نشرة أمنية: OpenAI Codex Security و MuddyWater Dindoor و ClickFix CastleRAT — 8 مارس 2026
أطلقت OpenAI أداة Codex Security، وهو وكيل أمني يعمل بالذكاء الاصطناعي فحص 1.2 مليون عملية إيداع للكود وحدد 10,561 ثغرة عالية الخطورة. مجموعة MuddyWater الإيرانية تخترق البنوك والمطارات الأمريكية باستخدام باب خلفي جديد Dindoor. برنامج الفدية Termite ينشر CastleRAT عبر هندسة اجتماعية ClickFix. Microsoft تحذر من أن القراصنة يسيئون استخدام الذكاء الاصطناعي في كل مرحلة من دورة حياة الهجوم. إليك كل ما تحتاج معرفته اليوم.
🤖 OpenAI Codex Security يفحص 1.2 مليون عملية إيداع ويكتشف 10,561 ثغرة عالية الخطورة
⚠️ وكيل أمني مدعوم بالذكاء الاصطناعي يبدأ العمل
أطلقت OpenAI أداة Codex Security، وهو وكيل أمني مدعوم بالذكاء الاصطناعي يراجع عمليات إيداع الكود بشكل مستقل بحثاً عن الثغرات. في أسبوعه الأول من التوفر العام، فحص 1.2 مليون عملية إيداع وحدد 10,561 ثغرة عالية الخطورة — بما في ذلك حقن SQL وتجاوز المصادقة والأسرار المشفرة في الكود.
القدرات الرئيسية
- مراجعة كود مستقلة — يفحص كل عملية إيداع في الوقت الفعلي، دون الحاجة لتوجيه بشري
- دعم متعدد اللغات — Python و JavaScript و TypeScript و Go و Rust و Java و C/C++ والمزيد
- تحليل مدرك للسياق — يفهم منطق الأعمال، وليس مجرد مطابقة الأنماط
- اقتراحات إصلاح تلقائية — يولد طلبات سحب تحتوي على كود المعالجة
- تكامل CI/CD — يتصل بـ GitHub Actions و GitLab CI وخطوط أنابيب Jenkins
التطور والتوفر
| المعلم | التاريخ | التفاصيل |
|---|---|---|
| النسخة التجريبية الخاصة Aardvark | أكتوبر 2025 | اختبار داخلي مع شركاء مؤسسيين مختارين |
| إطلاق Codex Security | مارس 2026 | التوفر العام لمستخدمي ChatGPT Pro/Enterprise/Business |
| نتائج الأسبوع الأول | 8 مارس 2026 | فحص 1.2 مليون عملية إيداع، واكتشاف 10,561 نتيجة عالية الخطورة |
💡 التأثير على الصناعة
يمثل Codex Security تحولاً كبيراً في أمن التطبيقات — الانتقال من الفحص الدوري إلى مراجعة الكود المستمرة المدعومة بالذكاء الاصطناعي. تشير 10,561 نتيجة عالية الخطورة في أسبوع واحد فقط إلى أن العديد من الثغرات تفلت من أدوات SAST/DAST التقليدية. متاح لمشتركي ChatGPT Pro و Enterprise و Business بدون تكلفة إضافية.
🦟 برنامج الفدية Termite ينشر CastleRAT عبر هندسة اجتماعية ClickFix
⚠️ تقنية جديدة لتوصيل برامج الفدية
مجموعة التهديد Velvet Tempest تنشر برنامج الفدية Termite باستخدام تقنية الهندسة الاجتماعية ClickFix بالتزامن مع أدوات Windows المشروعة لتوصيل برنامج DonutLoader الخبيث والباب الخلفي CastleRAT.
