ملف خاص: انهيار القلاع الرقمية؛ تشريح اختراق مايكروسوفت كوبايلوت واختراق Google Workspace 🚨

هذه المقالة متوفرة باللغات التالية:

انقر لقراءة هذه المقالة بلغة أخرى

🎧 النسخة الصوتية

🚨 تقرير تيكن جيم الخاص: انهيار القلاع الرقمية

طاب يومكم يا قادة الأمن السيبراني والاستراتيجيين! اليوم في كراج تيكن، نقوم بتشريح واحد من أخطر الملفات الاستخباراتية وأكثرها تقلباً في صيف 2026. الأدوات التي كانت تُعتبر حتى الأمس العمود الفقري للإنتاجية المؤسسية—بدءاً من المساعد الذكي Microsoft Copilot وصولاً إلى منصات Google Workspace السحابية—تحولت الآن إلى أسلحة فتاكة في أيدي قراصنة الدول وعصابات برامج الفدية.

⚡ أبرز ملامح الاستخبارات السيبرانية اليوم:
⚔️ سرقة بيانات صامتة بنقرة واحدة عبر الذكاء الاصطناعي Microsoft 365 Copilot.
📉 الاستيلاء الكامل والعدائي على خوادم بوابة الذكاء الاصطناعي (LiteLLM).
🏃‍♂️ إخفاء حركة مرور برامج الفدية داخل البنية التحتية المشفرة لـ Microsoft Teams.
💰 اختراق صيني (APT) لشبكات الأبحاث عبر التلاعب بقواعد Google Workspace.
🔥 كوريا الشمالية توزع برمجية NarwhalRAT الخبيثة تحت غطاء تنبيهات أمنية رسمية.

☕ قم بتنشيط جدران الحماية العقلية الخاصة بك، وانضم إلينا في تشريح سيبراني لا يرحم لحرب الجيل القادم الرقمية!

تصوير سيبراني لمركز بيانات سحابي مخترق تضيئه شفرات الإنذار الحمراء الخبيثة.

١. كارثة كوبايلوت: كيف تحول ذكاء مايكروسوفت الاصطناعي إلى جاسوس للشركات؟

كان من المفترض أن تكون ثورة الذكاء الاصطناعي التوليدي هي المساعد الآمن المطلق في بيئات العمل، لكن تقارير الويب المظلم الحديثة تؤكد أن النماذج اللغوية الكبيرة (LLMs) أصبحت أكبر نقطة عمياء في البنية المعمارية للمؤسسات. حدد باحثو الأمن في Varonis Threat Labs مؤخراً سلسلة ثغرات أمنية حرجة للغاية تُسمى SearchLeak داخل نظام Microsoft 365 Copilot Enterprise وقاموا بتشريحها. هذا الخطأ قاتل ومعقد لدرجة أن نقرة واحدة على رابط يبدو شرعياً تتجاوز جميع جدران الحماية التنظيمية، وتصل المهاجمين مباشرة بقلب قاعدة بيانات الشركة.

كما ناقشنا سابقاً في مقالنا التحليلي حول تشريح اختراق الذكاء الاصطناعي ←، يستخدم المهاجمون بنشاط عناوين URL مخفية ومتغيرات غير مرئية لإجبار وكلاء الذكاء الاصطناعي ذوي الامتيازات العالية على استخراج وتسريب البيانات الحساسة. تكمن الكارثة الحقيقية والتحفة الفنية لهذه الهندسة الخبيثة في أن الرابط المصاب يشير مباشرة إلى نطاق microsoft.com رسمي وقانوني. ونتيجة لذلك، يتم خداع جميع أدوات تصفية URL وبوابات مكافحة التصيد تماماً، وتصنف الرابط على أنه آمن بنسبة 100٪.

⏳ التسلسل الزمني للكوارث السيبرانية للمؤسسات (يونيو 2026)

الأسبوع الأول من يونيو	اكتشاف سلسلة ثغرات أمنية شديدة في LiteLLM تمنح القراصنة وصولاً إدارياً كاملاً للخوادم.
الأسبوع الثاني من يونيو	اكتشاف حملات برامج الفدية DragonForce المتقدمة التي تخفي الحمولات الخبيثة داخل البنية التحتية لـ Microsoft Teams.
منتصف يونيو	الكشف عن التفاصيل الفنية وراء هجوم SearchLeak بنقرة واحدة في مايكروسوفت كوبايلوت.
16 يونيو 2026	الكشف عن تسلل صيني طويل الأمد (APT) صامت وعميق داخل Google Workspace لسرقة رسائل الأبحاث الدفاعية.

