عودة مجموعة Infy بخوادم C2 بعد حظر الإنترنت

كشفت تقارير أمنية أن مجموعة Infy عادت بخوادم C2 جديدة بعد رفع حظر الإنترنت في إيران، ما يلمح لدعم رسمي وتحول في أساليبها وفق مؤشرات حديثة.

لماذا عادت مجموعة Infy بخوادم C2 جديدة؟

خلال الإغلاق الذي بدأ مطلع الشهر، توقفت خوادم التحكم لدى Infy لأول مرة منذ سنوات، وهو توقف تزامن مع حجب واسع للاتصال داخل إيران.

وعند 26 يناير 2026 ظهرت بنية جديدة قبل يوم من تخفيف القيود، وهو ما يراه محللو تيكبامين مؤشراً على ارتباط حكومي مباشر.

اللافت أن توقف الصيانة حدث في اليوم نفسه الذي فُرض فيه الإغلاق، ما يوحي بأن حتى الوحدات المرتبطة بالحكومة لم تكن قادرة على العمل خلال الانقطاع.

تسلسل زمني واضح

المتابعة بين 19 ديسمبر 2025 و3 فبراير 2026 أظهرت استبدال البنية لكل الإصدارات النشطة مع عودة تركيز الهجمات على الأفراد.

• 8 يناير: توقف صيانة خوادم التحكم.
• 26 يناير 2026: إعداد خوادم C2 جديدة.
• 27 يناير: تخفيف قيود الإنترنت داخل إيران.
• أوائل فبراير: استئناف الهجمات الموجهة.

ما الذي يكشفه نمط التوقف والعودة؟

هذا النمط يقدم دليلاً عملياً على التنسيق الزمني، ويُظهر أن البنية أعيد تجهيزها بسرعة فور اقتراب عودة الاتصال.

• توقيت متزامن مع قرار الحجب.
• إعادة بناء خوادم خلال أقل من ثلاثة أسابيع.
• استهداف أفراد للحصول على معلومات حساسة.

كيف تغيّرت أدوات Infy مثل Foudre وTornado؟

التحديثات شملت عائلة Foudre وأداة Tonnerre التي تطورت إلى Tornado في الإصدار 50، مع الاعتماد على بوت Telegram لإرسال الأوامر وجمع البيانات.

تاريخ المجموعة يعود إلى 2004 وتشتهر بهجمات دقيقة لجمع معلومات عن معارضين وباحثين، مع تجنب الضجيج الإعلامي.

ما الجديد في Tornado 51؟

الإصدار 51 أضاف قنوات مزدوجة للعمل عبر HTTP وTelegram، ما يمنح المهاجمين قدرة أعلى على الاستمرارية والمراوغة.

• دعم قناتين للتحكم عن بعد بدل قناة واحدة.
• استبدال خوادم التحكم لجميع إصدارات Foudre وTonnerre.
• تحسين التمويه لتفادي اكتشاف حركة الشبكة.

استبدال الخوادم لجميع الإصدارات يوحي بعملية إعادة تموضع شاملة تهدف إلى تنظيف الآثار القديمة وتقليل فرص التعقب.

ما دور Telegram وDGA في البنية الجديدة؟

تعتمد البنية التحتية C2 الجديدة على توليد أسماء نطاقات بطرق يصعب التنبؤ بها، ما يقلل الحاجة لتحديثات متكررة من جانب المهاجمين.

الاعتماد على Telegram يوفر قناة بديلة عندما تُغلق النطاقات، كما أن الحركة تبدو عادية وسط الاستخدام اليومي للتطبيق.

مرونة في تسجيل النطاقات

تُستخدم طريقتان متوازيتان لتوليد العناوين، وهو أسلوب يمنح مرونة في التسجيل ويصعّب إيقاف الخوادم سريعاً.

• خوارزمية DGA جديدة لتغيير النطاقات بشكل دوري.
• أسماء ثابتة تُستخرج عبر تفكيك بيانات البلوكتشين.

هل استُخدمت ثغرة WinRAR في الهجمات الأخيرة؟

هناك دلائل على استغلال ثغرة يوم واحد في WinRAR برقمَي CVE-2025-8088 أو CVE-2025-6218 لاستخراج حمولة Tornado على الأجهزة المصابة.

هذا التحول يوحي بتكتيك اختراق أكثر دقة يتماشى مع سجل عمليات التجسس منذ 2004، ويعني أن التحديثات الأمنية والتدقيق في الملفات المضغوطة باتت ضرورة.

• تحديث WinRAR فوراً إلى أحدث إصدار.
• مراقبة الاتصالات الصادرة إلى نطاقات تتغير باستمرار.
• تفعيل عزل المرفقات وفحص الملفات المضغوطة.

وتشير ملاحظات تيكبامين إلى أن مجموعة Infy ستواصل تبديل خوادمها، لذلك يُنصح بتعزيز المراقبة الشبكية وتحديث WinRAR بشكل منتظم.