سلسلة الهجوم
- طُعم ClickFix — يواجه الضحايا رسائل خطأ مزيفة تطلب منهم "إصلاح" مشكلة عن طريق تشغيل أمر
- تنفيذ PowerShell — يقوم "الإصلاح" بتنفيذ نص PowerShell مشفر
- نشر DonutLoader — يستخدم أدوات Windows المشروعة (mshta.exe و certutil) لتحميل DonutLoader
- تثبيت CastleRAT — يقوم DonutLoader بنشر الباب الخلفي CastleRAT للوصول المستمر
- برنامج الفدية Termite — بمجرد رسم خريطة الشبكة وتسريب البيانات، يتم نشر برنامج الفدية Termite
قدرات CastleRAT
- تسجيل ضربات المفاتيح والتقاط الشاشة
- سرقة بيانات الاعتماد من المتصفحات ومديري كلمات المرور
- الحركة الجانبية عبر WMI و PsExec
- تسريب البيانات عبر قنوات مشفرة
- مقاومة التحليل — اكتشاف الآلات الافتراضية، التهرب من مصححات الأخطاء، الهروب من بيئة الحماية
🛡️ توصيات الدفاع
حظر هجمات نمط ClickFix من خلال تدريب المستخدمين على عدم تنفيذ الأوامر من رسائل الخطأ المنبثقة أبداً. تطبيق القوائم البيضاء للتطبيقات لمنع الاستخدام غير المصرح به لـ mshta.exe و certutil. مراقبة مؤشرات DonutLoader وأنماط تنفيذ PowerShell غير العادية.
🧠 Microsoft: جهات التهديد تسيء استخدام الذكاء الاصطناعي في كل مرحلة من الهجمات
⚠️ مشهد تهديدات متسارع بالذكاء الاصطناعي
يؤكد أحدث تقرير استخبارات التهديدات من Microsoft أن جهات التهديد تستخدم الذكاء الاصطناعي بشكل متزايد عبر جميع مراحل دورة حياة الهجوم — من الاستطلاع والهندسة الاجتماعية إلى تطوير البرامج الخبيثة والتهرب.
إساءة استخدام الذكاء الاصطناعي عبر سلسلة القتل
| مرحلة الهجوم | تطبيق الذكاء الاصطناعي | التأثير |
|---|---|---|
| الاستطلاع | جمع OSINT بالذكاء الاصطناعي، تنميط الأهداف | تحليل أسرع وأكثر شمولاً للأهداف |
| الهندسة الاجتماعية | التزييف العميق للصوت/الفيديو، تصيد بالذكاء الاصطناعي | معدلات نجاح أعلى، حملات متعددة اللغات |
| تطوير البرامج الخبيثة | كود مولد بالذكاء الاصطناعي، برامج خبيثة متعددة الأشكال | دورات تطوير أسرع، التهرب من التوقيعات |
| هجمات بيانات الاعتماد | رش كلمات المرور المحسن بالذكاء الاصطناعي، حل CAPTCHA | إنتاجية أعلى، تجاوز الحماية |
| التهرب | حمولات معدلة بالذكاء الاصطناعي لتجاوز EDR/AV | معدلات اكتشاف أقل |
🎯 الخلاصة الرئيسية
تؤكد Microsoft أن الذكاء الاصطناعي يخفض حاجز الدخول للجرائم الإلكترونية — يمكن للجهات الأقل مهارة الآن تنفيذ هجمات متطورة. يجب على المنظمات اعتماد دفاعات مدعومة بالذكاء الاصطناعي لمواكبة الهجمات المدعومة بالذكاء الاصطناعي. الاكتشاف التقليدي القائم على التوقيعات أصبح غير كافٍ بشكل متزايد.
🇮🇷 MuddyWater الإيراني يستهدف الولايات المتحدة بباب خلفي جديد Dindoor
⚠️ تجسس حكومي في البنية التحتية الحيوية الأمريكية
مجموعة MuddyWater (المعروفة أيضاً باسم Seedworm)، التابعة لوزارة الاستخبارات والأمن الإيرانية (MOIS)، تقوم بنشاط بالتغلغل في شبكات الشركات الأمريكية بما في ذلك البنوك والمطارات والمنظمات غير الربحية باستخدام باب خلفي جديد يسمى Dindoor.
