
تستخدم الشبكات السرية للاتصال عبر الإنترنت بطريقة منخفضة التكلفة، منخفضة المخاطر، وقابلة للنفي، مما يخفي مصدر ونسبة الأنشطة الضارة. وقد تم ملاحظة أن الفاعلين يستخدمونها في كل مرحلة من مراحل سلسلة القتل السيبراني، من إجراء المسح كجزء من أعمال الاستطلاع، إلى توصيل البرمجيات الخبيثة، والتواصل مع هذه البرمجيات، واستخراج البيانات المسروقة من الضحية. كما يمكن استخدامها للتصفح العام القابل للنفي، مما يسمح للجهات المهددة بالبحث عن تقنيات الاستغلال، وأدوات وتقنيات جديدة، وضحاياهم دون نسبة. تستخدم بعض الشبكات السرية أيضًا من قبل عملاء شرعيين لتصفح الإنترنت، مما يجعل من الصعب نسبة الأنشطة الضارة.
هناك أدلة على أن الشبكات السرية المستخدمة من قبل الفاعلين المرتبطين بالصين تم إنشاؤها وصيانتها بواسطة شركات الأمن المعلوماتي الصينية. كانت هناك شبكة معروفة لدى المدافعين عن الشبكة باسم Raptor Train، والتي في عام 2024 أصابت أكثر من 200,000 جهاز في جميع أنحاء العالم، وتم التحكم بها وإدارتها من قبل الشركة الصينية Integrity Technology Group. كما تم تقييم هذه الشركة من قبل مكتب التحقيقات الفيدرالي كمسؤولة عن أنشطة الاقتحام الحاسوبي المنسوبة إلى قراصنة مرتبطين بالصين يعرفون بـ Flax Typhoon.
“تمثل عمليات البوت نت تهديدًا كبيرًا للمملكة المتحدة من خلال استغلال الثغرات في الأجهزة المتصلة اليومية بالإنترنت مع إمكانية القيام بهجمات سيبرانية على نطاق واسع”
تتكون الشبكات السرية في الغالب من أجهزة توجيه SOHO المساومة، لكنها تشمل أيضًا أي جهاز ضعيف يمكن استغلاله على نطاق واسع. كانت Raptor Train تتألف من آلاف أجهزة توجيه SOHO وأجهزة إنترنت الأشياء IoT، مثل كاميرات الويب ومسجلات الفيديو، بالإضافة إلى جدران الحماية وأجهزة التخزين المتصلة بالشبكة (NAS). كانت البوت نت KV المستخدمة من قبل Volt Typhoon تتكون أساسًا من أجهزة توجيه Cisco وNetGear الضعيفة. كانت الأجهزة الحافة ضعيفة لأنها كانت “منتهية العمر” – قديمة ولم تعد تتلقى تحديثات أو تصحيحات أمان من قبل الشركات المصنعة.
كانت صناعة الأمن السيبراني على علم بأمثلة على هذه الشبكات لبعض الوقت وقد أبلغت علنًا عن النطاق الواسع للتهديد وتداعياته. أنتجت Mandiant Intelligence مدونة عامة في مايو 2024 تتحدث عن الشبكات السرية التي سلطت الضوء على قضية رئيسية للمدافعين – مؤشر المقايضة (IOC) انقراض. إذا كانت مجموعة تهديد معينة يمكن أن تأتي الآن من واحدة من العديد من الشبكات السرية، وكل منها يحتوي على potentially hundreds of thousands of endpoints، وكل منها يستخدمه العديد من الجهات المهددة، فإن paradigms السابقين للدفاع عن الشبكة من قوائم حظر IP الضارة الثابتة ستكون أقل فعالية. يتفاقم هذا من خلال الطابع الديناميكي لهذه الشبكات حيث ستضاف عقد جديدة مع تحديث أو إزالة الأجهزة القديمة من الاستخدام.
Source: UK NCSC (Cyber) (23 April 2026)







