من استفاد من شبكة بوت نت كيم وولف؟

في قصتنا الأولى لعام 2026، كشفنا كيف أن شبكة بوت نت مدمرة تُدعى كيم وولف قد أصابت أكثر من مليوني جهاز من خلال اختراق عدد كبير من صناديق البث غير الرسمية لأندرويد TV. اليوم، سنستعرض الأدلة الرقمية التي تركها القراصنة، ومشغلو الشبكات، والخدمات التي يبدو أنها استفادت من انتشار كيم وولف.

في 17 ديسمبر 2025، نشرت شركة الأمن الصينية XLab تقريرًا مفصلًا عن كيم وولف، الذي يجبر الأجهزة المصابة على المشاركة في هجمات حجب الخدمة الموزعة (DDoS) ونقل حركة الإنترنت الضارة باسم خدمات الوكيل السكني.

البرامج التي تحول جهازك إلى وكيل سكني غالبًا ما تكون مدمجة بهدوء مع التطبيقات والألعاب المحمولة. استهدفت كيم وولف بشكل خاص البرمجيات الخاصة بالوكيل السكني التي تم تثبيتها مسبقًا على أكثر من ألف نموذج مختلف من أجهزة البث غير المصرح بها. بسرعة، يبدأ عنوان الإنترنت الخاص بالوكيل السكني في توجيه حركة المرور المرتبطة بعمليات الاحتيال الإعلانية، ومحاولات الاستيلاء على الحسابات، وجمع المحتوى بشكل جماعي.

أوضح تقرير XLab أن الباحثين وجدوا "أدلة قاطعة" على أن نفس المجرمين السيبرانيين والبنية التحتية تم استخدامها لنشر كل من كيم وولف وشبكة بوت نت أيسورو - النسخة السابقة من كيم وولف التي استعبدت أيضًا الأجهزة لاستخدامها في هجمات DDoS وخدمات الوكيل.

قالت XLab إنها اشتبهت منذ أكتوبر بأن كيم وولف وأيسورو لهما نفس المؤلفين والمشغلين، جزئيًا بناءً على التغييرات المشتركة في الشيفرة على مر الزمن. ولكنها أكدت تلك الشكوك في 8 ديسمبر عندما شهدت توزيع كلا نوعي الشبكات البوت نت من نفس عنوان الإنترنت 93.95.112[.]59.

الصورة: XLab.

ريسّي راك

تظهر السجلات العامة أن نطاق عنوان الإنترنت الذي تم الإبلاغ عنه من قبل XLab مُخصص لشركة Resi Rack LLC الواقعة في ليهاي، يوتا. يروج موقع Resi Rack لشركته كمزود استضافة خوادم ألعاب مميز. في الوقت نفسه، تشير إعلانات Resi Rack على منتدى كسب المال على الإنترنت BlackHatWorld إلى أنها شركة "حلول استضافة الوكيل السكني المميز".

قال Cassidy Hales، المؤسس المشارك لشركة Resi Rack، لـ KrebsOnSecurity إن شركته تلقت إشعارًا في 10 ديسمبر حول استخدام كيم وولف لشبكتهم "الذي يوضح ما كان يفعله أحد عملائنا الذين يستأجرون خوادمنا."

"عندما تلقينا هذا البريد الإلكتروني، قمنا بمعالجة هذه المشكلة على الفور،" كتب هيلز ردًا على بريد إلكتروني يطلب التعليق. "هذا شيء نشعر بخيبة أمل كبيرة لأنه مرتبط باسمنا، ولم يكن هذا هو نية شركتنا على الإطلاق."

كان عنوان الإنترنت الخاص بـ Resi Rack الذي استشهد به XLab في 8 ديسمبر قد جاء على رادار KrebsOnSecurity قبل أكثر من أسبوعين. Benjamin Brundage هو مؤسس شركة Synthient، وهي شركة ناشئة تتعقب خدمات الوكيل. في أواخر أكتوبر 2025، شارك برونداج أن الأشخاص الذين يبيعون خدمات الوكيل المختلفة التي استفادت من شبكات بوت نت أيسورو وكيم وولف كانوا يفعلون ذلك على خادم Discord جديد يُدعى resi[.]to.

في 24 نوفمبر 2025، يشارك أحد أعضاء قناة Discord الخاصة بـ resi-dot-to عنوان IP المسؤول عن توجيه حركة المرور عبر صناديق البث التي أصيبت بشبكة بوت نت كيم وولف.