الجدول الزمني للحملة
| التاريخ | الحدث |
|---|---|
| فبراير 2026 | رصد نشاط الحملة الأولي الذي يستهدف منظمات أمريكية |
| أواخر فبراير 2026 | تكثيف الحملة بعد الضربات الأمريكية/الإسرائيلية على المنشآت النووية الإيرانية |
| مارس 2026 | تحديد باب Dindoor الخلفي في شبكات مالية ونقل أمريكية متعددة |
التفاصيل التقنية لباب Dindoor الخلفي
- الوصول الأولي — تصيد موجه بمرفقات خبيثة تستغل ثغرات Office
- الاستمرارية — إنشاء خدمات Windows، مهام مجدولة، تعديلات السجل
- الاتصال — DNS-over-HTTPS (DoH) لقنوات C2 سرية، الاندماج مع حركة المرور المشروعة
- القدرات — تسريب الملفات، التقاط الشاشة، تسجيل ضربات المفاتيح، استطلاع الشبكة
- التهرب — ثنائيات Living-off-the-land (LOLBins)، تنفيذ بدون ملفات، حمولات مشفرة
🏛️ السياق الجيوسياسي
يرتبط تكثيف هذه الحملة ارتباطاً مباشراً بتصاعد التوترات الأمريكية الإيرانية في أعقاب الضربات العسكرية. استهداف MuddyWater للبنوك والمطارات يشير إلى جمع المعلومات الاستخباراتية والتموضع المحتمل لهجمات تخريبية. أصدرت CISA الأمريكية تحذيراً يحث مشغلي البنية التحتية الحيوية على البحث عن مؤشرات Dindoor.
🍎 CISA تأمر بتصحيح ثغرات Apple iOS المستغلة من مجموعة Coruna
⚠️ الوكالات الفيدرالية يجب أن تصحح فوراً
أمرت CISA جميع الوكالات الفيدرالية بتصحيح ثلاث ثغرات أمنية في Apple iOS يتم استغلالها بنشاط من قبل مجموعة استغلال Coruna في حملات التجسس الإلكتروني وسرقة العملات المشفرة.
الثغرات المستهدفة
- تلف ذاكرة WebKit — يسمح بتنفيذ كود عشوائي عبر محتوى ويب خبيث
- تصعيد صلاحيات النواة — يمكّن من الهروب من بيئة الحماية واختراق الجهاز بالكامل
- تجاوز إطار العمل الأمني — يتحايل على توقيع الكود وحماية وضع الحماية للتطبيقات
مجموعة استغلال Coruna
تقوم مجموعة استغلال Coruna بربط هذه الثغرات الثلاث معاً لتحقيق استغلال بدون نقر قادر على اختراق أجهزة iOS بالكامل. تمت ملاحظتها في حملتين مختلفتين:
- التجسس الإلكتروني — استهداف مسؤولين حكوميين وصحفيين وناشطين
- سرقة العملات المشفرة — سرقة بيانات اعتماد محافظ العملات المشفرة وعبارات البذور من أهداف عالية القيمة
📱 إجراء مطلوب
قم بتحديث جميع أجهزة iOS إلى أحدث إصدار فوراً. الوكالات الفيدرالية لديها موعد نهائي إلزامي للامتثال. يجب على المنظمات التحقق من تصحيح جميع أجهزة iOS المدارة مؤسسياً ومراقبة مؤشرات الاختراق المرتبطة بمجموعة استغلال Coruna.
🔍 FBI يحقق في اختراق أنظمة المراقبة والتنصت
⚠️ اختراق أنظمة إنفاذ القانون
أكد FBI أنه يحقق في اختراق أنظمة تُستخدم لإدارة المراقبة وأوامر التنصت — مما قد يكشف تفاصيل التحقيقات الجارية وأهداف المراقبة.
بينما تبقى التفاصيل محدودة بسبب حساسية التحقيق، تشمل المخاوف الرئيسية:
- كشف الأوامر — قد تكشف تفاصيل أوامر التنصت النشطة التحقيقات الجارية للأهداف
- تحديد المصادر — قد تكون هويات المخبرين السريين في خطر
- كشف الأساليب — قد يتم الكشف عن تقنيات وقدرات المراقبة
- قيمة استخباراتية أجنبية — ستجد الجهات الحكومية هذه البيانات ذات قيمة عالية للغاية
🏛️ التداعيات الأوسع
يأتي هذا الاختراق ضمن نمط من الهجمات التي تستهدف أنظمة إنفاذ القانون ومجتمع الاستخبارات. اختراق أنظمة إدارة التنصت حساس بشكل خاص — فقد يقوض التحقيقات الجنائية والأمن القومي الجارية ويضعف ثقة الجمهور في قدرة الحكومة على تأمين عملياتها الأكثر حساسية.