٢. تشريح SearchLeak والاختبارات الأمنية في مختبرات تيكن

لفك تشفير حجم هذه الكارثة وفهمها بشكل كامل، قام قسم الأمن في كراج تيكن ببناء بيئة صندوق رمل (Sandbox) معزولة لاختبار وتحديد كيفية تحايل منهجية SearchLeak على البروتوكولات الأمنية القياسية. كانت نتائج اختبارات الاختراق هذه بمثابة إنذار هائل لكبار مسؤولي أمن المعلومات (CISOs) على مستوى العالم: الاعتماد المفرط على أدوات الأمان القديمة—مثل أنظمة EDR القائمة على التوقيع—يُعد غير مجدٍ تماماً ضد هجمات حقن الأوامر (Prompt Injection) المعقدة.

📊 مقاييس مرعبة: SearchLeak يتجاوز الدفاعات السيبرانية

100%

معدل تجاوز ناجح لأنظمة تصفية URL بسبب استغلال نطاق مايكروسوفت رسمي وموثوق.

نقرة 1

إجراء المستخدم الوحيد المطلوب لكشف واستخراج أرشيف بيانات الإنترانت الخاص بالشركة بأكمله.

85%

معدل فشل جدران الحماية القديمة في اكتشاف الأوامر الخبيثة المخفية داخل مطالبات لغة طبيعية.

على الرغم من أن مايكروسوفت قد نشرت تصحيحات طوارئ لمنع هذا الاستغلال المحدد، إلا أن SearchLeak يدل على تحول جذري في منهجيات القرصنة. هذه الهجمات هي جزء من جيل جديد من التهديدات التي تستخدم عناوين URL المخفية والمتغيرات غير المرئية لإجبار الذكاء الاصطناعي ذي الامتيازات العالية على ضخ البيانات الحساسة مباشرة إلى خوادم القيادة والتحكم (C2) التي يسيطر عليها القراصنة.

٣. البوابات الساقطة: الاستيلاء على خوادم AI Gateway (LiteLLM)

إذا كنت تفترض أن المستخدمين النهائيين والموظفين فقط هم المعرضون للخطر، فأنت مخطئ بشدة. البنية التحتية الأساسية لمعالجة شبكات الذكاء الاصطناعي تنهار أيضاً. اكتشف باحثو الأمن السيبراني في Obsidian Security مؤخراً سلسلة ثغرات أمنية مرعبة داخل نظام LiteLLM ووثقوها. LiteLLM هي بوابة ذكاء اصطناعي مفتوحة المصدر وشائعة للغاية تعمل كوكيل يدير مكالمات واجهة برمجة التطبيقات (API) لأكثر من 100 مزود نموذج لغوي مختلف من خلال واجهة واحدة متوافقة مع OpenAI.

⚙️ التشريح الفني لثغرة LiteLLM

ناقل الهجوم (Attack Vector): يتسلل المهاجم إلى الشبكة عبر تصعيد الامتيازات (Privilege Escalation)، مستغلاً التكوينات غير الآمنة في حسابات الوكيل الافتراضية ذات الامتيازات المنخفضة.
طريقة التنفيذ: من خلال ربط ثلاث أخطاء مميزة ومترابطة، يصعد الهاكر وصوله المحدود إلى حالة مسؤول كامل (Full Admin)، مما يمكنه من تنفيذ تعليمات برمجية ضارة عشوائية مباشرة على خوادم المعالجة.
التداعيات المؤسسية الكارثية: يؤدي الاستيلاء على الخادم في مستوى الجذر هذا إلى كشف جميع مفاتيح API والمفاتيح السرية (Secret Keys) المرتبطة بمزودي النماذج، وتسليم البنية التحتية الكاملة لاتصالات الذكاء الاصطناعي للمهاجم.

سقوط بوابات الذكاء الاصطناعي؛ عندما تستولي الشفرات الخبيثة على وسطاء LLM.