عندما انضمت KrebsOnSecurity إلى قناة Discord الخاصة بـ resi[.]to في أواخر أكتوبر كمراقب صامت، كان لدى الخادم أقل من 150 عضوًا، بما في ذلك "Shox" - اللقب المستخدم من قبل المؤسس المشارك لشركة Resi Rack السيد هيلز - وشريكه في العمل "Linus"، الذي لم يرد على طلبات التعليق.

كان أعضاء آخرون في قناة Discord الخاصة بـ resi[.]to يشاركون بشكل دوري عناوين IP جديدة كانت مسؤولة عن توجيه حركة المرور عبر شبكة بوت نت كيم وولف. كما يظهر لقطة الشاشة من resi[.]to أعلاه، تم استخدام عنوان الإنترنت الخاص بـ Resi Rack الذي تم الإبلاغ عنه من قبل XLab بواسطة كيم وولف لتوجيه حركة المرور عبر الوكيل منذ 24 نوفمبر، إن لم يكن قبل ذلك. بشكل عام، قالت Synthient إنها تتبعت ما لا يقل عن سبعة عناوين IP ثابتة من Resi Rack مرتبطة بالبنية التحتية للوكيل لكيم وولف بين أكتوبر وديسمبر 2025.

لم يرد أي من المالكين المشاركين لشركة Resi Rack على أسئلة المتابعة. كان كلاهما نشطين في بيع خدمات الوكيل عبر Discord لمدة عامين تقريبًا. وفقًا لمراجعة رسائل Discord التي تم فهرستها من قبل شركة الاستخبارات السيبرانية Flashpoint، قضى شوق ولينوس معظم عام 2024 في بيع "وكلاء ISP" الثابتين من خلال توجيه كتل عناوين الإنترنت المختلفة إلى مزودي خدمة الإنترنت الرئيسيين في الولايات المتحدة.

في فبراير 2025، أعلنت AT&T أنه اعتبارًا من 31 يوليو 2025، لن تقوم بعد الآن بتوجيه المسارات لكتل الشبكة التي لا تمتلكها وتديرها AT&T (وقد اتخذت مزودي خدمة الإنترنت الرئيسيين الآخرين خطوات مماثلة منذ ذلك الحين). بعد أقل من شهر، أخبر شوق ولينوس العملاء أنهم سيوقفون قريبًا تقديم وكلاء ISP الثابتين نتيجة لهذه التغييرات في السياسة.

شوق ولينوس، يتحدثان عن قرارهم بوقف بيع وكلاء ISP.

دورت وسنوا

المالك المعلن لخادم Discord الخاص بـ resi[.]to كان يُعرف باسم المستخدم المختصر "D". يبدو أن تلك الحرف الأولية مختصرة لاسم القراصنة "Dort"، وهو اسم تم ذكره بشكل متكرر خلال محادثات Discord هذه.

ملف Dort الشخصي على resi dot to.

ظهر هذا اللقب "دورت" في محادثات KrebsOnSecurity الأخيرة مع "Forky"، رجل برازيلي اعترف بأنه كان متورطًا في تسويق شبكة بوت نت أيسورو في بدايتها في أواخر 2024. لكن فوركي نفى بشدة أن يكون له أي علاقة بسلسلة من هجمات DDoS الضخمة التي تم إلقاء اللوم عليها على أيسورو في النصف الثاني من عام 2025، قائلاً إن الشبكة البوت نت بحلول ذلك الوقت كانت قد تم الاستيلاء عليها من قبل المنافسين.

يؤكد فوركي أن دورت هو مقيم في كندا وأحد شخصين على الأقل يتحكمون حاليًا في شبكة بوت نت أيسورو/كيم وولف. الشخص الآخر الذي أطلق عليه فوركي لقب "سنوا".

في 2 يناير - بعد ساعات من نشر قصتنا عن كيم وولف - تم حذف سجلات الدردشة التاريخية على resi[.]to دون تحذير واستبدلت برسالة مليئة بالشتائم لمؤسس Synthient. بعد دقائق من ذلك، اختفى الخادم بالكامل.