⚠️ أدلة تثبيت مزيفة لـ Claude Code تنشر برنامج InstallFix الخبيث
⚠️ هجوم انتحال أدوات المطورين
متغير جديد من ClickFix يسمى InstallFix يستهدف المطورين من خلال إنشاء أدلة تثبيت مزيفة لأدوات CLI الشائعة — بما في ذلك Claude Code من Anthropic — لخداع المستخدمين لتشغيل أوامر خبيثة.
كيف يعمل InstallFix
- تسميم SEO — أدلة مزيفة "كيفية تثبيت Claude Code" تحتل مراتب عالية في نتائج البحث
- مظهر شرعي — الصفحات تحاكي التوثيق الرسمي بعلامة تجارية دقيقة
- أمر خبيث — تتضمن تعليمات التثبيت سطر واحد
curl | bashيجلب البرامج الخبيثة - توصيل الحمولة — يقوم النص البرمجي بتثبيت الأداة الشرعية والباب الخلفي في وقت واحد
- الاستمرارية — يبقى الباب الخلفي بعد تحديثات الأداة وإعادة تشغيل النظام
الأدوات المستهدفة
- Claude Code (Anthropic) — الهدف الرئيسي بسبب تزايد اعتماد المطورين
- GitHub Copilot CLI — هدف ثانوي
- مساعدو الترميز بالذكاء الاصطناعي المتنوعون — أي أداة مطور رائجة معرضة للخطر
🛡️ نصائح الحماية
قم دائماً بتثبيت أدوات المطورين من المصادر الرسمية فقط. بالنسبة لـ Claude Code، استخدم توثيق Anthropic الرسمي على docs.anthropic.com. لا تقم أبداً بتشغيل أوامر curl | bash من مواقع غير رسمية. تحقق من المجاميع الاختبارية للحزم واستخدم مديري الحزم (npm، pip) بدلاً من نصوص Shell البرمجية الخام.
🦠 Transparent Tribe تُصنّع البرامج الخبيثة بالذكاء الاصطناعي — ظهور "Vibeware"
⚠️ إنتاج ضخم للبرامج الخبيثة بالذكاء الاصطناعي
مجموعة Transparent Tribe (APT36)، وهي مجموعة APT متحالفة مع باكستان، تستخدم أدوات الترميز بالذكاء الاصطناعي لإنتاج البرامج الخبيثة بكميات كبيرة بلغات غير شائعة مثل Nim و Zig و Crystal — مما أنشأ ما يسميه الباحثون "Vibeware": برامج خبيثة مُنتجة بالترميز الحدسي على نطاق صناعي.
تهديد Vibeware
| الجانب | البرامج الخبيثة التقليدية | Vibeware |
|---|---|---|
| وقت التطوير | أسابيع إلى أشهر | ساعات إلى أيام |
| اللغات | C/C++ و Python و C# | Nim و Zig و Crystal و V و Odin |
| التهرب من التوقيعات | تشفير يدوي | متأصل — ثنائيات اللغات غير الشائعة تتهرب من معظم برامج مكافحة الفيروسات |
| الحجم | عشرات المتغيرات | مئات الثنائيات الفريدة يومياً |
| قابلية التخلص | يُعاد استخدامها عبر الحملات | استخدام مرة واحدة، يُتخلص منها بعد الاكتشاف |
لماذا هذا مهم
- التهرب متعدد اللغات — البرامج الخبيثة بلغة Nim أو Zig تنتج ثنائيات لا تستطيع معظم محركات مكافحة الفيروسات تحليلها بفعالية
- الحجم يطغى على المدافعين — مئات العينات الفريدة تجعل الاكتشاف القائم على التوقيعات عديم الجدوى
- حاجز منخفض — أدوات الذكاء الاصطناعي تمكن مؤلفي البرامج الخبيثة من إنتاج كود بلغات لا يعرفونها فعلياً
- ترسانة يُمكن التخلص منها — كل ثنائي يُستخدم مرة واحدة ويُتخلص منه، مما يجعل الإسناد والتتبع صعباً للغاية
🎯 التأثير الاستراتيجي
يمثل Vibeware تحولاً جوهرياً في اقتصاد البرامج الخبيثة. استخدام Transparent Tribe للذكاء الاصطناعي لتصنيع البرامج الخبيثة يعني أن المدافعين يجب أن ينتقلوا إلى ما وراء الاكتشاف القائم على التوقيعات نحو التحليل السلوكي والتحليل الجنائي للذاكرة واكتشاف التهديدات بالذكاء الاصطناعي. يصبح مفهوم "البرامج الخبيثة المعروفة" أقل أهمية عندما يمكن للمهاجمين إنشاء متغيرات فريدة حسب الطلب.
