برمجية KadNap تصيب أكثر من 14,000 جهاز توجيه بينما تستهدف ClipXDaemon محافظ العملات المشفرة على نظام Linux

اكتشف باحثو الأمن السيبراني في فريق مختبرات Black Lotus التابعة لشركة Lumen سلالة برمجيات خبيثة متطورة تحمل اسم KadNap، والتي أصابت أكثر من 14,000 جهاز طرفي، وخاصة أجهزة توجيه من طراز Asus، لبناء شبكة روبوتية (Botnet) وكيلة خفية. تعمل هذه الشبكة منذ شهر أغسطس من عام 2025، وتستفيد من نسخة مخصصة من بروتوكول جدول التجزئة الموزع (DHT) من نوع Kademlia لإخفاء البنية التحتية للقيادة والتحكم (C2) داخل شبكة لامركزية من نوع الند للند (P2P). وفي الوقت نفسه، فصّل باحثون في شركة Cyble تهديداً منفصلاً لنظام Linux يُدعى ClipXDaemon، والذي يختطف بصمت معاملات العملات المشفرة في بيئات X11.

يعد فهم هذا المشهد المزدوج للتهديدات أمراً بالغ الأهمية لمسؤولي الشبكات، ومحترفي أمن تكنولوجيا المعلومات، ومستخدمي نظام Linux. من خلال تحليل البنية المرنة لشبكة KadNap والتنفيذ المعتمد على الذاكرة فقط لبرمجية ClipXDaemon، يمكن للمدافعين تأمين أجهزة الشبكات الطرفية بشكل أفضل ضد التجنيد كوكلاء، وحماية الأصول الرقمية من التلاعب الفوري بالحافظة.

وفقاً للتقرير، يقع أكثر من بنسبة 60% من ضحايا برمجية KadNap في الولايات المتحدة، مع انتشار إصابات إضافية في تايوان، وهونغ كونغ، وروسيا، والمملكة المتحدة، وأستراليا، والبرازيل، وفرنسا، وإيطاليا، وإسبانيا. بمجرد اختراق الجهاز، يتم تسويق النطاق الترددي الخاص به بواسطة خدمة وكيلة تُسمى Doppelgänger عبر النطاق (doppelganger[.]shop). تم إطلاق خدمة Doppelgänger في شهر مايو أو يونيو من عام 2025، ويُعتقد أنها إعادة تسمية لخدمة Faceless، وهي خدمة وكيلة ارتبطت سابقاً ببرمجية TheMoon، وتدعي تقديم إخفاء هوية بنسبة 100% عبر وكلاء مقيمين في أكثر من 50 دولة.

تبدأ سلسلة الإصابة ببرنامج نصي (Shell Script) يحمل اسم "aic.sh" يتم تنزيله من خادم القيادة والتحكم على عنوان IP رقم 212.104.141[.]140. يؤسس هذا البرنامج النصي الاستمرارية عن طريق إنشاء وظيفة مجدولة (Cron Job) تسترد الملف عند الدقيقة 55 من كل ساعة، وتعيد تسميته إلى ".asusrouter"، ثم تقوم بتشغيله. بعد ذلك، يسحب البرنامج النصي ملفاً خبيثاً بصيغة ELF، ويعيد تسميته إلى "kad"، وينشر برمجية KadNap الأساسية، القادرة على استهداف معالجات من معمارية ARM ومعمارية MIPS.

للحفاظ على شبكتها اللامركزية، تتصل برمجية KadNap بخادم بروتوكول وقت الشبكة (NTP) لجلب الوقت الحالي ومدة تشغيل المضيف. وتستخدم هذه البيانات لإنشاء تجزئة (Hash) لتحديد موقع أقران آخرين في شبكة DHT. علاوة على ذلك، تستخدم البرمجية الخبيثة ملفات محددة، وهي "fwr.sh" و "/tmp/.sose"، لإغلاق المنفذ رقم 22 (وهو منفذ TCP القياسي لبروتوكول Secure Shell) على الجهاز المصاب، مما يؤدي فعلياً إلى منع الجهات الفاعلة الخبيثة الأخرى من الدخول، قبل استخراج قائمة بمجموعات عناوين IP ومنافذ خوادم القيادة والتحكم.