في وقت لاحق من نفس اليوم، انتقل العديد من الأعضاء الأكثر نشاطًا في خادم Discord الذي تم إغلاقه الآن إلى قناة Telegram حيث نشروا معلومات شخصية لبرونداج، وعبروا عمومًا عن عدم قدرتهم على العثور على استضافة "مضادة للرصاص" موثوقة لشبكتهم البوت نت.

بشكل مضحك، ظهر مستخدم يحمل اسم "Richard Remington" لفترة وجيزة في خادم Telegram الخاص بالمجموعة ليقوم بنشر رسم "سنة جديدة سعيد" فظ يدعي أن دورت وسنوا يتحكمون الآن في 3.5 مليون جهاز مصاب بشبكة أيسورو و/أو كيم وولف. تم حذف حساب تيليجرام الخاص بـ Richard Remington منذ ذلك الحين، لكن حسابه السابق ذكر أن مالكه يدير موقعًا يقدم خدمات DDoS-for-hire أو "stresser" التي تسعى لاختبار قوتها.

بايتكونكت، بلاين بروكسيز، و3XK تكنولوجي

وجدت تقارير من كل من Synthient وXLab أن كيم وولف تم استخدامه لنشر برامج حولت الأنظمة المصابة إلى موصلات لحركة الإنترنت للعديد من خدمات الوكيل السكني. من بين هذه المكونات التي ثبتت مجموعة تطوير البرمجيات (SDK) تُدعى بايتكونكت، التي يتم توزيعها من قبل مزود معروف باسم Plainproxies.

تقول بايتكونكت إنها تتخصص في "تحقيق الربح من التطبيقات بشكل أخلاقي ومجاني"، بينما تعلن Plainproxies عن قدرتها على توفير شركات جمع المحتوى بـ "مجموعة غير محدودة" من الوكلاء. ومع ذلك، قالت Synthient إنه عند الاتصال بـ SDK الخاص بـ ByteConnect، لاحظوا بدلاً من ذلك تدفقًا هائلًا من هجمات ملء بيانات الاعتماد التي تستهدف خوادم البريد الإلكتروني والمواقع الإلكترونية الشهيرة.

تظهر عملية البحث على LinkedIn أن الرئيس التنفيذي لشركة Plainproxies هو Friedrich Kraft، الذي تقول سيرته الذاتية إنه المؤسس المشارك لشركة ByteConnect Ltd. تظهر سجلات توجيه الإنترنت العامة أن السيد كرافت يدير أيضًا شركة استضافة في ألمانيا تُدعى 3XK Tech GmbH. لم يرد السيد كرافت على طلبات متعددة لإجراء مقابلة.

في يوليو 2025، أفادت Cloudflare أن 3XK Tech (المعروفة أيضًا باسم Drei-K-Tech) أصبحت أكبر مصدر لهجمات DDoS على مستوى تطبيق الإنترنت. في نوفمبر 2025، وجدت شركة الأمن GreyNoise Intelligence أن عناوين الإنترنت على 3XK Tech كانت مسؤولة عن حوالي ثلاثة أرباع عمليات المسح على الإنترنت التي كانت تُجرى في ذلك الوقت بحثًا عن ثغرة جديدة ومهمة في منتجات الأمان التي تنتجها Palo Alto Networks.

المصدر: تقرير Cloudflare الخاص بتهديدات DDoS في الربع الثاني من عام 2025.

يوجد على LinkedIn ملف شخصي آخر لموظف في Plainproxies، Julia Levi، التي تُدرج كمؤسسة مشاركة لـ ByteConnect. لم ترد السيدة ليفي على طلبات التعليق. تقول سيرتها الذاتية إنها عملت سابقًا لدى مزودين رئيسيين للوكيل: Netnut Proxy Network وBright Data.

قالت Synthient أيضًا إن Plainproxies تجاهلت تواصلهم، مشيرة إلى أن SDK الخاص بـ Byteconnect لا يزال نشطًا على الأجهزة التي تم اختراقها بواسطة كيم وولف.

ماسكي فاي

قال تقرير Synthient في 2 يناير إن مزود الوكيل الآخر المتورط بشدة في بيع وكلاء كيم وولف كان ماسكي فاي، الذي يعلن حاليًا على العديد من المنتديات الإجرامية أنه يمتلك أكثر من ستة ملايين عنوان إنترنت سكني للإيجار.