🛡️ أولويات التخفيف اليوم
لفرق التطوير
- تقييم أدوات الأمن بالذكاء الاصطناعي — النظر في Codex Security أو أدوات مشابهة لمراجعة الكود المستمرة
- التحقق من مصادر التثبيت — استخدام التوثيق الرسمي فقط لتثبيت أدوات المطورين
- تطبيق التحقق من الحزم — فرض التحقق من المجاميع الاختبارية والحزم الموقعة في خطوط أنابيب CI/CD
للبنية التحتية الحيوية
- البحث عن مؤشرات Dindoor — التحقق من شذوذ DNS-over-HTTPS والخدمات المشبوهة في Windows وإساءة استخدام LOLBin
- تصحيح أجهزة iOS — تطبيق أحدث تحديثات iOS للدفاع ضد مجموعة استغلال Coruna
- مراجعة الوصول لأنظمة التنصت — يجب على وكالات إنفاذ القانون مراجعة ضوابط الوصول للأنظمة الحساسة
لجميع المنظمات
- التدريب ضد ClickFix — يجب أن يفهم المستخدمون أن البرامج الشرعية لا تطلب منهم أبداً تشغيل أوامر من نوافذ الأخطاء المنبثقة
- نشر الاكتشاف السلوكي — مكافحة الفيروسات القائمة على التوقيعات وحدها لا تستطيع التعامل مع Vibeware؛ استثمر في EDR السلوكي والمدعوم بالذكاء الاصطناعي
- مراقبة الهجمات المدعومة بالذكاء الاصطناعي — تحديث نماذج التهديد لمراعاة الاستطلاع والهندسة الاجتماعية المعززة بالذكاء الاصطناعي
- حظر إساءة استخدام LOLBin — تقييد mshta.exe و certutil وأدوات Windows الأخرى الشائعة الإساءة
📊 ملخص مشهد التهديدات
| التهديد | الجهة الفاعلة | الخطورة | الإجراء المطلوب |
|---|---|---|---|
| إطلاق OpenAI Codex Security | غير متاح (دفاعي) | 🟢 معلومات | تقييم التكامل مع CI/CD |
| برنامج الفدية Termite + CastleRAT | Velvet Tempest | 🔴 حرج | حظر ClickFix، مراقبة مؤشرات DonutLoader |
| إساءة استخدام الذكاء الاصطناعي عبر مراحل الهجوم | متعددة | 🔴 حرج | نشر دفاعات الذكاء الاصطناعي، تحديث نماذج التهديد |
| باب MuddyWater Dindoor الخلفي | إيران (MOIS) | 🔴 حرج | البحث عن شذوذ DoH، مراجعة البنية التحتية الحيوية |
| مجموعة استغلال Coruna لـ iOS | غير معروف (تجسس) | 🔴 حرج | تصحيح جميع أجهزة iOS فوراً |
| اختراق نظام التنصت FBI | غير معروف | 🔴 حرج | مراجعة ضوابط الوصول لأنظمة إنفاذ القانون |
| أدلة التثبيت المزيفة InstallFix | مجرمون إلكترونيون | 🟠 عالي | التحقق من جميع التثبيتات من المصادر الرسمية |
| Transparent Tribe Vibeware | APT متحالفة مع باكستان | 🟠 عالي | نشر الاكتشاف السلوكي، تجاوز التوقيعات |