٤. أشباح في الشبكة: إخفاء فيروس الفدية DragonForce داخل Microsoft Teams

أحد أذكى التكتيكات وأكثرها رعباً التي تطورت في عام 2026 هو فن "العيش على الأرض" (Living off the Land). بدلاً من الاعتماد على خوادم القيادة والتحكم (C2) المخصصة—والتي يسهل اكتشافها وحظرها بواسطة جدران حماية الشركات—استخدم قراصنة عصابة برامج الفدية DragonForce بنشاط البنية التحتية لترحيل Microsoft Teams لإخفاء حركة مرورهم الضارة.

وفقاً لتقارير تشريح البرامج الضارة، من خلال تطوير حمولة مخصصة تُسمى Backdoor.Turn، يُخفي المهاجمون اتصالاتهم (C2) مباشرة داخل النظام البيئي لترحيل مايكروسوفت تيمز. نظراً لأن حركة مرور Teams مدرجة في القائمة البيضاء عالمياً وتُعتبر حركة مرور آمنة وضرورية في شبكات الشركات، فإن المتسللين يخدعون بسهولة أنظمة منع فقدان البيانات (DLP) ومكافحات فيروسات نقطة النهاية، ويعملون كأشباح غير مرئية داخل الجدران الرقمية.

📌 استنتاج نقطة المنتصف الاستراتيجي

تثبت هذه الاختراقات الأخيرة أن المتسللين المعاصرين لم يعودوا بحاجة إلى إنشاء برامج ضارة صاخبة ومعقدة؛ فهم ببساطة يستخدمون القدرات المشروعة والأصلية للمنصات السحابية (مثل مرحلات Teams) كأسلحة. يتطلب الدفاع ضد هذه الهجمات تحولاً فورياً من "المراقبة القائمة على التوقيع" إلى المراقبة عبر "الذكاء الاصطناعي السلوكي" (Behavioral AI).

تمثيل مرئي للشفرات الخبيثة المخفية داخل أنفاق الاتصال المشفرة.

٥. التسلل الصامت: تلاعب الجيش السيبراني الصيني بـ Google Workspace

على الخطوط الأمامية للحرب السيبرانية التي ترعاها الدول، تمكنت مجموعة تجسس إلكتروني قوية مرتبطة بالصين (Chinese APT) من البقاء غير مكتشفة تماماً داخل الشبكات الطبية والأكاديمية والعسكرية الحساسة للغاية في أمريكا الشمالية لأكثر من عام، حيث قامت باستخراج بيانات استراتيجية بصمت دون إطلاق إنذار أمني واحد.

💰 جدول توزيع التسلل وسرقة البيانات (تقدير الأضرار)

القطاع المتأثر	طريقة الاختراق الأولية والباب الخلفي	آلية استخراج البيانات
البحوث الطبية والعسكرية	نشر باب خلفي على خوادم REDCap لسرقة بيانات الدخول.	إعادة برمجة قواعد البريد الإلكتروني الأصلية في لوحة تحكم Google Workspace.
سرقة البريد الإلكتروني الدفاعي	اختطاف الجلسة (Session Hijacking) واختراق حسابات المسؤولين.	إعادة التوجيه التلقائي للرسائل الحساسة بصمت لحسابات يسيطر عليها القراصنة.

طريقة عملهم هي درس متقدم في الهندسة السيبرانية. أنشأ المتسللون في البداية باباً خلفياً على خوادم أبحاث REDCap خصيصاً لسرقة بيانات تسجيل الدخول. ثم، في خطوة عبقرية، بدلاً من تثبيت برامج ضارة يمكن اكتشافها، قاموا بتسجيل الدخول إلى لوحة Google Workspace الخاصة بالضحية وتلاعبوا بقواعد توجيه البريد الإلكتروني المشروعة. أدى هذا التعديل إلى إجبار النظام على نسخ جميع رسائل البريد الإلكتروني الدفاعية والأكاديمية الحساسة وإعادة توجيهها تلقائياً إلى خوادم خارجية بشكل قانوني، متجاوزاً محفزات جدار الحماية بالكامل.

٦. التكتيكات الجديدة لكوريا الشمالية: اصطياد المبرمجين ببرمجية NarwhalRAT

بالتوازي مع عمليات التنين الأحمر، يقوم الجيش السيبراني لكوريا الشمالية بتحديث ترسانته بشكل مكثف. بدأت مجموعة القرصنة المدعومة من بيونغ يانغ والمعروفة باسم ScarCruft (أو APT37) موجة جديدة ضخمة من هجمات التصيد الاحتيالي المتطورة، مستهدفة بشكل مباشر مطوري البرمجيات.