بينما تستهدف برمجية KadNap حواف الشبكة، يستهدف تهديد جديد لمرحلة ما بعد الاستغلال في نظام Linux يُدعى ClipXDaemon المستخدمين النهائيين. يتم تقديم برمجية ClipXDaemon عبر إطار عمل ShadowHS، وهي عبارة عن أداة مستقلة لاختطاف حافظة العملات المشفرة مصممة خصيصاً لبيئات X11 في نظام Linux. يتم تشغيل البرمجية الخبيثة بالكامل في الذاكرة، وتراقب حافظة النظام كل 200 مللي ثانية، وتستبدل عناوين المحافظ المنسوخة بوجهات يتحكم فيها المهاجم في الوقت الفعلي.

تدعم البرمجية الخبيثة مجموعة واسعة من الأصول الرقمية، وتستهدف تحديداً محافظ Bitcoin، و Ethereum، و Litecoin، و Monero، و Tron، و Dogecoin، و Ripple، و TON. والجدير بالذكر أن برمجية ClipXDaemon تتجنب عمداً التنفيذ في جلسات Wayland. نظراً لأن بروتوكول خادم العرض Wayland يتطلب تفاعلاً صريحاً من المستخدم قبل أن تتمكن التطبيقات من الوصول إلى محتوى الحافظة، فإن البرمجية الخبيثة تعطل نفسها في هذه البيئات لمنع فشل التشغيل وتجنب إحداث ضوضاء مشبوهة.

يسلط الصعود المتزامن لبرمجية KadNap وبرمجية ClipXDaemon الضوء على تطور واضح في كيفية تعامل الجهات الفاعلة في مجال التهديدات مع أنظمة Linux وبيئات إنترنت الأشياء (IoT). يوضح استخدام برمجية KadNap لبروتوكول DHT مخصص لإخفاء بنيتها التحتية للقيادة والتحكم تحولاً بعيداً عن الخوادم المركزية التي يسهل حظرها نحو شبكات روبوتية لامركزية عالية المرونة. من خلال تحقيق الدخل من أجهزة توجيه Asus المخترقة عبر خدمة Doppelgänger الوكيلة، ينشئ المهاجمون نموذج عمل غير مشروع ومكتفٍ ذاتياً. وفي الوقت نفسه، يثبت التجنب المتعمد لبرمجية ClipXDaemon لجلسات Wayland أن برمجيات Linux الخبيثة الحديثة أصبحت تدرك السياق بشكل كبير. إن حقيقة أنها تعمل بالكامل بدون منطق القيادة والتحكم تجعل من الصعب للغاية على أدوات مراقبة الشبكة التقليدية اكتشافها، مما يؤكد الحاجة الملحة لأمن قوي لنقاط النهاية وتسريع اعتماد بروتوكول Wayland عبر توزيعات نظام Linux.

كيف يمكنني حماية جهاز التوجيه الخاص بي من شبكة KadNap الروبوتية؟

يجب على المستخدمين الذين يقومون بتشغيل أجهزة توجيه SOHO، وخاصة طرازات شركة Asus، إعادة تشغيل أجهزتهم بانتظام، وتطبيق أحدث تحديثات البرامج الثابتة، وتغيير كلمات المرور الإدارية الافتراضية، وتعطيل واجهات الإدارة عن بُعد، واستبدال أي أجهزة انتهى عمرها الافتراضي ولم تعد تتلقى تصحيحات أمنية.

لماذا تتجنب برمجية ClipXDaemon جلسات Wayland؟

تفرض البنية الأمنية لبروتوكول Wayland عزلاً صارماً، مما يتطلب تفاعلاً صريحاً من المستخدم قبل أن يتمكن التطبيق من قراءة الحافظة. تقوم برمجية ClipXDaemon بتعطيل نفسها في بيئة Wayland لتجنب إطلاق تنبيهات أمنية أو التعطل، مع التركيز حصرياً على بيئات X11 الأكثر تساهلاً.