تسعر ماسكي فاي خدمتها بمعدل 30 سنتًا لكل جيجابايت من البيانات التي يتم توجيهها عبر وكلائها. وفقًا لـ Synthient، فإن هذا النطاق السعري منخفض بشكل غير معقول وأرخص بكثير من أي مزود وكيل آخر في السوق اليوم.

"تلقت مجموعة أبحاث Synthient لقطات شاشة من مزودين آخرين للوكيل تظهر أن الفاعلين الرئيسيين في كيم وولف يحاولون التخلص من عرض النطاق الترددي للوكيل مقابل نقود مسبقة،" أشار تقرير Synthient. "من المحتمل أن يساعد هذا النهج في تعزيز التطوير المبكر، مع إنفاق الأعضاء المرتبطين على البنية التحتية ومهام التطوير الخارجية. يرجى ملاحظة أن البائعين يعرفون تمامًا ما الذي يبيعونه؛ الوكلاء بهذه الأسعار ليست مصادر أخلاقية."

لم يرد ماسكي فاي على طلبات التعليق.

موقع ماسكي فاي. الصورة: Synthient.

ردود فعل مشغلي الشبكة

بعد ساعات من نشر قصتنا الأولى عن كيم وولف الأسبوع الماضي، اختفى خادم Discord الخاص بـ resi[.]to، وتعرض موقع Synthient لهجوم DDoS، وبدأ مشغلو كيم وولف في تهديد برونداج عبر شبكتهم البوت نت.

ظهرت الرسائل المزعجة كسجلات نصية تم تحميلها على خدمة أسماء الإيثيريوم (ENS)، وهو نظام موزع يدعم العقود الذكية التي تم نشرها على سلسلة الكتل الخاصة بالإيثيريوم. كما وثق XLab، في منتصف ديسمبر، قام مشغلو كيم وولف بترقية بنيتهم التحتية وبدأوا في استخدام ENS لتحمل جهود الإزالة المستمرة التي تستهدف خوادم التحكم في الشبكة البوت نت.

سجل ENS يستخدمه مشغلو كيم وولف لتحدي الشركات الأمنية التي تحاول إيقاف خوادم التحكم في الشبكة البوت نت. الصورة: XLab.

من خلال إخبار الأنظمة المصابة بالبحث عن خوادم التحكم في كيم وولف عبر ENS، حتى إذا تم إيقاف تشغيل الخوادم التي يستخدمها المشغلون للتحكم في الشبكة البوت نت، سيحتاج المهاجم فقط إلى تحديث سجل نص ENS ليعكس عنوان الإنترنت الجديد لخادم التحكم، وستعرف الأجهزة المصابة على الفور إلى أين تبحث عن التعليمات الإضافية.

"يعتمد هذا القناة نفسها على الطبيعة اللامركزية للكتلة، غير المنظمة من قبل الإيثيريوم أو مشغلي الكتل الآخرين، ولا يمكن حظره،" كتب XLab.

يمكن أن تتضمن السجلات النصية المرتبطة بكيم وولف أيضًا رسائل قصيرة، مثل تلك التي حملت المعلومات الشخصية لبرونداج. عرضت سجلات ENS النصية الأخرى المرتبطة بكيم وولف بعض النصائح الحكيمة: "إذا تم الإبلاغ عنك، نشجع على تدمير صندوق التلفاز."

سجل ENS مرتبط بشبكة بوت نت كيم وولف ينصح: "إذا تم الإبلاغ عنك، نشجع على تدمير صندوق التلفاز."

تقول كل من Synthient وXLabs إن كيم وولف تستهدف عددًا كبيرًا من نماذج صناديق البث أندرويد TV، جميعها بدون أي حماية أمنية، والعديد منها يأتي مع برامج ضارة للوكيل مدمجة. بشكل عام، إذا كنت تستطيع إرسال حزمة بيانات إلى أحد هذه الأجهزة، يمكنك أيضًا السيطرة عليها إداريًا.

إذا كنت تمتلك صندوق تلفاز يتطابق مع أحد هذه الأسماء والنماذج، يرجى إزالته من شبكتك. إذا واجهت أحد هذه الأجهزة على شبكة أحد أفراد العائلة أو الأصدقاء، أرسل لهم رابطًا لهذه القصة (أو إلى قصتنا في 2 يناير عن كيم وولف) واشرح أنه لا يستحق العناء المحتمل والإزعاج الناتج عن إبقائه موصولًا.