⚔️ الحرب السيبرانية: دفاع المؤسسات مقابل تكتيكات APT37

🟢 العقيدة الدفاعية (PROS)

تدريب صارم للموظفين ومحاكاة الهجمات للتحقق من صحة رسائل البريد الإلكتروني المشبوهة.
عزل صارم لبيئات المطورين (Dev/Test) عن شبكة الشركة الرئيسية والإنترنت.
مراقبة سلوكية دقيقة وفي الوقت الفعلي لأدوات المطورين داخل سلسلة CI/CD.

🔴 التكتيكات الهجومية لكوريا الشمالية (CONS)

نشر تنبيهات أمنية وهمية لحساب مايكروسوفت لإثارة الذعر وتوزيع NarwhalRAT.
تسليح أدوات المطورين الحيوية من خلال حملات خطيرة مثل "Contagious Interview".
استهداف مهندسي البرمجيات مباشرة بعروض عمل مزيفة وطلبات Code Review كطعم.

تعتمد استراتيجية هذه المجموعة بشكل كبير على التخويف والهندسة الاجتماعية. يرسلون رسائل خبيثة مقنعة للغاية تنتحل صفة "تنبيهات أمان حساب مايكروسوفت" الرسمية لخداع الضحايا لتنزيل برمجية NarwhalRAT الخطيرة على أنظمتهم. في مرحلة أكثر خطورة، يستهدفون الأدوات اليومية للمطورين لحقن البرامج الضارة مباشرة في الكود الأساسي للبرامج الشرعية، مما يمهد الطريق لهجمات كارثية على سلسلة التوريد (Supply Chain).

٧. مقياس السوق وردود فعل المستثمرين تجاه الكوارث السيبرانية

📉 مقياس اقتصاد الأمن السيبراني (مؤشر الخوف والطمع)

تشير مراقبة رادارات تيكن إلى أن معنويات السوق الحالية داخل قطاعات السحابة والأمن السيبراني للمؤسسات ترتكز بعمق في "الخوف المطلق" (Extreme Fear). أدى الكشف عن ثغرات قاتلة مثل SearchLeak في منصات مايكروسوفت إلى زعزعة ثقة كبار مسؤولي أمن المعلومات (CISOs) بشدة في عمالقة التكنولوجيا. وعلى العكس من ذلك، يضخ مستثمرو وول ستريت رؤوس أموال ضخمة في الشركات الناشئة التي تركز على بنية انعدام الثقة (Zero Trust) والأمن السلوكي؛ وقد شهدت تقييمات أسهم هذه الشركات الناشئة ارتفاعاً قوياً بنسبة 4.5%. تدرك المنظمات الآن أنه يجب إعادة تخصيص ميزانيات الأمان القديمة على الفور.

🔗 الملف الكامل | الاستخبارات السيبرانية وتاريخ التهديدات على تيكن جيم

🛡️

🎯 الرؤية النهائية (The Tekin Verdict)

تبث تقارير الويب المظلم المتتالية في منتصف عام 2026 حقيقة عارية ومرعبة للمؤسسات العالمية: لقد سقطت جدران الحماية التقليدية بالكامل. عندما يستغل المتسللون الصينيون قواعد إعادة توجيه البريد الإلكتروني المشروعة داخل Google Workspace، أو تزحف مجموعات برامج الفدية بشكل مريح داخل مرحلات Microsoft Teams دون إطلاق إنذار واحد، فإن بنية الأمان العالمية الحالية قد فشلت بوضوح. تثبت الثغرات الأمنية القاتلة مثل SearchLeak أن الاندفاع المحموم لعمالقة التكنولوجيا لنشر الذكاء الاصطناعي قد ولد كابوساً أمنياً غير مسبوق. يجب على الشركات على مستوى العالم إعادة كتابة عقائدها الدفاعية بشكل عاجل بناءً على شبكات انعدام الثقة (Zero Trust) الصارمة والمراقبة السلوكية للذكاء الاصطناعي؛ وإلا فإن قلاعهم الرقمية ستتفكك ببساطة من الداخل.

