدرالي (FBI)، والمركز الأسترالي للأمن السيبراني (ACSC)، والمركز الكندي للأمن السيبراني (CCCS)، والمركز الوطني للأمن السيبراني في نيوزيلندا (NCSC) قد أصدروا في العام الماضي تنبيهاً مشتركاً بعنوان Fast Flux: A National Security Threat، شدد على أهمية التعاون بين القطاعين العام والخاص في مواجهة هذا النمط من البنى التحتية الخبيثة.