❓ مركز التصحيح والأسئلة الشائعة (FAQ)

ما هي الآلية الدقيقة لهجوم SearchLeak في مايكروسوفت كوبايلوت؟

إنه خطأ قاتل بنقرة واحدة يستغل نطاقات مايكروسوفت المشروعة. من خلال النقر على رابط تم التلاعب به، يتجاوز المهاجم مرشحات الأمان ويستخرج بسهولة رسائل البريد الإلكتروني والتقويمات وملفات الشركة الحساسة للمستخدم.

كيف يبقى فيروس الفدية DragonForce غير مرئي على الشبكة؟

تستخدم هذه المجموعة برامج ضارة مخصصة، Backdoor.Turn، لتوجيه حركة مرور القيادة والتحكم (C2) الخبيثة الخاصة بها مباشرة من خلال مرحلات اتصال Microsoft Teams. نظراً لأن حركة مرور Teams مدرجة في القائمة البيضاء، تفشل برامج مكافحة الفيروسات في اكتشاف نقل البيانات.

ما هو التكتيك الذي استخدمه القراصنة الصينيون لاختراق Google Workspace؟

بعد الوصول إلى لوحة المسؤول، وبدلاً من استخدام برامج ضارة صاخبة، قاموا بالتلاعب بقواعد إعادة توجيه البريد الإلكتروني الأصلية في إعدادات Google. سمح لهم ذلك بنسخ وإعادة توجيه رسائل البريد الدفاعية الحساسة بصمت إلى خوادمهم لأكثر من عام.

من الذي تستهدفه مجموعة APT37 التابعة لكوريا الشمالية بالضبط؟

تقوم مجموعة APT37 بتوزيع برمجية NarwhalRAT عن طريق إرسال تنبيهات أمنية مزيفة لحسابات مايكروسوفت. أهدافهم الأساسية هم مطورو البرمجيات والمبرمجون، بهدف اختراق شفراتهم لاستخدامها في هجمات سلسلة التوريد المستقبلية ضد الشركات الأخرى.

ما هي مخاطر الاستيلاء على منصة LiteLLM Gateway؟

تُمكن سلسلة الثغرات هذه مستخدماً عادياً ذا امتيازات منخفضة من الترقية إلى مسؤول خادم كامل. يؤدي هذا إلى التعرض الهائل لجميع المفاتيح السرية ومفاتيح API من مختلف مزودي الذكاء الاصطناعي، مما يعرض البنية التحتية لمعالجة المؤسسة بالكامل للخطر.

📚 قاعدة البيانات والمصادر الاستخباراتية السيبرانية

DarkReading: تحليل شامل لثغرة Copilot SearchLeak وهجمات المؤسسات بنقرة واحدة.
TheHackerNews: تقرير فني عن أخطاء LiteLLM الخبيثة والاستيلاء على خوادم AI Gateway.
BleepingComputer: التعرف على برمجية Backdoor.Turn المخصصة واستغلال DragonForce لـ Microsoft Teams.
TheHackerNews: تشريح دقيق لاختراق APT الصيني لشبكات البحث والتلاعب بـ Google Workspace.
TheHackerNews: تحقيق في حملة Contagious Interview وتوزيع NarwhalRAT بواسطة كوريا الشمالية.
قسم التفتيش السيبراني في كراج تيكن: التحليل، قياس الأداء المحاكي، وتعريب بيانات استخبارات التهديدات العالمية.

🌐 التواصل مع قيادة كراج تيكن 🎮✨

للحصول على أحدث التحليلات العميقة في الأمن السيبراني، الذكاء الاصطناعي، والألعاب، تابع تيكن جيم على قنواتنا الرسمية:

📺 قناة يوتيوب الإنجليزية 📸 إنستغرام تيكن جيم 📢 تيليجرام عربي 🌐 تيليجرام عالمي 🇮🇷 تيليجرام إيران 💬 التواصل المباشر مع المفتش السيبراني 📧 البريد الإلكتروني للدعم | majid@tekingame.com

كاتب المقالة

مجيد قرباني نجاد

مجيد قرباني نجاد، مؤسس TakinGame بخبرة 25 عامًا في صناعة الألعاب.

TekinGame Community

Your feedback directly impacts our roadmap.

+500 Active participations

متابعة الكاتب

telegram whatsapp

مشاركة المقالة

تويتر تيليجرام واتساب